Nie działa żaden program antywirusowy


(Mkmartako32) #1

Witam! Jest to mój pierwszy post na tym forum więc gdybym popełniła jakiś błąd przy zakładaniu tematu to z góry proszę o wyrozumiałość :roll: .

Otóż na początku komputer zaatakowały wirusy: NOD32 nie zadziałał, zapora windows też padła, firefox sam z siebie się włączał i wyświetlał strony z jakimiś reklamami albo treściami pornograficznymi. Włączał się też explorer i obok każdej ikonki (dysk c i zapora windows, nie pamiętam co tam jeszcze było) migały czerwone liczby w nawiasach (tak, jestem laikiem :slight_smile: ). Uruchomiłam więc ponownie w trybie awaryjnym i przeczyściłam kompa MBAM. Poniżej zamieszczam log:

http://www.wklejto.pl/110028

Później próbowałam zainstalować ComboFixa. Usunęłam NODa bo jakoś mu w tym przeszkadzał (ciągle pojawiał się komunikat że nod jest włączony nawet kiedy nie był) ale ComboFix i tak nie chciał się uruchomić więc dałam sobie z tym spokój. Ustawiłam MBAM tak, żeby włączał się przy starcie systemu i blokował ewentualne zagrożenia. Co chwila wyświetlał mi komunikat:

"Zablokowano dostęp do podejrzanej strony:

199.80.55.123/206.161.121.100 (zawsze jedno z tych dwóch IP)

Typ: Wychodzące"

Co dziwne, MBAM też nie chciał się włączyć. Niby działał gdzieś tam w tle i blokował co trzeba ale kiedy próbowałam otworzyć go normalnie w oknie żeby np. wykonać skanowanie to nic się nie działo albo wyskakiwał komunikat: "System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu". Kiedy klikałam ikonkę programu oczywiście informował mnie, że już jest uruchomiony po czym też nic się nie działo.

Później zrobiłam jeszcze skanowanie w OTLu i HaxFix (niczego nie usuwałam):

Logi OTL: http://www.wklejto.pl/110042, http://www.wklejto.pl/110043

Log HaxFix: http://www.wklejto.pl/110044

O ile dobrze pamiętam, to próbowałam uruchomić też na próbę HijackThis i Gmer - ale nie udało się (niestety, nie pamiętam dlaczego #-o ). Dopóki nie przeglądałam internetu wszystko było w porządku (MBAM blokował wyskakujące strony), ale wystarczyło włączyć firefoxa a problem znów się pojawiał (chociaż teraz były to już raczej pojedyncze strony z reklamami). Użyłam Look2Me Destroyer (raport: http://www.wklejto.pl/110048). Zainstalowałam MBAM (który chwilę wcześniej usunęłam) z nadzieją, że może wreszcie zacznie normalnie działać - ale nie udało się, wciąż ten sam komunikat: "System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu". To samo działo się z NOD32 i SuperAntiSpyware - instalacja szła gładko, ale same programy już nie chciały się włączyć. Odinstalowałam wszystko, rzuciłam w :evil: i dość długo się tym nie zajmowałam :smiley: . Przez cały ten czas z laptopa nikt nie korzystał.

Dzisiaj do tego wróciłam i kolejny raz próbowałam włączyć MBAM. Po instalacji nawet pojawiło się okno :shock: , ale po kilku sekundach od rozpoczęcia skanowania program zwyczajnie zniknął. Nie było go ani w tray'u, ani w menedżerze zadań. Później pojawiał się już tylko ten sam denerwujący komunikat co wcześniej ("System Windows nie może uzyskać dostępu..."). Sprawdziłam też SmitFraudFixa - ten akurat działał prawidłowo, nie znikał podczas skanowania (log: http://www.wklejto.pl/110059). Niczego nie usuwałam. Nie wiem czy to w czymś pomoże, ale żeby mieć jakieś porównanie zainstalowałam dwa zupełnie losowe programy - Audacity i Cabri. Oba działają bez problemów. Jeśli chodzi o wyskakujące strony, to chyba już po wszystkim bo nic się nie dzieje - najwyraźniej Look2Me zrobił swoje... Martwi mnie tylko to, że nie działają mi Malware i Nod - czy to może być sprawka jakiegoś ukrytego wirusa, którego nie udało się usunąć? Czy jest jakiś sposób na sprawdzenie czy rzeczywiście nic tam już nie siedzi?

Na koniec wklejam zrobionego przed chwilą kolejnego loga z OTLa: http://www.wklejto.pl/110065, http://www.wklejto.pl/110066

Mam nadzieję, że moje wyjaśnienia nie były zbyt mętne i proszę o pomoc :slight_smile: !


(Spandau) #2

Tutaj jest rootkit zeroacccess

Proszę pobrać i spróbować uruchomić Dummy Creator http://download.bleepingcomputer.com/fa ... reator.zip Rozpakuj, uruchom

Wklej do niego

Klikasz Create wygenerowany log dasz później na forum

Następnie restartujesz system to warunek konieczny Pobierasz Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc ... #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje wybierasz Skip prezentujesz raport na forum


(Mkmartako32) #3

Log DummyCreator: http://www.wklejto.pl/110115

Log Kaspersky: http://www.wklejto.pl/110116


(Spandau) #4

Proszę ponownie pobrać Combofixa to konieczne Podaje link zastępczy do programu ze zmienioną nazwą http://hostuje.net/file.php?id=2cdd7c98 ... 0664c00cfb Proszę na razie go nie uruchamiać

Uruchom Ponownie Kasperskiego Jak znajdzie

Wybierasz opcje Delete

Jak znajdzie

Wybierasz opcje Cure

Będzie wymagany restart systemu Po restarcie wejdź od razu w tryb awaryjny windows (nie z obsługą sieci) http://www.cybertrash.pl/Tata/Wiedza/tr ... ryjny.html i uruchom Combofixa dwuklikiem Jak się uda i narzędzie skończy pracę pokaż raport na forum


(Mkmartako32) #5

ComboFix wyświetlił mi cos takiego:

recovery-console-prompt.jpg

Mam wybrać "Nie", a później jeszcze raz wejść w tryb awaryjny ale tym razem z obsługą sieci?

P.S. Czy awaryjny z siecią włącza się zaznaczając "network" w zakładce BOOT.INI? Pytam, bo nie jestem pewna, a naciskanie F8 nie działa...


(Spandau) #6

Nie wchodź w tryb awaryjny z siecią. Wybierz tutaj wyjątkowo Nie i przejdź pozostałe kroki aż do uruchomienia programu


(Mkmartako32) #7

Okej, trochę to trwało, dwa razy musiał się restartować...

Raport: http://www.wklejto.pl/110122


(Spandau) #8

Nie mówiłem, że będzie łatwo To jest trudna infekcja do usuwania

Plik będziemy podmieniać Nie mam w tej chwili dostępu do XP więc podam instrukcje później

Oprogramowanie HP do reinstalacji http://www.processlibrary.com/directory ... m12/20350/

Odinstaluj Combofixa w prawidłowy sposób

Start - Uruchom - wpisz lub skopiuj

"c:\documents and settings\Admin\Pulpit\svhos.com.exe" /uninstall i Enter

Wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jak program coś wykryje Proszę nic nie usuwać tylko pokaż raport z tego co zostało wykryte.

Po tym pokaż raporty OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html


(Mkmartako32) #9

Oprogramowanie HP po prostu usunęłam w całości, nie instalowałam już ponownie.

Kaspersky: http://www.wklejto.pl/110138

OTL: http://www.wklejto.pl/110140, http://www.wklejto.pl/110142


(Spandau) #10

Dobrze Ty decydujesz :slight_smile:

Będziemy podmieniać plik wuauclt.exe Proszę na dysku C:\ utworzyć katalog Plik Pobierz plik dla Twojego systemu http://hostuje.net/file.php?id=9b30d22f ... d029cc2e75 Umieść go w tym katalogu czyli C:\Plik\wuauclt.exe

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Mkmartako32) #11

Log z usuwania: http://www.wklejto.pl/110187

Logi po usuwaniu: http://www.wklejto.pl/110190, http://www.wklejto.pl/110191


(Spandau) #12

Przechodzimy oby do finału

To wszystko do usunięcia ręcznie

Wygląda, że nie nastąpił restart i jeden plik się nie podmienił

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Mkmartako32) #13

Czyli mam po prostu wejść do tych folderów i usunąć je jak normalne pliki? Przepraszam jeżeli moje pytanie wydaje się głupie :slight_smile: , ale pierwszy raz robię coś takiego i wolę być na 100% pewna...


(Spandau) #14

Pytanie nie jest głupie zmodyfikuje skrypt i usuniemy to OTL'em

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Mkmartako32) #15

Log z usuwania: http://www.wklejto.pl/110204

Po usunięciu: http://www.wklejto.pl/110205, http://www.wklejto.pl/110206


(Spandau) #16

Plik C:\Plik\wuauclt.exe skopiuj do katalogu C:\WINDOWS\system32 potwierdź zapisanie pliku

Te pliki usuń ręcznie

Pokaż raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr ... 13208.html Raport zapisz do pliku spakuj plik i wrzuć na jakiś darmowy hosting plików a w poście podaj linka do pliku

Uruchom OTL klikasz Sprzątanie to usunie OTL wraz z jego kwarantanną

Sprawdź czy działa Eset jeśli tak wykonaj pełny skan systemu Jak skaner nic nie wykryje przejdź do aktualizacji Użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost ... #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

Obowiązkowo zmień wszystkie hasła


(Mkmartako32) #17

A gdzie mogę znaleźć te pliki?


(Spandau) #18

Ponieważ nie mogliśmy usunąć tego OTL'em Z tego powodu prosiłem o raport Autoruns.


(Mkmartako32) #19

Wyświetla mi komunikat: Nie można skopiować pliku, plik jest używany przez inną osobę lub program.

A mam uruchomionego tylko eksploratora :? ...


(Spandau) #20

Dobrze podmienimy inaczej. Zakładam, że nadal masz plik w folderze C:\Plik\wuauclt.exe

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html