Witam, dziś ujawnił mi się Personal Shield Pro blokując pracę większości programów. Dałem radę go usunąć programem Malwarebytes Anti-Malwar w trybie awaryjnym, tylko tak mogłem go uruchomić. Wyglądało, że wszystko powróciło do normy, ale pozostał problem z programem antywirusowym - nie można go uruchomić, nie pomogła ponowna instalacja ani zmiana na inne. Proszę o pomoc w rozwiązaniu problemu.

Log po usunięciu wirusa wykonany w trybie awaryjnym: http://wklej.org/id/593907/

Tutaj Personal Shield Pro to nic w porównaniu z tym co siedzi w systemie a jest to rootkit zeroaccess

W trybie awaryjny usuń przez Shift+Del folder C:\ProgramData\ aE15002BfCfD15002

Następnie uruchom komputer normalnie Uruchom DummyCreator http://download.bleepingcomputer.com/fa … reator.zip Rozpakuj, uruchom

Wklej do niego

Klikasz Create wygenerowany log dasz później na forum

Następnie restartujesz system to warunek konieczny Pobierasz Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje wybierasz Skip prezentujesz raport na forum

Usunąłem ręcznie plik

DummyCreator result to:

DummyCreator by Farbar

Ran by Ernest (administrator) on 14-09-2011 at 17:58:13

**************************************************************

c:\Windows\1046272552 [14-09-2011 17:55:50]

== End of log ==

po restarcie i przeskanowaniu TDSSKiller http://wklej.org/id/593947/

Uruchom Kasperskiego Jak znajdzie to co jest powyżej wybierz opcje Cure reszta Skip

Po restarcie proszę pobrać i uruchomić Combofixa zgodnie z tą instrukcją http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ po zakończonym skanowaniu pokaż raport na forum

Po tym pokaż nowy raport OTL oraz raport TDSSKillera

Combofixa działał ponad 10 godzin i nie zakończył pracy, dłużej już nie mogłem czekać

tdsskiller http://wklej.org/id/594481/

i log z OTL http://wklej.org/id/594482/

proszę sprawdzić logi czy coś zmieniło się

Nie instaluj kolejnych programów antywirusowych bo to nic nie da przy tej infekcji Jeśli nawet się jakiś uruchomi to jeszcze zrobi bałagan a combofix będzie miał problem z działaniem. Przynajmniej jeden do usunięcia

To nie jest łatwa infekcja do usunięcia Usuwanie przeprowadzane jest etapami Combofix miał prawo się zawiesić przy tylu programach antywirusowych, aktywnym sptd.sys Jest poprawa i to znaczna Mianowicie nie widać zainfekowanego pliku afd.sys to po pierwsze po drugie wydaje się że Combofix naprawił łańcuch winsock Jest jednam jeden problem ponieważ nie widzę logu z Combofixa nie wiem czy wszystko usunął a w logu OTL widzę folder

Jeśli ten powyższy folder rzeczywiście nadal jest na dysku to proszę pobrać świeżą kopię Combofixa (zmienić mu nazwę na svchost.exe) Wyłączyć wszystkie antywirusy (jak nie można wyłączyć to odinstalować), odinstalować sterownik od wirtuali sptd.sys narzędzie znajdziesz w instrukcji do Combofixa (link w poście powyżej) Następnie uruchomić Combofixa dwuklikiem Raport wynikowy pokaż na forum

Teraz Combofix wygenerował raport http://wklej.org/id/595120/

i jeszcze log z OTL http://wklej.org/id/595121/

Combofix zrobił co do niego należało więc możemy przejść do kroków końcowych

Wyłącz i włącz przywracanie systemu na wszystkich dyskach http://windows.microsoft.com/pl-PL/wind … -on-or-off

Odinstaluj Combofixa

Start - W pole Wyszukaj programy i pliki wpisujesz

"G:\ComboFix.exe" /uninstall i Enter

Teraz przejdziemy do usunięcia pozostałości po wszystkich programach zabezpieczających takich jak Eset, Avast Lavasoft Ad-Avare oraz Malwarebytes Brakuje logu Extras. txt więc nie wiem czy któryś nadal jest na liście dodaj usuń i można go odinstalować. Jeśli tak napisz o tym i nie wykonuj poniższego skryptu do OTL lub odinstaluj wymieniony wyżej program przez Aplet Dodaj Usuń Jak zakończymy usuwanie zainstalujesz na nowo oprogramowanie zabezpieczające Eset (lub Avast) + Malwarebytes powiem dokładnie kiedy

Tak więc to idzie do usuwania

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Następnie proszę pobrać i wykonać pełny skan KVRT http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Proszę nic nie usuwać tylko podać raport na forum o ile zostanie coś znalezione

Po wykonaniu wszystkiego otrzymałem to:

log z usuwania http://wklej.org/id/595463/

i wykonany później http://wklej.org/id/595464/

Kaspersky znalazł tylko to

2011-09-18 07:40:36 Detected Trojan program Trojan-Downloader.Win32.Small.ddp D:\ernest\do sprawdzenia\kurczaki3\Chicken Invaders 3[crack].rar//crack.exe High

To co znalazł Kasperski do usunięcia

Odinstaluj Kasperskiego

Następnie usuń przez Shift+ Del foldery

Następnie usuń pliki

Jeśli będzie jakiś problem z usunięciem folderów proszę pisać

Uruchom OTL klikasz Sprzątanie

Przeczyść system oraz rejestr CCleaner

Pobierz i zainstaluj Nod lub Avast http://www.dobreprogramy.pl/ESET-NOD32, … 12890.html http://www.dobreprogramy.pl/avast-Free- … 13266.html Wybór pozostawiam tobie Tylko proszę nie instalować obydwu masz wybrać jednego. Do tego zainstaluj Comodo firewall http://www.dobreprogramy.pl/Comodo-Pers … 20399.html oraz darmową wersje Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Napisz czy wszystko działa Jeśli tak przejdź do uaktualnienia

Użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

Proszę zmienić wszystkie hasła

Witam

Wszystko już działa jak powinno, dziękuję za pomoc