Witam, mam sporawy problem z programem Personal Shield Pro. Z tego co widze, to dosyc znany problem na tym forum, ale znawca nie jestem i nie potrafie sobie sam z tym poradzic. Prosze o pomoc
(wybaczcie brak polskich znakow, ale mam niemieckiego laptopa…)
Zrobilem jak wskazalas, ale nie jestem w stanie wkleic raportu, bo po otwarciu notatnika wyskakuje mi komunikat ‘‘odmowa dostepu’’
Skrypt wklejony, ale restartowac komputer musialem recznie - zadne prosba o restart sie nie pojawila
Usunalem recznie
Jest teraz inny problem - po zalogowaniu sie na moje konto, system bardzo dlugo sie wlacza i to z wygladem ‘‘staro-windowsowym’’, nie jak XP. Dodatkowo wyskakuje mi komunikat z HDeck ‘‘Windows sockets initialization failed’’. Wciaz nie moge sie polaczyc z antywirusem, nie moglem uruchomic OTL (brak uprawnien, itd) - odpalilem go z pendriva. Wklejam log:
http://wklejto.pl/103041
Raport z USBFix: Research
http://wklejto.pl/103042
Deletion:
http://wklejto.pl/103043
Po uzyciu deletion, wyglad XP wrocil, ale nie moge przywrocic Active Desktop (’‘Wystapil blad w skrypcie na tej stronie’’)
No cóż, ta infekcja powoduje różne problemy - jeśli się to jakoś samo nie naprawi po restarcie, to można będzie zrobić zwykłe Przywracanie Systemu do stanu przed usuwaniem infekcji.
Wkleilem, chociaz znow sam musialem restartowac komputer. Nie wiem, mam wrazenie, ze wciaz nie wszystko jest usuniete. Moze trzeba to zrobic inaczej? Po kazdym restarcie nie mam dostepu do OTL, musze odpalac nowy, sciagniety - dlatego nie mam loga bezposrednio po uruchomieniu komputera, tylko sam robie skan.
Log:
http://wklejto.pl/103081
Dodatkowo mam pytanie:
Oznacza to, ze ktos sobie przegladal strony pornograficzne? Moze tutaj sie sciagnal ten program?
– Dodane 16.08.2011 (Wt) 16:21 –
zauwazylem w menedzerze zadan, ze jest odpalony proces ‘‘3714195592:2011143458.exe’’ - z tego co udalo mi sie dowiedziec, jest to proces tego zlosliwego programu. Nie moge go zamknac ani znalezc - czy to on jeszcze zostal i nie moge go usunac?
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). 2) Ściągnij -->Avenger. wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\3714195592
C:\WINDOWS\3714195592:2011143458.exe
C:\WINDOWS\coacvil.dll
Kliknij w " Execute" i zatwierdź restart komputera.
Coś mi się wydaje, że w swoim pierwszym poście popełniłam ogromny błąd w ocenie tego powyższego.
To najprawdopodobniej efekt Rootkita ZEROACCES.
Usuwanie tego poprzez Script OTL nie miało żadnego sensu, jeśli jest ten Rootkit.
Ja na pewno nie poradzę sobie z takim Rootkitem, a zwłaszcza nie poradzę sobie z usuwaniem skutków jego działalności, już po usunięciu samego Rootkita.