Personal shield pro


(Koziq321) #1

otóż ten programik wykazuje fałszywe alarmy i nie daje sie usunąć od kiedy jest na moim kompie system sie zaczął krzaczyć

log:

otl http://wklej.org/id/588022/

extras http://wklej.org/id/588023/


(jessica) #2

Chyba oprócz "Personal Shield Pro" masz coś znaaaaacznie gorszego: Rootkita " ZEROACCES".

Jeśli okaże się , że masz tego Rootkita, to od razu uprzedzam, że wycofam się z pomagania Tobie. To nie na moją główkę. Rootkita da się usunąć, ale wykrycie i naprawa szkód, jakie ten Rootkit poczynił w Systemie, to ponad moje umiejętności.

Miejmy nadzieję, że jednak nie masz tego strasznego Rootkita.

1) Użyj >>Webroot AntiZeroAccess

2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

3) Sprawdź, czy nie ma już C:\Documents and Settings\All Users\Dane aplikacji\ eI15001KkBpJ15001

Jeśli dalej jest, to spróbuj usunąć ręcznie ten folder.

4) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

I oczywiście raport "Webroot AntiZeroAccess".

jessi


(Koziq321) #3

przez ten twój skrypt komputer wogóle sie nie uruchamia . działa jedynie tryb awaryjny :confused: co mam z tym zrobić ?

-- Dodane 01.09.2011 (Cz) 13:31 --

prosze o szybką odpowiedz bo siedze u kumpla bo nie moge u siebie skorzystać z neta


(jessica) #4

Zrób zwykłe "Przywracanie Systemu".

To nie wina Scriptu, tylko Rootkita "Zeroacces".

Natomiast brak internetu raczej wynikł z działania Scriptu, bo usuwane były wpisy O10 z łańcucha Winsock wstawione przez Rootkita. Łańcuch Winsock odpowiada za łączność z netem, uległ uszkodzeniu przez Rootkita, ale Script chyba tego nie naprawił.

.


(Koziq321) #5

mam wyłączoną tą opcje. a jak bym zrobił jeszcze raz loga z OTL w trybie awaryjnym to by coś dalo?

-- Dodane 01.09.2011 (Cz) 13:56 --

nom rozumiem . a idzie coś zrobić z tym rootkitem ? i przywrócić sprawność systemu i internetu


(jessica) #6

Nie sądzę, by to coś dało. W OTL nie będzie widać zniszczeń dokonanych przez Rootkita.

Szkoda, że miałeś wyłączone "Przywracanie Systemu".

Z Trybu Awaryjnego może uda się wyjść:

Proszę edytować i pokazać zawartość pliku boot.ini Instrukcja http://support.microsoft.com/kb/289022/pl

U mnie jest tak:

Być może u Ciebie coś się dopisało na końcu?


(Koziq321) #7

a inny sposób lub inny program . bo moge sciągnąć u kolegi wrzucić na pendrive i popróbować


(jessica) #8

naprawa WINSOCK >http://www.searchengines.pl/Naprawa-Winsock-t5904.html

Chodzi o "WinSockFix".

Tak z ciekawości: czy Webroot AntiZeroacces" wykrył tego Rootkita?

.


(Koziq321) #9

w boot.ini nic nie dopisało tym winsock idzie naprawić neta ale jak uruchomić kompa bez trybu awaryjnego . bo gdy uruchamiam pokazuje sie pulpit ale bez ikonek sam goły pulpit (tapeta)


(jessica) #10

Jeśli w boot.ini nic się nie dopisało, to teoretycznie System powinien uruchamiać się w Trybie Normalnym.

Możesz spróbować zrobić reinstalację Systemu bez utraty danych >http://www.searchengines.pl/phpbb203/index.php?showtopic=24500&st=0&p=109540?entry109540

(http://www.fixitpc.pl/topic/48-konsola-odzyskiwania-naprawianie-windows/

.


(Koziq321) #11

a moze skan innym programem ? moze jeszcze jakiś syf siedzi w kompie?

-- Dodane 01.09.2011 (Cz) 15:12 --

może ten sławny combofix ?

wygląda to tak jakby explorer.exe nie startował choć w procesach jest . próbowałem nawet zakończyc proces i uruchomić raz jeszcze


(jessica) #12

Gorzej już raczej nie będzie, więc możesz spróbować go użyć.

Najprawdopodobniej to w niczym nie pomoże, ale i tak teraz nie masz już nic do stracenia.

Jeśli Rootkit nie został usunięty, to ComboFix zostanie zablokowany.

, nie napisałeś jeszcze, czy w ogóle ten Rootkit został wykryty przez Webroot AntiZeroAccess?

.


(Koziq321) #13

a jak mam niby załączyć ten weebroot jak nie moge go ściągnąć bo neta nie mam a komp działa tylko w trybie awaryjnym . dodam tylko ze w menageże zadan windows w trybie normalnym (nie awaryjnym) gdy wchodze przez ctrl alt del i zakończe procesy svchost.exe to pojawiają sie ikonki i komp chodzi lecz po chwili wyskakuje odliczanie do zamknięcia i pisze że komputer musi zostać ponownie uruchomiony ponieważ usługa zdalne wywoływanie procedur (RPC) została nieoczekiwanie przerwana

-- Dodane 01.09.2011 (Cz) 16:41 --

czytałem o tym i objawy wyglądają na rootkit ZeroAcces może to właśnie to ?

-- Dodane 01.09.2011 (Cz) 16:53 --

zaraz przeskanuje tym weebrotem od kolegi wrzuciłWebroot AntiZeroaccesm na pendrive


(jessica) #14

Tego "Webroot AntiZeroAccess" miałeś ściągnąć jako pierwsze zalecenie, a więc przed wykonaniem Scriptu.

Zapomniałam w swoim pierwszym poście napisać, że jeśli ten Rootkit zostanie wykryty, to żebyś nic więcej nie robił z pozostałych moich zaleceń, tylko udał się na inne forum (albo od razu sformatował dysk). Fakt, to moja wina, że zapomniałam tego napisać.

Nawiasem mówiąc "Webroot AntiZeroAccess" możesz ściągnąć u kolegi, ale, jak już pisałam w swoim pierwszym poście, usunięcie Rootkita nie spowoduje naprawy wyrządzonych przez niego szkód.

.


(Koziq321) #15

właśnie bardzo zależy mi na tym żeby uniknąć formata ...

log z webrootacceshttp://wklej.org/id/588316/

-- Dodane 01.09.2011 (Cz) 17:55 --

tutaj jest podobny temat http://forum.hotfix.pl/bezpieczenstwo/wirus-z-facebooka-hi-wanna-laugh-t14855.html tylko nie wiem czy moge wrzucać linki i udało mu sie doprowadzić komputer do pożądku


(jessica) #16

U Ciebie Webroot AntiZeroacces nawet nie był w stanie zadziałać, więc nie wiemy, czy jest ten Rootkit (choć wszystkie znaki na ziemi i niebie wskazują, że jest ten Rootkit!)

Znam ten temat z podanego przez Ciebie linku.

Znam też inne:

[http://www.fixitpc.pl/topic/5129-brak-ikon-na-pulpicie-infekcja-win32patched-hn/page__pid__37797#entry37797](http://www.fixitpc.pl/topic/5129-brak-ikon-na-pulpicie-infekcja-win32patched-hn/page pid 37797#entry37797)

I dlatego napisałam w swoim pierwszym poście, że jeśli będzie wykryty Rootkit ZeroAcces, to ja wycofam się z pomagania w Twoim temacie, bo to ponad moje umiejętności.

.


(Koziq321) #17

a gdzie by szło sie z tym zgłosić . dodam tylko że ten log z webroot antizeroacces był robiony w trybie awaryjnym


(jessica) #18

Najlepiej z tym Rootkitem radzi sobie @Picasso na forum http://www.fixitpc.pl/, ale nie wiem, czy jest sens zakładać tam temat teraz, gdy sytuacja jest już beznadziejna, na dodatek Webroot AntiZeroAcces u Ciebie nie działa. Pogmatwała się też sytuacja, bo wykonałeś najpierw Script, a nie najpierw Webroot Antizeroacces - chyba w ogóle nie powinnam dawać takiego Scriptu bez sprawdzenia obecności ZeroAcces.

EDIT:

Widzę, że już wcześniej założyłeś tam temat. Niestety, tam jest długi czas oczekiwania na odpowiedź (ale za to odpowiedź konkretną, pomocną).

.

.


(Koziq321) #19

haha czytałem na tym(fixitpc) forum o tym rootkicie i jakoś sobie poradziłem :smiley: scan combofixem+ podmiana explorer.exe teraz tylko przydało by sie doprowadzić uszkodzony system do pożądku

ps. już działa mi komp net ale chce sie upewnić czy ten syf został w stu procentach wywalony i chce załatać uszkodzenia systemu .

acha i jeszcze winsock.fix pomógł - mam neta :*

-- Dodane 02.09.2011 (Pt) 9:31 --

http://wklej.org/id/588512/ log z combofixa . konsola odzyskiwania nie była zainstalowana bo nie miałem wtedy jeszcze połączenia internetowego

-- Dodane 02.09.2011 (Pt) 9:44 --

http://wklej.org/id/588515/ log z webroota