Prośba o pomoc w usunięciu wirusa

spandaupol · 27 Październik 2011 15:38

Ale z czym konkretnie masz problem w instrukcji pisze Potrzebujesz czystej płyty CD/DVD oraz pendrive do nagrania raportu OTLPE

Na dowolnym dostępnym komputerze pobieramy plik z płytą. Jest to EXE wykonane w technice 7-Zip, które zawiera skompresowane ISO i kopię ImgBurn. Wystarczy włożyć czystą CD do napędu i uruchomić EXE, a nastąpi automatyczne wyekstraktowanie składników i nagranie na płytę. Przygotowujemy także urządzenie przenośne USB typu pendrive, na który będzie zgrywany log z akcji.
Następnie wkładamy płytę CD do napędu zdefektowanego komputera i startujemy z tej płyty. W BIOS musi być ustawiona odpowiednia kolejność startowania urządzeń, by załadowała się płyta a nie startował dysk twardy. Jeśli ktoś ma problem z BIOSem, to tutaj materiały uzupełniające:

emil1702 · 27 Październik 2011 19:36

czyli nie potrzebuje żadnych programów do nagrywania płyt tak?

wykonałem przed chwilą jeszcze skan Doctorem Web - oto screen http://img405.imageshack.us/img405/4971/screencm.jpg czy naprawdę zostały tam usunięte jakieś wirusy?

spandaupol · 28 Październik 2011 07:06

emil1702 , Ja proszę abyś zaczął stosować się do instrukcji Jak czegoś nie wiesz to pytasz, a nie robisz po swojemu. Twój skan antywirusem wywalił Ci sterownik netbt.sys Sterownik był zainfekowany ale wcale nie miał być usuwany. Jeśli będziesz to robił po swojemu to ja nie naprawię Ci systemu

Nie potrzebujesz on został już wbudowany w exe Pobierasz plik exe wkładasz czystą płytkę do napędu Uruchamiasz plik exe dwuklikiem i płytka powinna się nagrać automatycznie. Swoją drogą działa Ci teraz internet?

emil1702 · 28 Październik 2011 20:20

działa bez problemów wyłącza się tylko podczas włączenie Combofixa - ale to normalne.

– Dodane 28.10.2011 (Pt) 23:58 –

http://wklej.to/0mqJK <- raport ze skanu programem z płyty

ComboFix wciąż nie skanuje, czekam ponad 10 min i zero efektu.

spandaupol · 29 Październik 2011 07:26

I bardzo dobrze możemy działać dalej

Jeśli używasz programu który został już wcześniej zablokowany przez rootkita to może nie działać Jeśli poproszę o użycie Combofixa to będziesz musiał pobrać go ponowni, ale to później

Zanim wykonasz skrypt przeczytaj uważnie co masz robić, bo widzę że powyżej kliknąłeś skanuj zamiast Wykonaj skrypt

Wklej do notatnika poniższy tekst

Plik zapisz pod nazwą FIX.txt Nagraj go na przykład na pendrive

Podłącz ten pendrive do niestartującego zainfekowanego komputera. Wystartuj ponownie ten komputer z płyty OTLPE

Na zainfekowanym komputerze Uruchom program OTLPE zgodnie z instrukcją montujesz rejestr. Klikasz w Run Fix/Wykonaj skrypt. Zostaniesz poinformowany o braku skryptu i wtedy podasz ścieżkę do pliku o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, zachowasz go i zaprezentujesz później na forum.

Następnie proszę ponownie pobrać Combofixa z tego linku http://hostuje.net/file.php?id=e7547155 … e6a7c394a2 Klikasz prawym przyciskiem myszy na ikonkę Combofixa i z menu wybierasz Uruchom jako Administrator jak się uda wykonaj skan podaj raport na forum

emil1702 · 29 Październik 2011 09:35

Właśnie przy tym wczytywaniu z pliku zawieszał mi się komputer, więc wkleilem tekst.

Combofixa za każdym razem popieram z Twojego linku, więc nie jest zablokowany.

spandaupol · 29 Październik 2011 09:38

Tak OTLPe uruchamiasz zawsze z płyty Jak pojawi się właściwe okno to wklej ten cały tekst

Tylko masz kliknąć Run Fix/Wykonaj skrypt a nie Skanuj

Ale uruchom go teraz jako Administrator jak napisałem w poście powyżej

emil1702 · 29 Październik 2011 10:30

http://wklej.to/qh4Db <- OTLPE

Combofix znów stoi w miejscu - ruszałem jako Admin

spandaupol · 29 Październik 2011 10:41

Pobierz ponownie Combofixa i uruchom w trybie awaryjnym windows Jako Administrator Jeśli to nic nie da Proszę pobrać i ponownie użyć Webroot AntiZeroAccess instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry37213](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 37213#entry37213) raport z pracy narzędzia pokaż na forum

Jak to nic nie da będziemy usuwać nadal po kawałku

emil1702 · 29 Październik 2011 12:07

Combofix nie działa

Webroot AntiZeroAccess 0.8 Log File Execution time: 29/10/2011 - 15:05 Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1 15:05:41 - CheckSystem - Begin to check system… 15:05:41 - OpenRootDrive - Opening system root volume and physical drive… 15:05:41 - C Root Drive: Disk number: 0 Start sector: 0x01385000 Partition Size: 0x06649800 sectors. 15:05:41 - PrevX Main driver extracted in “C:\Windows\system32\drivers\ZeroAccess.sys”. 15:05:42 - InstallAndStartDriver - Unable to start AntiZeroAccess driver. StartService last error: 1084 15:05:49 - CheckFile - Unable to read “sptd.sys” file. CreateFile last eror: 0x00000020. 15:05:53 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 15:05:53 - StopAndRemoveDriver - File “ZeroAccess.sys” was deleted! 15:05:53 - Execution Ended!

spandaupol · 29 Październik 2011 13:45

Proszę całkowicie usunąć antywirusa AVG z systemu możesz użyć do tego celu AVGRemover http://www.avg.com/pl-pl/pobierz-narzedzia

Następnie ponownie w trybie awaryjnym uruchom Combofixa

emil1702 · 29 Październik 2011 14:16

usunięte, tylko jeden pliczek w Program Files nie chce się usunąć - nawet ręcznie. Combofix nie działa.

spandaupol · 29 Październik 2011 14:56

Uruchom z płyty OTLPE

W okno Custom Scans/Fixes proszę wkleić:

Klikasz Skanuj/Scan Raport ze skanu zaprezentuj na forum

emil1702 · 29 Październik 2011 18:57

http://www.wklej.org/id/616689/

spandaupol · 30 Październik 2011 10:09

Rootkit jak był tak jest ale po kolei

Uruchom OTLPE

W okno Własne opcje skanowania / skrypt w OTLPE wklej:

Klikasz na Wykonaj skrypt/RunFix. Log z usuwania zapisz i dasz później na forum

Po wykonaniu skryptu OTLPE uruchom windows Proszę wejść do folderu C:\windows i zobaczyć czy ten folder $NtUninstallKB61619$ wyświetlany jest jako link (strzałka obok)

Jeśli tak to należy to zmienić mianowicie Start - w polu wyszukaj pliki foldery wpisujesz cmd u góry w oknie pojawi się program cmd.exe klikasz na niego prawym przyciskiem myszy i z menu wybierasz Uruchom jako administrator wpisujesz komendę fsutil reparsepoint delete C:\Windows$NtUninstallKB61619$ i Enter Jeśli otrzymasz informacje o odmowie dostępu pobierz GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock

Po wykonaniu operacji Proszę powtórzyć komendę fsutil reparsepoint delete C:\Windows$NtUninstallKB61619$ i Enter

Jeśli nie będzie przeszkód z odmową dostępu Proszę wejść do katalogu windows zaznaczyć już wyświetlany jako folder C:\Windows\ $NtUninstallKB61619$ i skasować przez Shift+Del

Po tym pokaż nowy raport OTLPE Uruchom OTLPE klikasz Scan/Skanuj Nowy raport na forum

emil1702 · 30 Październik 2011 11:53

w cmd pisze - Plik lub katalog nie jest punktem ponownej analizy.

I przed komendą mam wpis C:\Windows\system32>

dodam jeszcze log z pierwszego skanowania http://wklej.to/w5Qxg

spandaupol · 30 Październik 2011 12:09

Uruchom cmd jako Administrator wpisz

DIR /A C:\Window i Enter

Zobacz czy w wyniku jest coś takiego

emil1702 · 30 Październik 2011 12:27

jeśli wpisze Window to nie można odnaleźć pliku, ale chyba uciekła literka

więc wpisałem Windows i wyświetliła mi się bardzo długa lista plików

spandaupol · 30 Październik 2011 12:30

No tak takie moje szybkie pisanie Mnie interesuje czy jest to

$NtUninstallKB61619$

Chodzi mi o to czy to $NtUninstallKB61619$ jest wyświetlane jako skrót czy jako folder? Bo nic nie piszesz

emil1702 · 30 Październik 2011 12:40

była strzałka wcześniej, teraz jej nie ma. Ale nazwa jest na niebiesko.

w CMD jest 2008-11-06 19:37