No i wygląda na to, że bawimy się od nowa. Co ty ściągasz i uruchamiasz? Proszę usunąć to co znalazł Malwarebytes Wejść do zakładki Kwarantanna i tam również wszystko usunąć. Dodatkowo Proszę pobrać OTL
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Problem chyba leży na stronie, którą mam - ostatnio przez Total Comandera i zapisane tam hasło, dodano złośliwy kod do plików index, a antywirusy znajomych wykazują wirusa.
pierwszy - http://wklej.to/RdgG7
A nie masz kopii bazy danych strony aby je podmienić i zmienić hasło Zobacz np ten temat http://www.searchengines.pl/Infekcja-hi … 24457.html
OTL twierdzi że nie ma folderu a chyba nikt i nic go nie usunęło dlatego
Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego
Klikasz Look pokaż log na forum
Dodatkowo proszę o raport Gmera instrukcja http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/
Tak jak przypuszczałem infekcja wróciła
Proszę pobrać Combofixa instrukcja http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ klikasz na ikonkę prawym przyciskiem myszy i z menu wybierasz Uruchom jako administrator Jak wszystko pójdzie dobrze i narzędzie skończy pracę pokaż raport na forum
ComboF nie rusza podobnie jak wczesniej
Kurcze no faktycznie. Pobierz GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego
Klikasz Unlock Jak narzędzie skończy pracę
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Dodatkowo proszę o nowy raport Gmera
http://www.wklej.org/id/632145/ <- usuwanie
http://www.wklej.org/id/632148/ <- Extras
Nic się nie zmieniło jak było tak jest
Uruchom OTL klikasz Sprzątanie
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html
Po tym proszę o nowy skan Gmerem i nowy raport
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not open folder "C:\Windows\$NtUninstallKB61619$"
Deletion of folder "C:\Windows\$NtUninstallKB61619$" failed!
Status: 0xc0000715
Completed script processing.
*******************
Finished! Terminate.
Nic z tego
Uruchom z płytki OTLPE jak wcześniej
W okno Własne opcje skanowania / skrypt w OTLPE wklej:
Klikasz na Wykonaj skrypt/RunFix. Log z usuwania zapisz i dasz na forum
Po tym uruchom system normalnie, wykonaj nowy skan Gmerem i raport na forum
Dodam, że wchodząc do folderu Windows nie ma folderu NtUninstall.
Log Gmera pokazał że jest $NtUninstallKB61619$
Wykonaj skrypt w OTLPE i nowy skan Gmerem
Wykonałem skrypt w OTLPE - poniżej raport - i po restarcie komputera na dysku C pojawił się folder $NtUninstallKB61619$ na niebiesko. Jednak po wykonaniu skana GMERem znów ukrył się.
OTLPE
========== FILES ==========
File\Folder C:\Windows\System32\Drivers\spkp.sys not found.
File\Folder C:\Windows\System32\Drivers\jioew.sys not found.
Folder move failed. C:\Windows\$NtUninstallKB61619$ scheduled to be moved on reboot.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Emil Zbyszewski
->Temp folder emptied: 654285 bytes
->Temporary Internet Files folder emptied: 19620001 bytes
->Java cache emptied: 9050 bytes
->FireFox cache emptied: 374754719 bytes
->Opera cache emptied: 4298358 bytes
->Flash cache emptied: 45173 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 220289 bytes
Total Files Cleaned = 381.00 mb
OTLPE by OldTimer - Version 3.1.48.0 log created on 11252011_160805
Files\Folders moved on Reboot...
Folder move failed. C:\Windows\$NtUninstallKB61619$ scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Jeszcze raz. Szukamy folderu a tutaj jest reparsepoint mój błąd przepraszam. Tak jak już to miało miejsce
Proszę wejść do folderu C:\windows i zobaczyć czy ten folder $NtUninstallKB61619$ wyświetlany jest jako link (strzałka obok)
Jeśli tak to należy to zmienić mianowicie Start - w polu wyszukaj pliki foldery wpisujesz cmd u góry w oknie pojawi się program cmd.exe klikasz na niego prawym przyciskiem myszy i z menu wybierasz Uruchom jako administrator wpisujesz komendę fsutil reparsepoint delete C:\Windows$NtUninstallKB61619$ i Enter Jeśli otrzymasz informacje o odmowie dostępu pobierz GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego
Klikasz Unlock
Po wykonaniu operacji Proszę powtórzyć komendę fsutil reparsepoint delete C:\Windows$NtUninstallKB61619$ i Enter
Jeśli nie będzie przeszkód z odmową dostępu Proszę wejść do katalogu windows zaznaczyć już wyświetlany jako folder C:\Windows\ $NtUninstallKB61619$ i skasować przez Shift+Del
Jeśli będziesz miał z tym problem pisz, spróbujemy to zrobić przy użyciu OTL
Po tym pokaż nowy raport Gmera
Przepraszam, że tak długo nie odpisywałem, ale byłem strasznie zajęty.
w C:\Windows nie ma takiego folderu - pewnie jest ukryty.
Pobierz ponownie OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html oraz proszę pobrać GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego
Klikasz Unlock Jak narzędzie skończy pracę załaduj ten skrypt do OTL
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Raport z usuwania podaj na forum
All processes killed
========== FILES ==========
< fsutil reparsepoint delete C:\Windows$NtUninstallKB61619$ /C >
Błąd: Nie można odnaleźć określonego pliku.
C:\Users\Emil Zbyszewski\Desktop\cmd.bat deleted successfully.
C:\Users\Emil Zbyszewski\Desktop\cmd.txt deleted successfully.
File\Folder C:\Windows$NtUninstallKB61619$ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Emil Zbyszewski
->Temp folder emptied: 5527780 bytes
->Temporary Internet Files folder emptied: 1988767 bytes
->Java cache emptied: 906025 bytes
->FireFox cache emptied: 313541492 bytes
->Opera cache emptied: 29780738 bytes
->Flash cache emptied: 10619 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12343143 bytes
RecycleBin emptied: 797607422 bytes
Total Files Cleaned = 1 108,00 mb
OTL by OldTimer - Version 3.2.31.0 log created on 12112011_112446
Files\Folders moved on Reboot…
File move failed. C:\Windows\temp\CLML_AGENT_LOG1.txt scheduled to be moved on reboot.
File\Folder C:\Windows\temp\sqlite_yCYgxc1KJPzo9wP not found!
Registry entries deleted on Reboot…