Witam.
Przeglądarka przekierowuje wyniki wyszukiwania na podejrzane strony(testy miłosne itp). Proszę o analizę i poradę:
http://wklej.org/id/606601/ OTL.txt
http://wklej.org/id/606603/ Extras.txt
Z góry dziękuję
Rootkit zeroaccess i nie tylko. Usuwanie będzie bardzo trudne i zobaczymy jak się skończy.
Proszę pobrać i spróbować uruchomić Dummy Creator http://download.bleepingcomputer.com/fa … reator.zip Rozpakuj, uruchom
Wklej do niego
Klikasz Create wygenerowany log dasz później na forum
Następnie restartujesz system to warunek konieczny Pobierasz Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje wybierasz Skip prezentujesz raport na forum
Pobierz Combofixa Na razie nie uruchamiaj podaje link zastępczy (nazwę specjalnie zmieniłem) http://hostuje.net/file.php?id=97fbace0 … 5a9d9d90ca
Tego pliku nie znam ale to na później
Uruchom ponownie Kasperski TDSSKiller jak znajdzie
Wybierasz opcje Cure Będzie wymagany restart Po restarcie Wejdź od razu w tryb awaryjny windows (F8 przed bootem windowsa) i teraz szybko uruchom Combofixa dwuklikiem. Instrukcja do Combofixa http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Jak program skończy pracę pokaż raport z narzędzia na forum
ComboFix zanim zaczął pracę wyrzucił ostrzeżenie o zeroaccess i wymusił restart komputera.
Raporty:
http://wklej.org/id/606616/ ComboFix
http://wklej.org/id/606617/ TDSS po opcji Cure
Czy wiesz od czego jest ten plik C:\WINDOWS\system32\drivers\ htnio.sys?
Proszę na dysku *C:* utworzyć katalog Plik Proszę pobrać plik tcpip.sys dla twojego systemu http://hostuje.net/file.php?id=ab13c5e1 … 424ec6da46 i umieścić go w katalogu C:\Plik
wklej do notatnika:
Zapisz plik jako CFScript najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Następnie pobierz ponownie OTL, wykonaj skan i pokaż raport OTL na forum
Nie odpowiedziałeś na pytanie co to za plik htnio.sys. Dobra to inaczej przeskanuj plik c:\windows\system32\drivers\htnio.sys tutaj http://www.virustotal.com/ podaj raport na forum w razie wątpliwości użyjemy np Gmera
Odinstaluj Combofixa w następujący sposób
Start - Uruchom - w linii komend wpisujesz
"c:\documents and settings\User\Pulpit\ComboFix.exe" /uninstall
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Następnie pobierz i użyj Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jak program coś znajdzie nic nie usuwaj tylko zgłoś się z wynikami na forum
Odinstalowałem ComboFix’a, Uruchomiłem skrypt, zrestartowałem komputer ale loga z OTL’a nie mam na razie z powodu braku czasu. Udało mi się tylko te logi zrobić KAV:
Postaram się jeszcze dziś dorzucić OTL. W każdym razie przeglądarka działa już normalnie. Wisi ten plik tylko o który pytałeś…
Spokojnie kiedy dasz radę podasz logi Plik do usunięcia
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Kolejna porcja logów:
http://wklej.org/id/606706/ Po uruchomieniu skryptu
http://wklej.org/id/606707/ Drugi skan OTL
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html