Jak w tytule. Jestem pozbawiony firewall’a i antywirusa przez sirefef’a.
Na razie wrzucam log OTL z dzisiejszej nocy. Więcej popołudniu jak wrócę.
Pozdrawiam
Proszę o raport Kasperski TDSSKiller [Instrukcja](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz opcje Skip
Nic nie wykrył.
Robiłem też dwa skany w nocy, w trybie awaryjnym i normalnym. Wtedy też nic nie wykryły.
Jedynie ESET online scanner usunął mi jakieś 4 pliki ale nie mam już raportu.
Może być tak, że już się pozbyłem tego rootkita ale pozostały jeszcze zniszczenia jakich narobił?
Musisz napisać dokładnie co robiłeś bo będziemy się powtarzać 
Więc tak, wykonaj po kolei:
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie pobierz ponownie Combofixa (to konieczne) Wejdź w tryb awaryjny windows i ruchom program. Instrukcja http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport, który pokażesz na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
log z usuwania http://www.wklejto.pl/125461
log po usuwaniu http://wklejto.pl/125459
ComboFix, tak samo jak przy poprzednich próbach, nie działa.
pobieram combofix.exe na pulpit,
uruchamiam system w trybie awaryjnym,
deamontools’a już wcześniej odinstalowałem
z firewall’em nic nie mogę zrobić (problem opisany tutaj http://tinyurl.com/5w4ctek)
klikam combofix.exe, zezwalam na uruchomienie, zrzekam się gwarancji,
widzę okno rozpakowującego się combofix’a, które po skończonej pracy znika i dalej nic się nie dzieje.
Obecnie svchost obciąża mi 75% procesora i co jakiś czas atakuje mnie BitMiner (zainstalowałem triala Malwarebytes’a)
Dobrze sprawdzimy coś jeśli się nie uda będziemy usuwać z zewnątrz
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Dodatkowo proszę o raport Farbar Service Scanner http://download.bleepingcomputer.com/farbar/FSS.exe (zaznacz wszystkie opcje) oraz FRST64 instrukcja [http://www.fixitpc.pl/topic/4414-diagno … __p__32551](http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/page view findpost p 32551)
OTL usuwanie - http://wklejto.pl/125506
OTL skan - http://wklejto.pl/125507
FSS skan - http://wklejto.pl/125509
FTRS64 skan - http://wklejto.pl/125510
Zobaczymy.
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum.
Następnie Start - W pole Wyszukaj programy i pliki wpisz cmd z prawokliku Uruchom jako administrator - w linii komend wpisz
netsh winsock reset i Enter po tym zrestartuj system.
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Poszkodowane usługi naprawimy jak będę przekonany że w systemie nie ma infekcji.
Usuwaniehttp://wklejto.pl/125557
Co jakiś czas svchost wpada w wysokie obroty (75%) i regularnie po starcie windows’a atakuje bitminer.
Czy ten punkt został wykonany?
Wykonaj pełny skan KVRT http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jak program coś wykryje nic nie usuwaj tylko pokaż raport z wykrytych infekcji. Jeśli nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189
Wykonany, z tym że :
Natomiast KVRT znalazł dwa pliki GAC_32 i rozpoznał jako backdoor ZEROACCES - http://wklejto.pl/125588
To było skanowanie automatyczne więc chyba tylko:
-System memory
-Hidden startup objects
-Disk boot sectors
Mimo to przeskanować wszystko?
Tak, a ten plik C:\Windows\assembly\GAC_32\ Desktop.ini możesz usunąć. Następnie pobierz ponownie Combofixa wejdź w tryb awaryjny windows i spróbuj uruchomić.
ComboFix zachowuję się tak samo jak poprzednio.
Uruchamiam teraz skan KVRT, trochę to potrwa.
Proszę użyć rmzeroaccess.exe http://free.avg.com/us-en/remove-win32zeroacces Zapisz raport i pokaż na forum
Następnie uruchom OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum
KVRT po pełnym skanie znalazł http://wklejto.pl/125695, wszystkie “skipped”. Całego loga nie wklejam (półtora miliona wierszy).
Virus Remover http://wklejto.pl/125696
I skan OTL http://wklejto.pl/125697
Usuń plik c:\Windows\assembly\GAC_32\ Desktop.ini oraz Katalog C:_OTL, opróżnij kosz.
Pobierz systemlook64 http://images.malwareremoval.com/jpshor … ok_x64.exe Wklej do niego
Klikasz Look pokaż raport na forum
Start - W pole Wyszukaj programy i pliki wpisz regedit z prawokliku Uruchom jako adminiostrator. Idziesz do kucza
klikasz prawym przyciskiem myszy na WinSock2 i wyeksportuj to do pliku To będzie kopia dla Ciebie gdyby coś poszło nie tak. Następnie pobierz fix dla Ciebie http://traxter-online.net/naprawa-winso … rnetowego/ dla Windows7 winsock2.reg klikasz na plik prawym przyciskiem myszy i z menu wybierasz Scal Jeśli operacja przebiegnie pomyślnie restartujesz komputer, uruchomisz OTL klikasz Skanuj pokaż nowy raport na forum
Wykonaj pełny skan Dr.WEB CureIt! usuń co znajdzie oraz napisz co wykrył.
Wykonaj weryfikacje integralności plików systemowych instrukcja http://www.fixitpc.pl/topic/1236-weryfi … edzie-sfc/ przefiltruj raport i pokaż na forum
Następnie ponownie zresetuj winsock Start - W pole Wyszukaj programy i pliki wpisz cmd z prawokliku Uruchom jako administrator - w linii komend wpisz netsh winsock reset i Enter po tym zrestartuj system.
Następnie napraw poszkodowane usługi. Na początek do wykonania http://www.fixitpc.pl/topic/6855-rekons … u-windows/
Pozostaje usługa WindowsDefendera
Wklej do notatnika
Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg Klikasz prawym przyciskiem myszy na ten plik i z menu wybierasz opcje Scal
Po tym pokaż nowy raport OTL.txt na forum