Posiadam xp oraz ochronę AVASTA i niestety on sobie nie radzi z zakraplaczem Win32:neredr [drp], jestem w tych sprawach cieniasem iproszę o pomoc w kompleksowym odrobaczeniu mojego laptopka. Z góry dziękuję
Ten zakraplacz zazwyczaj oznacza Viruta.
Wklej logi z OTL, GMER i System Repair Engineer
Logi wklej na wklejto.pl a tutaj tylko link do wklejki.
W OTL przestaw Processes na All oraz zaznacz LOP check i Purity check , nic więcej nie należy zmieniać.
W GMER klik na Szukaj , po zakończeniu skanu klikasz Kopiuj lub Zapisz.
z OTL i SREng nie ma problemu logi zaraz przesyłam, natomiast po odpaleniu GMER-a a sekundę “niebiesko” i wywala laptopka. Mam nadzieję że te dwa logi wystarczą. pozdrawiam i dziękuję
logi za moment
– Dodane 27.10.2009 (Wt) 9:03 –
oto moje logi : http://www.wklejto.pl/45403 i http://www.wklejto.pl/45404 - za pomoc dziękuję
Nie wygląda dobrze.
Pokaż log z Reglooks
Zastosuj ComboFix
Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.
Logi wklej na wklejto.pl a tutaj tylko link do wklejki.
Pokaż log z RootRepeal
Zakładka Report , klikasz Scan , zaznaczasz wszystkie kratki => OK , wklejasz log który wyskoczy.
Jeśli i RootRepeal nie zaskoczy to z SysProt AntiRootkit
Zakładka log, zaznaczasz wszystko oprócz Hidden Files do skanu => Create log.
Problem jest chyba duży, bo reglooks nawet nie odpali, natomiast combo fix najpierw podaje że komputer jest zarażony roolkitem w c:\WINDOWS\system32\sdra64.exe i musi ponowie uruchomić kompa, potem pracuje normalnie po etapie 50 usuwanie plików i niebieski ekran wysypuje system. jedyny log to ten z RootRepeal jest tu http://www.wklejto.pl/45461
Myślałem, że Virut też jest bo ten Avast’owy “zakraplacz” to jak to wieszcz mawiał “rychła przepowiednia jego”.
Na wszelki wypadek pokaż logi z RootRepeal z zakładek SSDT + ShadowSSDT (klikasz Scan => Save Report)
Zastosuj exeHelper
ComboFix’a pobierz od nowa, w momencie pobierania zmień mu nazwę na losową a rozszerzenie na .com.
oki działam
– Dodane 27.10.2009 (Wt) 21:23 –
combofixa pobrałem od nowa ale zmianę nazwy i rozszerzenie mogłem zmienić dopiero po ściągnięciu, zadziałał ale do momentu “usuwanie plików” i niebiesko wysypało, tu są logi z RootRepeal, SSDT, Shadow SSDT oraz exeHelper - http://www.wklejto.pl/45480, http://www.wklejto.pl/45481, http://www.wklejto.pl/45483 i http://www.wklejto.pl/45484. Pozdrawiam i dziękuję za wyrozumiałość
W porządku, wygląda na to, że Viruta nie ma. Tyle, że jest infekcja na pliku bądź plikach systemowych.
Teraz wklej nowy log z OTL, SRENG, RegLooks (jeśli nie będzie chciał się uruchomić zmień mu rozszerzenie na .com)
Pobierz AVZ
Zaznaczasz do skanu wszystkie partycje, potem File => Standard scripts => zaznaczasz opcję 3 => klikasz Execute selected scripts => po zakończeniu skanu klikasz ikonę dyskietki po prawej stronie, zapisujesz log i podajesz tutaj jego zawartość.
reglooks dalej nie odpali, tu są nowe logi z OTL http://www.wklejto.pl/45518, SREngLOG http://www.wklejto.pl/45519 oraz avz http://www.wklejto.pl/45520
Pobierz SystemLook, wklej do niego
W OTL w dolne białe okno wklej taki tekst
Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan.
log z systemlook http://www.wklejto.pl/45541, log z usuwania OTL http://www.wklejto.pl/45543 i log z OTL z opcji run scan http://www.wklejto.pl/45544
MD5: 8607d35d92528e2df386f19a960d23ce
First received: 2009.02.13 20:31:44 UTC
Data: 2009.10.27 05:39:19 UTC [+1D]
Wyniki: 0/41
Permalink: analisis/c09fc6a73d9802d1f1aa4b3914e9c7eccda64858df1124e3ddba99e2601d7a04-1256621959
– Dodane 28.10.2009 (Śr) 16:20 –
MD5: 8607d35d92528e2df386f19a960d23ce
First received: 2009.02.13 20:31:44 UTC
Data: 2009.10.27 05:39:19 UTC [+1D]
Wyniki: 0/41
Permalink: analisis/c09fc6a73d9802d1f1aa4b3914e9c7eccda64858df1124e3ddba99e2601d7a04-1256621959
– Dodane 28.10.2009 (Śr) 16:24 –
raport z OTL po wklejce:
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 deleted successfully.
OTL by OldTimer - Version 3.0.22.1 log created on 10282009_162249
– Dodane 28.10.2009 (Śr) 16:30 –
a tu jest log z OTL run scan OTL http://www.wklejto.pl/45552
Byłbym zapomniał - WRU => KLIK
Poza tym w logach niby nic nie ma. Ale niepokoi mnie ten svchost.
W OTL kliknij CleanUp.
Zastosuj Malwarebytes Anti-Malware i Dr.WEB CureIt, skany dokładne - usuwasz co znajdą i pokazujesz z nich logi.
raport z dr web http://www.wklejto.pl/45625, raport z anti malwere http://www.wklejto.pl/45626
– Dodane 29.10.2009 (Cz) 10:42 –
i jeszcze z OTL http://www.wklejto.pl/45627
Nie wiem czy dotarła do Ciebie delikatna sugestia odnośnie WRU (opis strony jak i programu w linku w poprzednim poście), dlatego się powtórzę - wywal to świństwo!
Jeszcze raz spróbuj uruchomić ComboFix’a i Reglooks (pobierz je od nowa, uruchom w trybie awaryjnym).
A jako, że o czystości svchost nie jestem przekonany wklej do notatnika
Zapisz jako, Wszystkie pliki skrypt.bat i zapisz bezpośrednio na C
Potem wchodzisz w konsolę odzyskiwania i wpisujesz komendę
Jak wejść do konsoli odzyskiwania tutaj
http://www.adam749.eu/index.php?id=konsola
Następnie wklej w OTL
Klikasz Run Scan i wklejasz powstały log.