GoMez16
(GoMez16)
25 Lipiec 2013 18:53
#1
Mam prosbę o pomoc w wyleczeniu Windows7 sp1 z wirusa Win64/Pathed.A.
AVG pokazuje infekcję Win64/Pathed.A pliku services.exe oraz inne infekcje koniami trojańskimi które blokuje. Proba wyleczenia z płyty bootowalnej avg nie powiodły się.
Pliki z OTL:
http://wklej.to/yIrbE
http://wklej.to/Lzopv
Dziękuję
GoMez
Atis
(Atis)
25 Lipiec 2013 19:09
#2
Tymczasowo wyłącz program AVG.
Wszystkie programy > Akcesoria > Wiersz polecenia > Kliknij prawym i wybierz Uruchom jako administrator
Wklej i zatwierdź enterem: sfc /scanfile=C:\Windows\system32\services.exe
Zrestartuj komputer.
W wierszu polecenia wklej i zatwierdź enterem: netsh winsock reset
Do okna Własne opcje skanowania / skrypt wklej:
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Odinstaluj:
Conduit Engine
My Web Search
uTorrentBar Toolbar
McAfee Security Scan Plus
RelevantKnowledge
Uruchom AdwCleaner i kliknij Usuń.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż raport z tego programu.
Kliknij Skanuj i pokaż nowy log z OTL.
GoMez16
(GoMez16)
25 Lipiec 2013 20:58
#3
Atis
(Atis)
26 Lipiec 2013 08:27
#4
Odinstaluj McAfee Security Scan.
[2013-07-20 12:09:07 | 000,000,000 | —D | C] – C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x264 Video Codec [2013-07-20 12:09:04 | 000,000,000 | —D | C] – C:\Program Files (x86)\x264 Video Codec
Fałszywe kodeki z torrentów zawierają tego trojana ZeroAccess (Sirefef).
Wklej do OTL i kliknij Wykonaj skrypt:
:OTL O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found [2013-07-20 12:09:07 | 000,000,000 | —D | C] – C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x264 Video Codec [2013-07-20 12:09:04 | 000,000,000 | —D | C] – C:\Program Files (x86)\x264 Video Codec ZeroAcces[2013-07-20 12:09:07 | 000,000,000 | —D | C] – C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x264 Video Codec [2013-07-20 12:09:04 | 000,000,000 | —D | C] – C:\Program Files (x86)\x264 Video Codec
Pobierz Farbar Recovery Scan Tool 64-Bit Version
Wklej do systemowego notatnika:
Plik zapisz pod nazwą fixlist Uruchom FRST i kliknij Fix.
Pobierz i uruchom ESET ServicesRepair
Postępuj zgodnie z zaleceniami programu.
Po restarcie utwórz nowy raport z Farbar Service Scanner
Uruchom FRST i kliknij Scan. Pokaż raport z tego programu.
GoMez16
(GoMez16)
26 Lipiec 2013 14:21
#5
Atis
(Atis)
26 Lipiec 2013 14:27
#6
Zapomniałeś o tym:
Utwórz nowy plik fixlist :
Uruchom FRST i kliknij Fix.
Pokaż raport z usuwania i nowy log z opcji Scan.
GoMez16
(GoMez16)
26 Lipiec 2013 14:48
#7
nie zapomnialem - ServiceRepair był uruchomiony zgodnie ze wskazówką
raporty z RFST:
http://wklej.to/Yu3Pf
http://wklej.to/KuDFr
Atis
(Atis)
26 Lipiec 2013 14:52
#8
Prosiłem o nowy raport z Farbar Service Scanner.
Atis
(Atis)
26 Lipiec 2013 15:20
#10
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
GoMez16
(GoMez16)
26 Lipiec 2013 18:46
#11
Antimalware znalazlo jeszcze Trojan.ObCom które usunął. Nie moge tylko znalezc pliku jego loga po restarcie - jest http://wklej.to/tevd9
Atis
(Atis)
26 Lipiec 2013 18:55
#12
Skasuj z dysku cały folder ComObjects i to wszystko:
C:\Program Files (x86)\Common Files\ComObject
GoMez16
(GoMez16)
26 Lipiec 2013 19:03
#13
Nie ma juz tego katalogu - usunął go antimalware.
Czyli powinno byc juz czysto? Włączyc avg i skanowac?
Atis
(Atis)
26 Lipiec 2013 19:08
#14
Według logów infekcja została usunięta, więc możesz uruchomić AVG i przeskanować dysk.
GoMez16
(GoMez16)
26 Lipiec 2013 20:42
#15
Wygląda że wszystko jest ok. AVG nie zgłasza problemów.
Pozostaje podziękować i wyrazić uznanie
Jeszcze raz bardzo dziękuję za pomoc. Dobrze, że w takich sytuacjach można liczyć na pomoc na forum.
Pozdrawiam.