Nieusuwalny proces sdra64.exe

[Bodziuuuu]

Witam.

Kilka dni temu trochę "pogoglowałem" i w pewnym momencie Fire fox się przyciął. Odpaliłem menadżer zadań i tam zauważyłem taki proces "sdra64.exe". W necie przeczytałem, że to dosyć poważna infekcja, więc odpaliłem combofix'a. On usunął kilka plików, w tym ten tytułowy, tyle że nie pomyślałem, żeby zajrzeć jeszcze w procesy. Dzisiaj znowu nadziałem się na stronę, gdzie Fire fox się przyciął i wyskoczyła mi ramka Javy. Szybko zamknąłem proces javy i dodatkowo dwa iexplorer.exe no i patrze, a tu znowu/nadal jest te sdra64.exe. Znowu (wiem, fail) odpaliłem combofixa, który znowu usunął to co trzeba, ale ten tytułowy proces nadal działa i ten plik nadal znajduje się w system32. Gdy wyłączę ten proces to i tak nie mogę ręcznie usunąć tego pliku .exe z folderu system32. Dodam, że po ponownym uruchomieniu komputera proces sdra64.exe wraca. Combofix dawał komunikat, że znalazł pliki "rootkit". Od razu mówie - po przeczytaniu wielu informacji na waszym forum wiem jaką głupotę zrobiłem odpalając Combofixa...Log z combofixa również wrzucę.

Co do programu GMER - postępowałem zgodnie z Waszymi instrukcjami, ale...program totalnie zawiesza mi komputer. Po odpaleniu widze początkowy ekran programu, a potem ramka robi się biała, użycie procesora skacze na 100%. Pomyślałem, że może robi ten skan, o którym pisaliście, więc czekałem ze 30 minut, ale dalej to samo. Musiałem resetować kompa, bo nie mogłem nic zrobić, ani menadżer zadań nie działał ani nic. Potem znowu go odpaliłem, ale znowu było to samo. Mam nadzieję, że przez to nie usuniecie mojego tematu, jeśli macie jakiś pomysł na obejście tego, lub inny program - bez problemu wykonam skan.

Z góry dziękuję za zainteresowanie się tematem i pomoc. Jest to mój pierwszy post na forum, więc proszę o odrobinkę wyrozumiałości Dokładnie kilka razy czytałem regulamin zakładania tematu, oraz użyłem opcji szukaj, lecz nic nie znalazło.

Ajajaj - zapomniałem dodać. Usunałem Daeamon Tolls'a, MagisIso i postępowałem zgodnie z instrukcją, nie mam pojęcia czemu ten GMER się wiesza.

[picasso]

Co do programu GMER - postępowałem zgodnie z Waszymi instrukcjami, ale...program totalnie zawiesza mi komputer. Po odpaleniu widze początkowy ekran programu, a potem ramka robi się biała, użycie procesora skacze na 100%.

 

Jest napisane, że w takim przypadku należy podać log z programu RootRepeal. Musi być sprawdzenie pod kątem aktywności rootkit. Żaden z tu prezentowanych logów nie ma kompletnej predyspozycji pod tym kątem.

 

Ajajaj - zapomniałem dodać. Usunałem Daeamon Tolls'a, MagisIso i postępowałem zgodnie z instrukcją, nie mam pojęcia czemu ten GMER się wiesza.

 

Wg loga z OTL sterowniki DAEMON Tools są czynne:

 

DRV - [2004-08-22 17:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)
DRV - [2004-08-22 17:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus)

 

Gdy wyłączę ten proces to i tak nie mogę ręcznie usunąć tego pliku .exe z folderu system32. Dodam, że po ponownym uruchomieniu komputera proces sdra64.exe wraca.

 

Proces ten startuje przez wartość Userinit. Na chwilę obecną odnoszę się do ostatniego loga z OTL pod kątem konstruowania fiksa usuwającego.

 

1. Po pierwsze ściągnij emulację DAEMON Tools. To ma w zamiarze oczyścić pole (oraz wyeliminować przypuszczalnie fałszywy odczyt w MBR.EXE). W AutoRuns w karcie Drivers odptaszkuj te dwie pozycje podane wyżej.

 

2. Uruchom OTL i w sekcji Custom Scans/Fixes wklej ten skrypt:

 

:OTL
O4 - HKLM..\Run: [Root System Service] C:\WINDOWS\system32\rootsvc.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\system32\sdra64.exe ()
[2010-06-05 18:33:59 | 000,000,000 | -HSD | C] -- C:\WINDOWS\System32\lowsec
[2010-06-05 19:44:13 | 000,240,128 | ---- | M] () -- C:\Documents and Settings\Priv\Dane aplikacji\kdqmvpb.exe
[2010-06-05 19:27:18 | 000,240,128 | ---- | M] () -- C:\Documents and Settings\Priv\Dane aplikacji\ynzvjbg.exe
[2010-06-05 18:55:35 | 000,240,128 | ---- | M] () -- C:\Documents and Settings\Priv\Dane aplikacji\styjwly.exe
[2010-06-05 18:41:51 | 000,240,128 | ---- | M] () -- C:\Documents and Settings\Priv\Dane aplikacji\rafclcf.exe
[2010-06-05 18:33:54 | 000,240,128 | ---- | M] () -- C:\Documents and Settings\Priv\Dane aplikacji\xfbnuvb.exe
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom go przez Run Fix. Wynikową powinien być samoreset systemu i podanie końcowego loga z czyszczenia.

 

2. Po restarcie systemu wytwórz nowy zestaw logów: OTL z opcji Run Scan oraz RootRepeal. Dołącz także log uzyskany z czyszczenia OTL w punkcie 1.

 

 

 

.

[Bodziuuuu]

Po pierwsze - bardzo dziękuję za to, że nie zostawiliście mnie na lodzie

Nie wiem czy dobrze zrozumiałem, ale wrzucam log, który się pojawił po tym jak wrzuciłem ten skrypt i poleciał reset kompa ( ta nazwa 06052010_220837) oraz nowy log z OTL'a z run scan (nazwa OTL2) oraz log z RootRepeal

 

Bardzo przepraszam, ale ten log, po ktorym polecial reset, to nie moge go dodać jako załącznik ponieważ "Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku", więc wrzucę kawałek treści, jeśli będzie tam coś bardziej ważnego, to daj znać, dokleje resztę. Od razu nie chce tego robić, bo się rozjedzie post.

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Root System Service deleted successfully.

C:\WINDOWS\system32\rootsvc.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.

File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.

Folder move failed. C:\WINDOWS\System32\lowsec scheduled to be moved on reboot.

C:\Documents and Settings\Priv\Dane aplikacji\kdqmvpb.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\ynzvjbg.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\styjwly.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\rafclcf.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\xfbnuvb.exe moved successfully.

[picasso]

Bardzo przepraszam, ale ten log, po ktorym polecial reset, to nie moge go dodać jako załącznik ponieważ "Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku", więc wrzucę kawałek treści, jeśli będzie tam coś bardziej ważnego, to daj znać, dokleje resztę. Od razu nie chce tego robić, bo się rozjedzie post.

 

Ja muszę zobaczyć log w całości, co się stało po restarcie (bo log z OTL wskazuje, że plik niestety nie został usunięty). Nie może to być kawałek. Wklej go w całości do posta.

Załączniki: mówiłam wyraźnie w organizacyjnej i jest to samo w ogłoszeniu działu Malware = tylko TXT dopuszczone (więc nie próbuj ładować pliku o rozszerzeniu *.LOG lub innym). Tylko zważ, że nie warto używać Załączników do krótkich logów. To ma iść do posta. O "rozwalenie posta" się nie martw, zawsze można zrobić przełamanie linii.

 

Następnie, działa tu znowu kolejny sterownik emulacji:

 

DRV - [2010-06-05 22:00:45 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Nie było tego w poprzednim OTL. Proszę wyłącz emulację SPTD.

 

 

 

.

[Bodziuuuu]

No więc tak, wyłączyłem to w autorun i oto cały ten log:

 

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Root System Service deleted successfully.

C:\WINDOWS\system32\rootsvc.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.

File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.

Folder move failed. C:\WINDOWS\System32\lowsec scheduled to be moved on reboot.

C:\Documents and Settings\Priv\Dane aplikacji\kdqmvpb.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\ynzvjbg.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\styjwly.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\rafclcf.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\xfbnuvb.exe moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Default User

 

User: LocalService

 

User: NetworkService

 

User: Priv

->Flash cache emptied: 1814 bytes

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: Priv

->Temp folder emptied: 4100660 bytes

->Temporary Internet Files folder emptied: 653483 bytes

->Java cache emptied: 33773410 bytes

->FireFox cache emptied: 30795852 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1100105 bytes

%systemroot%\System32 .tmp files removed: 1610800 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 483 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 69,00 mb

 

 

OTL by OldTimer - Version 3.2.5.3 log created on 06052010_220837

 

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.

Folder move failed. C:\WINDOWS\System32\lowsec scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

[picasso]

No więc tak, wyłączyłem to w autorun

 

Czy na pewno SPTD? Otóż z tego co ja pamiętam, SPTD jest niemożliwy do odptaszkowania w Autoruns, zgłasza się Odmowa dostępu. SPTD można wyłączyć polubownie przez Defogger lub odinstalować na czas dezynfekcji. Emulacja strasznie brudzi i zaburza odczyty w rootkit detekcji, może także uniemożliwiać usuwanie. W kwestii infekcji: skrypt OTL nie był w stanie ruszyć pliku w Userinit, wszystko "failed". Spróbujmy inaczej:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Root System Service"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Uruchom Avenger i w oknie wklej skrypt:

 

Folders to delete:

C:\WINDOWS\System32\lowsec
 
Files to delete:
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\System32\rootsvc.exe
C:\Documents and Settings\Priv\Dane aplikacji\whpxbcw.exe
C:\Documents and Settings\Priv\Dane aplikacji\ayyektd.exe
C:\Documents and Settings\Priv\Dane aplikacji\mhnkcop.exe
C:\Documents and Settings\Priv\Dane aplikacji\mvwjjmd.exe

 

Klik w Execute i zatwierdź reset komputera. Po restarcie otrzymasz log z Avenger co przeprowadził.

 

3. Do oceny: ów log z Avenger oraz wytworzone już po usuwaniu nowe logi z OTL i RootRepeal.

 

 

.

[Bodziuuuu]

Wszedłem jeszcze raz w autorun i ten sterownik jest odznaczony.

 

Ad1 - poprawnie dodałem rejestr.

 

Ad2. I tutaj moja porażka, mam nadzieje, że nie urwiesz mi głowy. Odpaliłem Avengera i gdy dałem Execute to antyvirus doszukał się tam Trojana i przez przypadek, totalny przypadek nacisnąłem na ZMIEŃ NAZWĘ TROJANA. Po resecie nie wyświetlił się log. Tym razem wyłączyłem antywirusa na dobre i dałem skan Avengera i było juz ok, ale z tego co widze w logach, to chyba za tą pierwszą próbą usuną on ten syf. Oto ten log, nie znalazł tych plików, bo chyba zostały one usunięte wcześniej, a z tego właśnie 1 skana nie pojawił mi się log przez ten durny antywirus...eh W załącznikach OTL i RootRepeal. (nie wiem czemu ten nowy raport Roota jest taki krotki i nic tam nie ma, no chyba ze tak ma byc).

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

 

Error: folder "C:\WINDOWS\System32\lowsec" not found!

Deletion of folder "C:\WINDOWS\System32\lowsec" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\WINDOWS\system32\sdra64.exe" not found!

Deletion of file "C:\WINDOWS\system32\sdra64.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\WINDOWS\System32\rootsvc.exe" not found!

Deletion of file "C:\WINDOWS\System32\rootsvc.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\Documents and Settings\Priv\Dane aplikacji\whpxbcw.exe" not found!

Deletion of file "C:\Documents and Settings\Priv\Dane aplikacji\whpxbcw.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\Documents and Settings\Priv\Dane aplikacji\ayyektd.exe" not found!

Deletion of file "C:\Documents and Settings\Priv\Dane aplikacji\ayyektd.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\Documents and Settings\Priv\Dane aplikacji\mhnkcop.exe" not found!

Deletion of file "C:\Documents and Settings\Priv\Dane aplikacji\mhnkcop.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\Documents and Settings\Priv\Dane aplikacji\mvwjjmd.exe" not found!

Deletion of file "C:\Documents and Settings\Priv\Dane aplikacji\mvwjjmd.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

[picasso]

RootRepeal. (nie wiem czemu ten nowy raport Roota jest taki krotki i nic tam nie ma, no chyba ze tak ma byc)

 

Zdjąłeś emulację wirtualnych napędów, co obniża wydatnie liczbę hooków.

 

Odpaliłem Avengera i gdy dałem Execute to antyvirus doszukał się tam Trojana i przez przypadek, totalny przypadek nacisnąłem na ZMIEŃ NAZWĘ TROJANA. Po resecie nie wyświetlił się log.

 

Antywirusy (niesłusznie) reagują na składnik Avengera o nazwie cleanup.exe i to tu zaszło:

 

[2010-06-05 22:59:52 | 000,019,286 | ---- | M] () -- C:\cleanup.exe.vir

 

Ale to pozornie nieudane podejście z Avenger musiało być pomyślne, tzn. wtedy odbyło się usuwanie właściwe plików. Oczywiście ponowienie skryptu już bez sensu, ponieważ to skrypt jednorazowego użytku i nie przetworzy ponownie czegoś co już wykonał, dlatego mamy co widzimy powyżej. Obecny log z OTL wykazuje, że rzeczywiście usuwanie się wykonało, ponieważ zniknęły wszystkie poprzednie odczyty udawadniające czynne pliki. Mamy do wykonania kosmetykę zapisów po trojanach oraz dwa drobne nieszkodliwe "not found" usługi Java oraz zapisu DAEMON.

 

1. Uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

:OTL
O4 - HKLM..\Run: [Root System Service] C:\WINDOWS\System32\rootsvc.exe File not found
O4 - HKU\.DEFAULT..\Run: [userinit] C:\WINDOWS\System32\sdra64.exe File not found
O4 - HKU\S-1-5-18..\Run: [userinit] C:\WINDOWS\System32\sdra64.exe File not found
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found
O4 - HKLM..\Run: [DAEMON Tools-1033] C:\Program Files\Programy\D-Tools\daemon.exe File not found
SRV - File not found [Auto | Stopped] --  -- (JavaQuickStarterService)

 

Jak poprzednio: Run Fix. Tym razem proces powinien być błyskawiczny i bez resetu, bo są to tylko zapisy w rejestrze.

 

2. Wysprzątaj po ComboFix (co przy okazji wyzeruje i punkty Przywracania). W Start > Uruchom > wklej polecenie: "C:\Documents and Settings\Priv\Pulpit\ComboFix.exe" /uninstall

 

3. Wytwórz nowy finałowy log z OTL.

 

 

 

 

.

[Bodziuuuu]

Ad1. Log po OTL'u

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Root System Service deleted successfully.

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\userinit deleted successfully.

Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\userinit not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DAEMON Tools-1033 deleted successfully.

Service JavaQuickStarterService stopped successfully!

Service JavaQuickStarterService deleted successfully!

 

OTL by OldTimer - Version 3.2.5.3 log created on 06052010_234233

 

Ad2. Combofix usunięty

Ad3 Najnowszy log OTL'a w załączniku

[picasso]

Nic więcej tu nie notuję z zakresu infekcji.

 

1. Drobne porządki po narzędziach. Nie został usunięty folder ComboFix. Start > Uruchom > cmd i wpisz polecenie RD /S /Q C:\ComboFix. Dodatkowo w OTL wywołaj funkcję CleanUp, co powinno wykasować kwarantanny OTL i Avenger oraz zlikwidować narzędzie jako takie.

 

2. Na wszelki wypadek przeskanuj system przez Malwarebytes' Anti-malware i zgłoś się tu z wynikami.

[Bodziuuuu]

Ok, bardzo Ci dziękuję za pomoc i za poświęcony czas Jesteś super ! A mam takie jeszcze pytanie, te sterowniki, które odznaczyłem w Autoruns to mam je znowu zaznaczyć ?

[picasso]

Czekam jeszcze na skan przez MBAM. Inna specjalizacja zadaniowa niż posiadany przez Ciebie ArcaBit.

 

A mam takie jeszcze pytanie, te sterowniki, które odznaczyłem w Autoruns to mam je znowu zaznaczyć ?

 

Muszą być przywrócone, jeśli DAEMON Tools ma działać.

[Bodziuuuu]

Od tego programu do skanowania zaczął wariować mi program od drukarki ScanSoft

Log

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Wersja bazy: 4052

 

Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-06-06 00:16:27

mbam-log-2010-06-06 (00-16-27).txt

 

Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 118817

Upłynęło: 4 minut(y), 8 sekund(y)

 

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 6

Zainfekowanych wartości rejestru: 1

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 0

 

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych kluczy rejestru:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

 

Zainfekowanych wartości rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

 

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

 

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

 

Zainfekowanych plików:

(Nie znaleziono zagrożeń)

 

 

 

Usunąć to co znalazło ?

[picasso]

Wszystkie podane tu wyniki usuń za pomocą MBAM.

 

Od tego programu do skanowania zaczął wariować mi program od drukarki ScanSoft

 

W jakim sensie?

[Bodziuuuu]

System Windows konfiguruje ScanSoft, leci pasek, a potem wyskakuje błąd i każe mi wskazać źródło, ale już mniejsza o to. BARDZO Ci dziękuję za pomoc, jesteś wielka !

[picasso]

System Windows konfiguruje ScanSoft, leci pasek, a potem wyskakuje błąd i każe mi wskazać źródło, ale już mniejsza o to.

 

Czyli widzisz okno Instalatora Windows? To oznacza uszkodzenie danych konfiguracyjnych Instalatora relatywnych do tego oprogramowania. Problem się leczy poprzez: usunięcie za pomocą Windows Installer CleanUP wpisu tego zdefektowanego softu (i tylko tego - nie ruszaj reszty), a następnie reinstalacja z czystej instalki (w przeciwnym wypadku nie będzie soft dostępny na normalnej liście usuwania).

 

 

EDIT: Widzę, że usunąłeś wszystkie logi. Takich rzeczy się nie robi. Temat teraz wygląda ni przypiął ni wypiął. Nie widać w ogóle do czego się odnosi to co mówię!

 

 

.

[Bodziuuuu]

Ok, dzięki za kolejne info, ale z tym to będę walczył jutro, bo teraz czas na sen. Jeszcze raz dziękuję za pomoc, w życiu sam bym sobie nie poradził.

Edytowane 17 Czerwca 2010 przez picasso
W związku z brakiem dalszych odpowiedzi temat zamykam.