Lisek34 Opublikowano 15 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 15 Sierpnia 2011 Witam Od jakiegoś czasu mam problemy z wirusem Win32/PSW.Tibia.NCD i z rootkitem Win32/Rootkit.Agent.NTL. I jeszcze jeden, którego niestety nazwy nie pamietam, ukazał się on wcześniej, przed 2 formatami. 1 format strzeliłem mając Windowsa 7 i zmieniłem na XP. Instalacja ESET i problem z wirusami. Tymi samymi, co miałem na Windows 7. Drugi format strzeliłem, bo przypomniałem sobie, że mój komputer nie lubi coś Windowsa XP. Oba systemy są oryginalne . I znowu te wirusy[!!!]. Ukryte w Program Files\My Applications\vista.sys i Program Files\Temp\temporary1.exe. Jednakże jest jeszcze jeden, denerwujący "Windows Defender Apps Control", który wręcz uwielba wystartować w starcie systemu. Prosi o zgode, klikam nie, ale on swoje! Siedzi w katalogu Program Files\My Applications\... Logi z OTL dałem w załączniku, na strone GMERA nie mogę wejść OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 15 Sierpnia 2011 Używałeś ComboFix i nie ma o tym ani słowa + brak prezentacji wyników pracy. To jest obowiązkiem tu przedstawiać i nie zatajać, byśmy wiedzieli co było robione / co narzędzie usuwało. Proszę pokazać zawartość C:\ComboFix.txt (nie uruchamiaj narzędzia ponownie! ma być podany log z tamtego uruchomienia. na strone GMERA nie mogę wejść Jaki błąd? I przecież w przyklejonym (KLIK) jest do pobrania awaryjna kopia GMER z serwera fixitpc.... 1 format strzeliłem mając Windowsa 7 i zmieniłem na XP. Instalacja ESET i problem z wirusami. Tymi samymi, co miałem na Windows 7. Drugi format strzeliłem, bo przypomniałem sobie, że mój komputer nie lubi coś Windowsa XP. Oba systemy są oryginalne . I znowu te wirusy[!!!]. Wręcz się ciśnie na usta, że sam po formacie je ładujesz. Ta infekcja wchodzi przez uruchamianie jakiś "patchy" / cracków... Coś takiego tu musi mieć miejsce. Infekcja "My Applications" przekierowuje systemowy folder Autostart na ten folder. Wstępnie usuwam to co widzę + rekonfiguracja folderu Autostart. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Startup"=hex(2):"%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" :Files C:\Program Files\My applications C:\Program Files\Temp :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 2. Do oceny: nowy log z OTL zrobiony opcją Skanuj (ale zaznacz Pomiń pliki Microsoftu, gdyż nie muszę już oglądać wszystkich danych) + zaległy ComboFix + wyniki usuwania z punktu 1. . Odnośnik do komentarza
Lisek34 Opublikowano 15 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 15 Sierpnia 2011 Dodaje do swojego postu: - Mam dysk przenośny [stale podłączony] - Używałem ComboFixa żeby pozbyć się tego Windows Live coś tam... Szczegóły: http://wklej.to/P9qh8 wszystko jest w załącznikach Wręcz się ciśnie na usta, że sam po formacie je ładujesz. Ta infekcja wchodzi przez uruchamianie jakiś "patchy" / cracków... Coś takiego tu musi mieć miejsce. Z logu ComboFix I:\install.exe Najprawdopodobniej, w 99% [nie używam patchy i cracków, ja kupuje programy, lub wykorzystuje 30 dniowe trialówki], infekcja pochodzi z tego pliku [dysk "I" jest dyskiem przenośnym, tak jak reszta: G H J. ComboFix.txt Log_z_usuwania.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2011 (edytowane) "GMER przestał działać" = Tak, ponieważ nie wykonałeś przygotowań dla GMER opisanych w ogłoszeniu KLIK. Działa DAEMON Tools Lite i jego sterownik: DRV - [2011-08-12 19:36:16 | 000,232,512 | ---- | M] (DT Soft Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01) Z logu ComboFix Nie przeceniaj tego wyniku. To jest przejaw rutyny wbudowanej w ComboFix polegającej na usuwaniu luźnych EXE z root dysku, co powoduje że mogą zostać skasowane prawidłowe pliki. Plik install.exe wcale nie musiał być szkodliwy. Masz go ciągle w kwarantannie C:\Qoobox (pod zmienioną nazwą *.vir), możesz go rzucić na Virus Total. Jedyny wynik, który wygląda na powiązany z infekcją, to oczywiście ten: ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..c:\program files\My applications\Windows Live Control.exe Tylko ComboFix nie uzgadnia rejestru i nie naprawia skierowania folderu Autostart na folder "My applications", dlatego folder po usuwaniu i tak wraca. To korygowałam skryptem OTL, wg wyników prawidłowo wykonanych. R3 vista;vista;c:\program files\My applications\vista.sys [x] ComboFix nie usunął sterownika tej infekcji. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendy: SC STOP vista SC DELETE vista ------- Sigcheck -------Note: Unsigned files aren't necessarily malware..[-] 2011-08-11 . 7BD7F45FF37FA0669CD32CA0EF46E22C . 811520 . . [6.1.7600.16385] . . c:\windows\System32\user32.dll Jest odnotowane także w ComboFix, że ten plik nie ma sygnatury MS. Sprawdź system przy użyciu komendy sfc /scannow, przefiltruj wyniki do znaczników [sR] i przedstaw log: KLIK. Najprawdopodobniej, w 99% [nie używam patchy i cracków, ja kupuje programy, lub wykorzystuje 30 dniowe trialówki], infekcja pochodzi z tego pliku [dysk "I" jest dyskiem przenośnym, tak jak reszta: G H J. Na razie nie ma tu żadnych wskazówek skąd ładujesz infekcję po formacie. . Edytowane 16 Września 2011 przez picasso 16.09.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi