Skocz do zawartości

Podejrzewam ZeroAccess


Rekomendowane odpowiedzi

Ten post pisze z innego kompa niż ten "uszkodzony"

W tym poście napisałem w skrócie moje wnioski i dałem logi. Poniżej w załączniku napisałem bardzo długi szczegółowy opis co i jak się stało.

 

Co mam:

W kompie są dwie karty sieciowe (jedna do LAN, jedna do internetu) i oba połączenia sieciowe nie działają ani normalnie ani w trybie awaryjnym. Spod Kaspersky Rescu Disk połączenie internetowe działa więc coś z Windows. "Usterka" wystąpiła już tydzień temu ale straciłem dużo czasu na skanowania (Avast i Kaspersky) i próbę samodzielnego rozwiązania problemu. To był błąd.

 

W skrócie:

1. Po włączeniu na noc skanowania Avasta na rano system był zawieszony, więc RESET i po normalnym włączeniu systemu nie działały połączenia sieciowe.

2. Combofix wykrył rootkita Zero Access ale usunął go i potem już nie wykrywał go stąd temat w tym dziale.

3. Combofix dał do kwarantanny plik rejestru tcpip (zapewne jako zarażony przez Zero Access) ale jego przywrócenie nie pomaga.

4. Więc albo jeszcze mam jakąś infekcję albo popsułem sobie rejestr/system/itd.

Jeśli temat nie do tego działu to przepraszam i proszę o przeniesienie.

 

Nie wiem jakie logi są poprawne z Combofixa i Kaspersky Rescue Disk bo uruchamiałem te narzędzia kilkukrotnie więc podałem te ostatnie, a z Kasperskiego ten dotyczący dysku C.

Robiłem też naprawę protokołu tcpip i katalogu Winsok.

Wszystko jak to się stało i co po kolei robiłem jest szczegółowo opisane w załączniku.

Jako, że u Was obowiązkowe są logi z OTL i GMER - zastosowałem te programy dopiero teraz, na samym końcu więc nie wiem co w nich będzie :(

Po napisaniu tego tematu już NIC NIE ROBIŁEM w systemie, po prostu czekam... :)

 

Mam w systemie zainstalowanych bardzo dużo programów/gier :)

BŁAGAM O POMOC żebym nie musiał stawiać systemu od nowa…

Będę wdzięczny za każdą podpowiedź co i gdzie jeszcze poszukać, poszperać.

Nie boję się sam naprawiać swojego systemu. :unsure:

 

 

Logi w załącznikach

A tu Security Check

 

Results of screen317's Security Check version 0.99.18

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

Kings Bounty Armored Princess

Outpost Kaloki

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

Java 6 Update 12

Out of date Java installed!

Adobe Flash Player 10.3.183.5

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

AVAST Software Avast AvastSvc.exe

AVAST Software Avast avastUI.exe

``````````End of Log````````````

Szczegółowy długi opis jak to się stało.txt

ComboFix-quarantined-files.txt

Extras.Txt

post-2987-0-52017400-1316699125_thumb.jpg

GMER.txt

kaspersky kwarantanna.txt

kaspersky raport 21-09-11r.txt

OTL.Txt

Edytowane przez picasso
Historyczny zbiór logów z ComboFix usunięty. //picasso
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Więc jak zwykle ComboFix :) (...) Nie wiem jakie logi są poprawne z Combofixa i Kaspersky Rescue Disk bo uruchamiałem te narzędzia kilkukrotnie więc podałem te ostatnie, a z Kasperskiego ten dotyczący dysku C.

 

Nadużycia ComboFix. ComboFix nie jest użytku domowego, to narzędzie poziomu ekspert, czyli to znaczy, że używając go umiesz samodzielnie rozwiązać problem z którym przychodzisz i to ręcznie a nie automatem = posiadasz zdolność zaradzenia skutkom ubocznym narzędzia. Widać tu również, że program nie był nigdy w prawidłowy sposób deinstalowany, skoro są tu logi z ... lat 2009/2010! No proszę Cię ... używasz tak potężne narzędzie jak CF, a nawet nie umiesz mi podać właściwego loga? Dostarczyłeś dane przeterminowane (usuwam Załącznik jako zbyteczny), patrz na daty:

 

ComboFix 09-11-07.04 - Marcin 08-11-09 19:08.2.2 - NTFSx86

ComboFix 10-06-27.06 - Marcin 28-06-10 22:25:26.3.2 - x86

ComboFix 10-06-27.06 - Marcin 28-06-10 23:05:42.4.2 - x86

ComboFix 10-07-21.02 - Marcin 22-07-10 7:54.5.2 - x86

ComboFix 10-07-26.04 - Marcin 27-07-10 18:32:50.6.2 - x86

ComboFix 10-10-11.03 - Marcin 12-10-10 13:25:47.7.2 - x86

ComboFix 11-02-08.03 - Marcin 09-02-11 10:57:47.8.2 - x86

 

Nie ma tu natomiast wcale loga, który koresponduje do tej operacji:

 

 

2. Combofix wykrył rootkita Zero Access ale usunął go i potem już nie wykrywał go stąd temat w tym dziale.

 

Owszem, tu był ZeroAccess. Świadczy o tym zawartość kwarantanny ComboFix (symlink $NtUninstallKB41452$ trzymający konfig). Po tym rootkicie zostały jeszcze te pliki na dysku:

 

[2011-09-09 18:55:21 | 000,000,000 | -HS- | C] () -- C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735}

[2011-09-09 18:50:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\3809538126

 

Ponadto są wymagane inne korekty (w autoryzacjach zapory są zapisy trojanów, szczątki adware, różne puste wpisy .... niektóre to skutek czyszczenia po łebkach, po użyciu ComboFix w przeszłości najwyraźniej ukończyłeś zadanie sądząc, że już nic nie trzeba więcej). To jest małe piwo i to zostawiam na potem, w pierwszej kolejności należy usunąć problem podstawowy:

 

 

1. Po włączeniu na noc skanowania Avasta na rano system był zawieszony, więc RESET i po normalnym włączeniu systemu nie działały połączenia sieciowe. (...) Robiłem też naprawę protokołu tcpip i katalogu Winsok.

 

Pod kątem padniętej sieci:

 

1. W OTL Extras w Dzienniku zdarzeń jest następujący błąd:

 

Error - 22-09-11 06:31:27 | Computer Name = BIGMK | Source = Service Control Manager | ID = 7003

Description = Usługa Rozpoznawanie lokalizacji w sieci (NLA) zależy od następującej nieistniejącej usługi: Afd.

 

Sterownik Afd to nadrzędna zależność dla serwisów sieciowych, od Afd zależy wiele usług (np. Dhcp). Wg błędu usługa Afd nie istnieje, to i nic dziwnego, że tu sieć padła. Rekonstruuj usługę:

 

- Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD]
"DisplayName"="AFD"
"Description"="AFD Networking Support Environment"
"Group"="TDI"
"ImagePath"="\\SystemRoot\\System32\\drivers\\afd.sys"
"Start"=dword:00000001
"Type"=dword:00000001
"ErrorControl"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum]
"0"="Root\\LEGACY_AFD\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

- Sprawdź czy istnieje na dysku plik C:\Windows\system32\drivers\afd.sys. Jeśli go nie ma, tu plik wyekstraktowany z SP3 dla XP: KLIK.

 

- Restart komputera i zobaczymy co się wydarzy.

 

 

2. Dodatkowo, w logu zwraca uwagę ten sterownik filtrowania sieci:

 

DRV - [2010-10-15 15:43:12 | 000,020,480 | ---- | M] (NT Kernel Resources) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndisrd.sys -- (ndisrd)

 

Sterownik ten ma charakter dwuznaczny, o czym mówiłam tu: KLIK. Zanim przejdę do jego likwidacji poproszę jeszcze o widok komponentów sieciowych: Panel sterowania > Połączenia sieciowe > pobrać Właściwości połączeń > zrobić zrzut ekranu z karty Ogólne.

 

 

 

.

Odnośnik do komentarza

1. Co do Combofix’a to tak poczytałem to forum i wiem że źle robiłem. Przepraszam. Następnym razem najpierw przyjdę tu po pomoc a nie będę tracił tygodnia na samodzielne naprawy zwłaszcza że NAPRAWIŁAŚ MI SYSTEM - teraz mogę się łączyć z netem i siecią lokalną - HURRA !!! dziękuję, dziękuję, dziękuję… :cheer:

Logi podałem akurat te ponieważ ich data modyfikacji była 21-09-11r czyli najnowsza, też byłem zdziwiony że w środku były inne lata.

 

2. Tak zawsze czyściłem po łebkach byle tylko komputer działał. I wiem że znowu źle robiłem. Jak uruchomiłem Kaspersky Rescue Disk to widziałem ile mam jeszcze zakażonych archiwów ale potem go odpalę i pousuwam wszystko. :)

 

3. Plik afd jest na dysku tam gdzie ma być więc nie musiałem go kopiować.

Uruchomiłem plik fix, Restart i komputer się uruchomił.

Avast już nie pokazuje błędu.

Nie wyskakuje też ten drugi błąd pliku ScanToPC MFC Application…

Zapora Windows jest włączona i działa.

Zrzuty zrobiłem już po restarcie

 

Moja obecna konfiguracja to jedna karta sieciowa z wpisanym stałym adresem IP żeby połączyć się z Internetem.

Komputer jest podpięty do switcha do którego podłączyłem drugi komputer a switch do modemu DSL.

Internet już działa.

Połączenie sieciowe działa.

Nie wiem do czego służą te dwa pozostałe połączenia sieciowe - zawsze je miałem oprócz "tych dwóch normalnych" (na zrzucie jedno "Połączenie lokalne 6 bo obecnie jedna karta sieciowa podłączona)

 

Czy mogę już zamontować drugą kartę sieciową i podłączyć wszystkie kable, switche tak jak je miałem przed usterką czy jeszcze nie?

 

4. Jeszcze raz dziękuję choć wiem że jeszcze jest trochę pracy… :) :thumbsup:

post-2987-0-32059900-1316706924_thumb.jpg

Odnośnik do komentarza

Możemy się zająć drobnicą. Tu jeszcze w eksploratorze Windows są jakieś dziwne krzaki przypisane do akcji szukania:

 

========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\shell\[command]\command]

Directory [find] -- 匥獹整剭潯╴䕜灸潬敲⹲硥e

 

1. Usuwanie sterownika ndisrd:

  • W Połączeniach sieciowych we Właściwościach wszystkich połączeń w karcie Ogólne podświetl pozycję Winpkfilter Driver i odinstaluj
  • Start > Uruchom > devmgmt.msc > w menu Widok włącz pokazywanie ukrytych urządzeń. Ujawni się lista Sterowników niezgodnych z plug and Play. Na liście tej wyszukaj wyżej wymienionego delikwenta i odinstaluj.
  • Restart systemu.
2. Deinstalacja adware. Przejdź do Dodaj / Usuń programy i pozbądź się RecFree toolbar powered by Ask.com.

 

3. Czyszczenie szczątków infekcji i adware, zbędnych wpisów, korekta krzaka i opróżnianie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\find\command]
""=hex(2):"%SystemRoot%\Explorer.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\WINDOWS\stationshell.exe"=-
"C:\WINDOWS\system32\rave32.exe"=-
"C:\WINDOWS\manageruser.exe"=-
"C:\WINDOWS\kbdirwow.exe"=-
"C:\WINDOWS\driverlocal.exe"=-
"C:\WINDOWS\system32\divxdec_040732.exe"=-
"C:\WINDOWS\clsidclient.exe"=-
"C:\WINDOWS\kbddvwow.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"m3ffxtbr@mywebsearch.com"=-
"support@predictad.com"=-
[HKEY_CURRENT_USER\SOFTWARE\Mozilla\Firefox\Extensions]
"ffxtlbr@recfree.com"=-
 
:Files
C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735}
C:\WINDOWS\3809538126
C:\WINDOWS\System32\crash
C:\Program Files\mozilla firefox\components\SiteVacuumXPCOM.dll
C:\Program Files\mozilla firefox\components\SuperSearchXPCOM.dll
C:\Program Files\mozilla firefox\searchplugins\SiteVacuum.xml
C:\Program Files\mozilla firefox\searchplugins\SiteVacuum1.xml
C:\Program Files\mozilla firefox\searchplugins\bingober35951218.xml
C:\Documents and Settings\Kosturkiewicz Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\4vlat66x.default\searchplugins\Ask.xml
C:\Documents and Settings\Kosturkiewicz Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\4vlat66x.default\searchplugins\mywebsearch.xml
C:\Documents and Settings\Kosturkiewicz Marcin\Dane aplikacji\EasySearch
C:\Documents and Settings\Kosturkiewicz Marcin\Dane aplikacji\download
C:\Documents and Settings\Kosturkiewicz Marcin\Dane aplikacji\drivers
 
:OTL
DRV - [2010-10-15 15:43:12 | 000,020,480 | ---- | M] (NT Kernel Resources) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndisrd.sys -- (ndisrd)
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZKxdm012YYPL&ptb=YQylcJhP4IgFn6ytu3pAaQ&psa=&ind=2010062413&ptnrS=ZKxdm012YYPL&si=142522&st=kwd&n=77cf1e4d&searchfor="
FF - prefs.js..extensions.enabledItems: supersearch@supersearch.com:3.5
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,XMLHTTP_UUID_Default = 96 47 D8 0E F5 E0 36 41 A3 FB 90 39 79 41 0C 4C [binary data]
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,XMLHTTP_UUID_Default = 96 47 D8 0E F5 E0 36 41 A3 FB 90 39 79 41 0C 4C [binary data]
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,XMLHTTP_UUID_Default = 96 47 D8 0E F5 E0 36 41 A3 FB 90 39 79 41 0C 4C [binary data]
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,XMLHTTP_UUID_Default = 96 47 D8 0E F5 E0 36 41 A3 FB 90 39 79 41 0C 4C [binary data]
IE - HKU\S-1-5-21-854245398-1957994488-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,XMLHTTP_UUID_Default = 96 47 D8 0E F5 E0 36 41 A3 FB 90 39 79 41 0C 4C [binary data]
O4 - HKLM..\Run: [download] "C:\Documents and Settings\Kosturkiewicz Marcin\Dane aplikacji\download2\svcnost.exe" File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-854245398-1957994488-682003330-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-854245398-1957994488-682003330-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/fhg.CAB" (Reg Error: Key error.)
O35 - HKU\S-1-5-21-854245398-1957994488-682003330-1004..exefile [open] -- "%1" %*
O37 - HKU\S-1-5-21-854245398-1957994488-682003330-1004\...exe [@ = exefile] -- "%1" %*
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

4. Wygeneruj nowy log z OTL opcją Skanuj oraz log z AD-Remover z opcji Scan. Dołącz też log z wynikami usuwania z punktu 3.

 

 

 

Logi podałem akurat te ponieważ ich data modyfikacji była 21-09-11r czyli najnowsza, też byłem zdziwiony że w środku były inne lata.

ComboFix mógł "odświeżyć" zawartość katalogu, bo przecież starsze raporty ulegają migracji do Qoobox.

 

 

Czy mogę już zamontować drugą kartę sieciową i podłączyć wszystkie kable, switche tak jak je miałem przed usterką czy jeszcze nie?

To możesz zrobić w każdej chwili.

 

 

Nie wiem do czego służą te dwa pozostałe połączenia sieciowe - zawsze je miałem oprócz "tych dwóch normalnych" (na zrzucie jedno "Połączenie lokalne 6 bo obecnie jedna karta sieciowa podłączona)

Artykuł Microsoftu: Opis połączenia 1394 w systemie Windows XP.

Odnośnik do komentarza

ad1 a

Odinstalowałem pozycję Winpkfilter Driver - w tym momencie wyskoczyło okienko "błąd pliku ScanToPC MFC Application…"

Chciałem uruchomić ponownie komputer żeby stwierdzić czy to okienko ponownie wyskoczy po włączeniu systemu.

Uruchamiając ponownie komputer okazało się, że w między czasie ściągnęły się jakieś aktualizacje przez Windows Update (w sumie 97 aktualizacji).

Nie zauważyłem w tray’u że Windows Update był włączony i jakoś odruchowo dałem wyłącz komputer / zainstaluj aktualizacje.

Mam nadzieję, że raczej nic tym nie popsułem…

Uruchomiłem komputer ponownie, wszystko okey, okienko "błąd pliku ScanToPC MFC Application…" nie wyskoczyło

 

ad1 b

Nie mam na liście sterownika ndisrd, może jak odinstalowałem Winpkfilter Driver to i ten sterownik sam się odinstalował?

Czy może jest to Sterownik systemu NDIS albo Sterownik usługi Dostęp zdalny NDIS

Zrzut menedżera w załączniku (połączone zdjęcie).

Nie wiem też co to za SSPORT z jakimś konfliktem.

 

ad2

Usunąłem RecFree toolbar powered by Ask.com.

 

ad3

Uruchomiłem OTL i wykonałem skrypt, komputer się zrestartował - log z wynikami usuwania w załączniku.

 

ad4

Wygenerowałem nowy log OTL - w załączniku

Wygenerowałem log AD-Remover’em - w załączniku

Ad-Report-SCAN1.txt

Extras nowy log.txt

OTL log z wynikami usuwania 09222011_210337.txt

OTL nowy log .Txt

post-2987-0-24310600-1316719437_thumb.jpg

Odnośnik do komentarza

Wszystko zostało wykonane. Krzak również skorygowany i wyświetla się to co powinno:

 

========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\shell\[command]\command]

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 

Drobne poprawki:

 

1. AD-Remover widzi jeszcze śmieci. Zamknij Firefox i upewnij się, że jego proces jest odładowany. Uruchom program w trybie Clean.

 

2. Przedstaw nowy log z AD-Remover z opcji Scan.

 

Gdy to zostanie zweryfikowane, otrzymasz już finalizacyjne kroki porządkowe.

 

 

Nie mam na liście sterownika ndisrd, może jak odinstalowałem Winpkfilter Driver to i ten sterownik sam się odinstalował?

Czy może jest to Sterownik systemu NDIS albo Sterownik usługi Dostęp zdalny NDIS

Sterownik został najwyraźniej odinstalowany procedurą numer jeden (nie zawsze to się dzieje). Za to OTL już tylko kończył usługę (nawet pliku nie było). Krok numer 1 zdejmowania z komponentów używanych przez połączenie był niezbędny, gdyż jeśli tego byś nie zrobił, usunięcie samej usługi z plikiem miałoby skutek w padnięciu sieci.

 

 

Odinstalowałem pozycję Winpkfilter Driver - w tym momencie wyskoczyło okienko "błąd pliku ScanToPC MFC Application…"

To "ScanToPC MFC Application" wygląda na zgłoszenie od aplikacji Samsung (KLIK). W Autostarcie jest taki wpis:

 

O4 - HKLM..\Run: [3170 Scan2PC] C:\WINDOWS\Twain_32\Samsung\CLX3170\Scan2pc.exe ()

 

I te błędy sugerują jakby osobne zagadnienie tutaj.

 

 

Nie wiem też co to za SSPORT z jakimś konfliktem.

Sterownik Samsung. SSPORT = Samsung Serial Port. Błąd tego sterownika jest naturalny w zależności od warunków sprzętowych. Jeśli komputer jest pozbawiony portów szeregowych (lub są one zdeaktywowane na poziomie BIOS), wtedy sterownik jest zainstalowany do nieistniejącego komponentu i się nie uruchamia. Podobnie jest ze sterownikami MS (Parport i Serial), u Ciebie nawet ich nie ma w spisie. By nie dręczył błędu, wystarczy go wyłączyć. W interfejsie menedżera urządzeń dwukliknij na SSPORT i w karcie Sterownik przestaw Typ uruchomienia na Wyłączony. Nawiasem: możesz tam w tych urządzeniach odinstalować sterowniki po używanych narzędziach: catchme (ComboFix) + MEMSWEEP2 (Sophos Anti-rootkit).

Odnośnik do komentarza

ad1 Wykonałem clean - log w załączniku

ad2 Wykonałem scan - log w załączniku

 

Jako, że okienko "ScanToPC MFC Application" nie wyskakuje i wcześniej przed "usterką" też nie wyskakiwało to nic z tym nie robię na razie.

 

Sterownik Samsung SSPORT - przestawiłem Typ uruchomienia na Wyłączony

catchme (ComboFix) - odinstalowałem

MEMSWEEP2 (Sophos Anti-rootkit) - odinstalowałem

Ad-Report-CLEAN1.txt

Ad-Report-SCAN2.txt

Odnośnik do komentarza

Końcowe kroki:

 

1. Posprzątaj po używanych narzędziach (w tej a nie innej kolejności, bo sekwencja OTL naruszy zdolność deinstalacji ComboFix):

  • Odinstaluj AD-Remover
  • Odinstaluj nareszcie ComboFix w prawidłowy sposób, a procedura ta robi także więcej pożądanych tu akcji (czyszczenie folderów Przywracania systemu). W Start > Uruchom > wklej komendę: "pełna ścieżka do ComboFix.exe" /uninstall
  • W OTL uruchom Sprzątanie, co zlikwiduje kwarantannę OTL oraz OTL z dysku.
2. Wykonaj drobne aktualizacje (istotne pod kątem łatania luk) i rozważ uzupełnienie zabezpieczeń:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java™ 6 Update 12

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

 

- Podstawy aktualizacyjne: KLIK. Zakładam też, że wszystkie aktualizacje do Windows są zainstalowane.

- Do Avasta możesz dorzucić także firewalla z HIPS. Propozycje darmowe: KLIK.

 

3. Dla własnego bezpieczeństwa zmień hasła logowania w serwisach. Obecność rootkita ZeroAccess tworzy niepewny grunt....

 

4. Notuję tu także krytyczny poziom wolnego miejsca na dysku systemowym:

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 48,83 Gb Total Space | 1,05 Gb Free Space | 2,16% Space Free | Partition Type: NTFS

 

Pomocuj się z tym, posługując się darmowym portable-diagnostykiem SpaceSniffer, za wzór obierając ten temat: KLIK.

 

 

I to tyle z mojej strony.

Odnośnik do komentarza

1. AD-Remover odinstalowany

2. ComboFix odinstalowany w prawidłowy sposób

3. Restart komputera

4. W OTL uruchomiłem Sprzątanie

5. Restart komputera

6. Java odinstalowana i nowa zainstalowana

7. Flash zaktualizowany

8. Aktualizacje do Windows w Windows Update jeszcze kilka zostało do pobrania - pobiorę później

9. Firewall z HIPS - poczytam który jaki jest i coś wybiorę z tych propozycji.

10. Zmienię hasła logowania w serwisach

11. Mało miejsca na dysku C - rzeczywiście nie wiem gdzie zniknęło :) Posprzątam. Polecany przez Ciebie wątek też jest ciekawy, nie wiedziałem że tyle zbędnych śmieci można wywalić...

 

Dalej już sobie poradzę... i obiecuję że nie będę używał narzędzi na własną rękę... :rolleyes:

Zresztą już nie muszę bo trafiłem na to super forum i super szybką profesjonalną pomoc :cheer:

Będę polecał to miejsce wszystkim, a i sam się tu trochę pokręcę...

Jeszcze raz BARDZO DZIĘKUJĘ :thumbsup:

 

 

 

PS 1 Postanowiłem sobie, że za taką pomoc nie zapomnę o wsparciu dla forum.

Dobrze, że jest ten rachunek w Kredyt Banku bo w PayPal nie chciałoby mi się rejestrować B)

 

PS 2 Temat zamknięty, a jeśli w moim poście są jakieś informacje, logi, miniaturki, które mogłyby mi zaszkodzić (swojego nazwiska się nie wstydzę, a udostępniania IP się nie boję bo i tak zmieniam operatora i będzie nowe IP) to proszę je usunąć/zablokować tak żeby temat mógł posłużyć jeszcze innym użytkownikom bez szkód dla mnie.

I jako ostrzeżenie dla używających Combofix na własną rękę :D

Odnośnik do komentarza

10. Zmienię hasła logowania w serwisach

11. Mało miejsca na dysku C - rzeczywiście nie wiem gdzie zniknęło :) Posprzątam

Nie zapomnij. A miejsce na dysku punktuję, ponieważ skutki uboczne tego to może być wystąpienie potwornego zamulenia systemu (przykład: KLIK).

 

 

PS 2 Temat zamknięty, a jeśli w moim poście są jakieś informacje, logi, miniaturki, które mogłyby mi zaszkodzić (swojego nazwiska się nie wstydzę, a udostępniania IP się nie boję bo i tak zmieniam operatora i będzie nowe IP) to proszę je usunąć/zablokować tak żeby temat mógł posłużyć jeszcze innym użytkownikom bez szkód dla mnie.

Zrzut ekranu z IP usunęłam (i tak był zbędny), nazwisko Twoje wymazałam z mojego posta z cytatami dat ComboFix (nazwisko pozostaje w logach, gdzie taką ścieżkę profilu masz). Zaś IP w postach nie widzi nikt poza Administratorem i moderacją tego forum (wybierana przeze mnie, tzn. mam zaufanie)

 

 

PS 1 Postanowiłem sobie, że za taką pomoc nie zapomnę o wsparciu dla forum.

Dziękuję.

 

 

Temat jako rozwiązany zamykam.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...