PiotrM21 Opublikowano 24 Września 2011 Zgłoś Udostępnij Opublikowano 24 Września 2011 Na wstępie przedstawię mój temat z innego forum : http://forum.idg.pl/problem-profesional-shield-pro-t207729.html Nie czekając na odpowiedz na tamtym forum usunąłem ten wirus samem, ponieważ znam się trochę na komputerach uznałem że dam sobie z nim sam radę. Była to godzina coś kolo 1 w nocy dlatego nie czekałem na odpowiedź. Myśląc że usunąłem go następnego dnia wróciłem do swoich zajęć. Jednak zaniepokoił mnie fakt ze nie działa mi anty-wirus. Posiadałem NOD32 wersje 4.2.7. jeśli dobrze pamiętam. Usunąłem go i próbowałem zainstalować na nowo jednak podczas instalacji wyskakiwały mi komunikaty iż "instalator nie ma wystarczajacych uprawnień..." klikałem przycisk "ignoruj" jednak pod koniec instalacji wyskakiwał kolejny komunikat "nie można zapisać wartości Name do klucza/software/eset/eset security/curentversion/schedeler/1 sprawdz czy masz uprawnienia do tego klucza lub skontaktuj się z pomocą techniczną" i tak z każdym kluczem w tym drzewie. Po czym instalacja się cofała i kończyła nie powodzeniem. Próbowałem instalować inne ale albo się po instalacji wyłączały lub były takie same problemy przy instalacji jak z NOD. Dziś rano postanowiłem zobaczyć odpowiedz na w/w forum i się przeraziłem. Odrazu poczyniłem kroki aby napisać ten post i opisać mój problem. Piszę tego posta z innego komputera ponieważ na moim raz jest internet raz po restarcie nie ma. Zrobiłem scan OTL i oto jego wynik: http://wklej.org/id/598837/ Niestety scan ani GMER ani Rootrepeal nie mogłem wykonać. po rozpoczęciu skanowania okno się zamyka i nie mogę ich uruchomić ponownie to samo dzieje się z nimi w trybie awaryjnym. Posiadałem Demontools-a ale przed rozpoczęciem skanowania Gmer-em go usunąłem, nie jestem pewiem czy dobrze usunąłem sterownik SPTD ( do kroków 1-2 było wszystko zgodnie z opisem). Powiedzcie czy mam wykonywać te podpowiedzi z tamtego forum czy najpierw wykonać wasze podpowiedzi. W tym momencie już nic sam nie będę robił, tylko z pomocą profesjonalistów. Proszę pomóżcie mi usunąć tego rootkita. Z góry dziękuję za każdy rodzaj pomocy. ps. w razie jakichkolwiek braków w opisie lub logów piszcie odrazu abym je mógł uzupełnić. OTL.Txt Extras.Txt Scan-Raport tdsskiller.txt Result.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2011 Zgłoś Udostępnij Opublikowano 24 Września 2011 Niestety scan ani GMER ani Rootrepeal nie mogłem wykonać. po rozpoczęciu skanowania okno się zamyka i nie mogę ich uruchomić ponownie to samo dzieje się z nimi w trybie awaryjnym. To są skutki czynnego rootkita. Czynny rootkit zapobiega odczytaniu swoich komponentów przez narzędzia, narzędzia mają zresetowaną listę ACL (kontroli dostępu). Są nieuruchamialne z bieżącej kopii, dopóki nie zostanie zresetowane ACL, co nie ma sensu przy czynnym rootkicie. Raz zdefektowane narzędzie należy pobrać od początku. Reset ACL odblokowujący narzędzia zawsze prowadzę na samiutkim końcu. Ale użyjesz też dopiero wtedy, gdy @Picasso Ci na to pozwoli (choć raczej na 99% będziesz musiał użyć, ze względu na podstawiony fałszywy plik Systemowy "mswsock.dll" - ComboFix musi go podmienić znów na prawidłowy). Combofix nie prowadzi tego typu operacji. Ten plik przecież to przekierowanie, nie podmienia prawidłowego pliku Windows, tylko wstawia się w Winsock. Piszę tego posta z innego komputera ponieważ na moim raz jest internet raz po restarcie nie ma. Skutki w/w operacji rootkit. Powiedzcie czy mam wykonywać te podpowiedzi z tamtego forum czy najpierw wykonać wasze podpowiedzi. Tamte wypowiedzi są niejako "skopiowane" stąd, bo wskazano DummyCreator. Poza tym, pytasz a już poleciałeś z instrukcją. Tzn. zastosowałeś DummyCreator (ale log z OTL jest za stary w stosunku do akcji, robiony przed) oraz skan Kasperskym: 16:33:08.0687 2932 redbook (27fd0496252105b459fa5e1e608e2caa) C:\WINDOWS\system32\DRIVERS\redbook.sys16:33:08.0687 2932 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\redbook.sys. Real md5: 27fd0496252105b459fa5e1e608e2caa, Fake md5: bddcece9acdad26841c987d10376f6f716:33:08.0687 2932 redbook ( ForgedFile.Multi.Generic ) - warning16:33:08.0687 2932 redbook - detected ForgedFile.Multi.Generic (1) Kaspersky nie będzie zdolny tego wyleczyć, ponieważ wykrywa sterownik naruszony przez ZeroAccess jako "ForgedFile.Multi.Generic". Ten typ wyniku nie udostępnia opcji "Cure" tylko "Delete", a tego nie można zrobić na sterowniku Windows. Poza tym, inne składniki rootkita nie są tu uleczone. W związku z przeprowadzonymi już tu operacjami zadanie ograniczam do: 1. Pobierz ComboFix. 2. Przejdź w Tryb awaryjny Windows i spróbuj uruchomić ComboFix. Jeśli się uda, przedstaw raport. . Odnośnik do komentarza
PiotrM21 Opublikowano 24 Września 2011 Autor Zgłoś Udostępnij Opublikowano 24 Września 2011 Oto raport o który prosiłaś. Rootkit usunięty z tego co widziałem. Komputer uruchamia się tak jak przedtem a nie 6-7 min. Internet również działa. Dziękuje za pomoc. Mam jeszcze pytania: czy coś więcej robić? i jak spowrotem zainstalować NOD32 jeśli wyskakują problemy z tymi kluczami? . ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2011 Zgłoś Udostępnij Opublikowano 24 Września 2011 Gdzie ten raport? Dodatkowo, skoro ComboFix dał radę (on usuwa symlinki / konfig rootkita), wygeneruj nowy raport z Kaspersky TDSSKiller. Mam jeszcze pytania: czy coś więcej robić? i jak spowrotem zainstalować NOD32 jeśli wyskakują problemy z tymi kluczami? Nie skończyliśmy jeszcze z infekcją .... . Odnośnik do komentarza
PiotrM21 Opublikowano 24 Września 2011 Autor Zgłoś Udostępnij Opublikowano 24 Września 2011 W poprzednim poście dodałem ten raport. A tutaj dołączam raport z TDSSKiller-a. Czekam na dalsze instrukcjie. Scan-Raport tdsskiller 2.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2011 Zgłoś Udostępnij Opublikowano 24 Września 2011 ComboFix całościowo dał radę, skasował link symboliczny, sterownik losowy oraz podmienił zainfekowany redbook.sys. Wracając do Twojego poprzedniego loga OTL, to tu jest także niedoczyszczona infekcja Qooqlle (nie wiem kto-jak-czym to likwidował, ale zapomniano zresetować keyword.URL w Firefox i wywalić plik konfiguracyjny search.xml wyszukiwarki Qooqlle). Kolejne instrukcje: 1. Reanimacja poszkodowanych przez rootkita plików. Uruchom GrantPerms, w oknie wklej: ścieżka 1 do pliku exe ścieżka 2 do pliku exe ... i tak dalej ... Wklejasz konkretne ścieżki wiodące do zablokowanych plików. Zastosuj opcję Unlock. Po odblokowaniu przez SHIFT+DEL skasuj z dysku pliki. 2. Pod kątem obecnego wcześniej ESET, a także widzialnych w ostatnim OTL szczątków Kaspersky / Avast i Symantec: SRV - [2011-01-12 17:41:42 | 000,810,144 | ---- | M] () [Auto | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)DRV - [2011-09-23 18:03:52 | 000,127,096 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS -- (SymEvent)DRV - [2011-09-21 22:00:22 | 000,565,552 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\klif.sys -- (KLIF)DRV - [2010-12-21 16:04:06 | 000,141,264 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)DRV - [2010-12-21 16:04:06 | 000,115,008 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)DRV - [2010-12-21 14:47:38 | 000,094,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir) [2011-09-23 20:25:42 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software[2011-09-23 20:25:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software[2011-09-23 18:03:52 | 000,127,096 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\SYMEVENT.SYS[2011-09-23 18:03:52 | 000,060,872 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\S32EVNT1.DLL[2011-09-23 18:03:52 | 000,007,510 | ---- | M] () -- C:\WINDOWS\System32\drivers\SYMEVENT.CAT[2011-09-23 18:03:52 | 000,000,806 | ---- | M] () -- C:\WINDOWS\System32\drivers\SYMEVENT.INF[2011-09-21 22:00:22 | 000,565,552 | ---- | M] (Kaspersky Lab) -- C:\WINDOWS\System32\drivers\klif.sys Z poziomu Trybu awaryjnego Windows zastosuj serię narzędzi firmowych specjalizowanych w usuwaniu: ESET Uninstaller, Kaspersky Remover, Avast Uninstall Utility i Norton Removal Tool. 3. OTL notował także brak pliku HOSTS: Hosts file not found Włącz pokazywanie rozszerzeń w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz "Ukrywaj rozszerzenia dla znanych typów plików". Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\System32\drivers\etc. 4. Przejdź do Dodaj / Usuń programy i odinstaluj śmiecia adware DAEMON Tools Toolbar. 5. Skrypt poprawkowy wykańczający Qooqlle i wpisy po zrzutach pamięci. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..keyword.URL: "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q=" [2011-05-22 16:05:36 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\Firefox\Profiles\aue9jp8q.default\searchplugins\search.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 6. Przedstaw nowy log z OTL z opcji Skanuj + log z AD-Remover z opcji Scan. . Odnośnik do komentarza
PiotrM21 Opublikowano 24 Września 2011 Autor Zgłoś Udostępnij Opublikowano 24 Września 2011 Reanimacja poszkodowanych przez rootkita plików. Uruchom GrantPerms, w oknie wklej (...) Wklejasz konkretne ścieżki wiodące do zablokowanych plików. Zastosuj opcję Unlock. Po odblokowaniu przez SHIFT+DEL skasuj z dysku pliki. Mam już ten grantPerms ale nie wiem które ścieżki plików tam wkleić i skąd je wziąć. Odnośnik do komentarza
picasso Opublikowano 24 Września 2011 Zgłoś Udostępnij Opublikowano 24 Września 2011 Mam już ten grantPerms ale nie wiem które ścieżki plików tam wkleić i skąd je wziąć. Mówiłeś: Niestety scan ani GMER ani Rootrepeal nie mogłem wykonać. po rozpoczęciu skanowania okno się zamyka i nie mogę ich uruchomić ponownie to samo dzieje się z nimi w trybie awaryjnym. Czyli pliki narzędzi zostały zablokowane przez rootkita. I o to mi chodzi: dla każdego narzędzia, które uruchamiano podczas obecności rootkita i które zostało zablokowane, należy wykonać reset uprawnień. Ścieżki skąd? Tam gdzie masz te pliki.... . Odnośnik do komentarza
PiotrM21 Opublikowano 24 Września 2011 Autor Zgłoś Udostępnij Opublikowano 24 Września 2011 oto logi po wykonaniu podpowiedzi: oto skan po wykonaniu własnego skryptu : http://wklej.org/id/598995/ #edit : co zauważyłem po napisaniu tego posta że nie działa mi Office. przy uruchamianiu worda wyskakuje mi komunikat " za mało pamięci lub miejsca na dysku,aby uruchomić program word", inne programy office też albo się nie uruchamiają albo wyskakuje komunikat " leksykon (XLLEX.DLL) jest uszkodzony lub niedostępny. OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2011 Zgłoś Udostępnij Opublikowano 24 Września 2011 1. Drobna poprawka, usunięcie szczątków po Qooqlle (SearchScopes ujawnione w AD-Remover) + po pasku DAEMON i katalogów Avast. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. [2011-09-23 20:25:42 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software [2011-09-23 20:25:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Loga nie musisz pokazywać. 2. Czy na pewno został użyty tu ESET Uninstaller, a jeśli tak, to czy przypadkiem nie zwrócił jakiś błędów? Nadal widzę sterowniki ESET, usługa ESET zatrzymana i brak wejścia w Autostarcie: SRV - [2011-01-12 17:41:42 | 000,810,144 | ---- | M] () [Auto | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)DRV - [2010-12-21 16:04:06 | 000,141,264 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)DRV - [2010-12-21 16:04:06 | 000,115,008 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)DRV - [2010-12-21 14:47:38 | 000,094,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir) Odpowiedz na to pytanie, bym mogła dobrać stosowną metodę likwidacji. #edit : co zauważyłem po napisaniu tego posta że nie działa mi Office. przy uruchamianiu worda wyskakuje mi komunikat " za mało pamięci lub miejsca na dysku,aby uruchomić program word", inne programy office też albo się nie uruchamiają albo wyskakuje komunikat " leksykon (XLLEX.DLL) jest uszkodzony lub niedostępny. Wejdź do Dodaj / Usuń programy i dla Office uruchom naprawianie komponentów lub całkowicie przeinstaluj Office. . Odnośnik do komentarza
PiotrM21 Opublikowano 25 Września 2011 Autor Zgłoś Udostępnij Opublikowano 25 Września 2011 skrypt poprawiony. a co do użycia ESET unistaler to używałem go parokrotnie załączam lag: http://wklej.org/id/599134/ Odnośnik do komentarza
picasso Opublikowano 26 Września 2011 Zgłoś Udostępnij Opublikowano 26 Września 2011 Wg loga z ESET Uninstaller źle reagujesz na pytanie, dwa razy ominąłeś wybór produktu (a za trzecim razem opuściłeś narzedzie przez q), dlatego deinstalacja się nie wykonuje: [09/24/11 21:15:50] Installed AV products:[09/24/11 21:15:50] 1. ESS/EAV/EMSX[09/24/11 21:15:50] 2. SEP [09/24/11 21:15:50] Enter sequence number of AV product to uninstall and press ENTER (hint: to abort press 'q'): [09/24/11 21:16:14] ERROR! Unknown option!EXIT! [09/24/11 21:16:14] No AV product selected! Przy pytaniu "Enter sequence number of AV product to uninstall" należy wpisać numer wykrytych produktów podany linię wyżej, czyli tu 1 i ENTER. Potem, ze względu na dwa numery tu pokazane, powtórzyć rundę, zobaczyć czy coś jeszcze jest wykrywane i pod jakim numerem, tenże numer wklepać i ENTER. Po ukończeniu tych operacji zresetuj system i wygeneruj nowy log z OTL do oceny, czy obiekty ESET zostały faktycznie upłynnione. . Odnośnik do komentarza
PiotrM21 Opublikowano 26 Września 2011 Autor Zgłoś Udostępnij Opublikowano 26 Września 2011 Zrobiłem tak jak kazałaś i Eset usuniety. Dołączam najnowszy OTL. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Września 2011 Zgłoś Udostępnij Opublikowano 26 Września 2011 Potwierdzam, ESET Uninstaller zgrabnie wyrzucił resztki ESET, przygotowując grunt pod nową instalację. Instalację wykonasz dopiero po sfinalizowaniu tematu, a na razie oczekuje ta partia zadania: 1. Uporządkuj po używanych narzędziach, w tej a nie innej kolejności: Odinstaluj AD-Remover. Odinstaluj ComboFix (co czyści także foldery Przywracania systemu), w Start > Uruchom > wklejając komendę:"C:\Documents and Settings\Piotr\Pulpit\ComboFix.exe" /uninstall W OTL uruchom Sprzątanie, które usunie z dysku kwarantannę OTL oraz sam program jako taki. 2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Przedstaw raport, jeśli coś infekcyjnego zostanie wykryte (nie interesują mnie wyniki typu OK / Archive / Packed). Jeśli nic nie zostanie wykryte, otrzymasz instrukcje końcowe. . Odnośnik do komentarza
PiotrM21 Opublikowano 26 Września 2011 Autor Zgłoś Udostępnij Opublikowano 26 Września 2011 (edytowane) Chyba został wykryty trojan przez Kaspersky Virus Removal Tool. Dodaje raporty z tych skanowań: 2011-09-26 18:55:14 Detected: Trojan.Win32.Patched.hp C:\WINDOWS\system32\sfc_os.dll 2011-09-26 18:55:14 Will be deleted on system restart: Trojan.Win32.Patched.hp C:\WINDOWS\system32\sfc_os.dll 2011-09-26 18:55:14 Backed up C:\WINDOWS\system32\sfc_os.dll 2011-09-26 18:54:34 Detected: Trojan.Win32.Patched.hp C:\WINDOWS\system32\sfc_os.dll Edytowane 26 Września 2011 przez picasso Zbędne Załączniki usunięte. //picasso Odnośnik do komentarza
picasso Opublikowano 26 Września 2011 Zgłoś Udostępnij Opublikowano 26 Września 2011 Mówiłam: Przedstaw raport, jeśli coś infekcyjnego zostanie wykryte (nie interesują mnie wyniki typu OK / Archive / Packed). Dlatego ekstraktuję tylko informację infekcyjną i wklejam do posta. Skaner wykrył infekcję w pliku systemowym odpowiedzialnym za Ochronę systemu plików. Pliku tego nie wolno usuwać, on ma być leczony. Widzę akcję "Will be deleted..." zamiast "Cured". Czyli pytam się: czy rzeczywiście plik skasowany (to oznacza, że należy go rekonstruuować) + czy ponowny skan Kasperskym wykrywa to samo? . Odnośnik do komentarza
PiotrM21 Opublikowano 26 Września 2011 Autor Zgłoś Udostępnij Opublikowano 26 Września 2011 2011-09-26 19:17:13 Detected: Trojan.Win32.Patched.hp C:\WINDOWS\system32\sfc_os.dll Wykrywa to samo, tym razem nie robiłem delete. Odnośnik do komentarza
picasso Opublikowano 26 Września 2011 Zgłoś Udostępnij Opublikowano 26 Września 2011 Plik należy podmienić czystą kopią. 1. Pobierz plik zgodny z XP SP3 (tak przedstawia się Twój system): KLIK. Plik rozpakuj bezpośrednio na C:\, gdyż ta ścieżka zostanie wykorzystana w skrypcie. 2. Pobierz OTL (po Sprzątaniu zniknął). Uruchom i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\WINDOWS\system32\dllcache\sfc_os.dll|C:\sfc_os.dll /replace C:\WINDOWS\system32\sfc_os.dll|C:\sfc_os.dll /replace Klik w Wykonaj skrypt. Spodziewana reakcja to restart systemu. 3. Wykonaj nowy skan Kasperskym, by sprawdzić czy nadal widzi coś w omawianym tu pliku. Dołącz log z wynikami usuwania OTL automatycznie utworzony w punkcie 2. . Odnośnik do komentarza
PiotrM21 Opublikowano 26 Września 2011 Autor Zgłoś Udostępnij Opublikowano 26 Września 2011 1.zrobione 2. http://wklej.org/id/599869/ 3. wyskakuje caly czas bład przy skanowaniu Kasperskym " BCU.exe -zły obraz" aplikacja lub biblioteka DLL C:\WINDOWS\system32\wbem\wbemprox.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną Odnośnik do komentarza
picasso Opublikowano 26 Września 2011 Zgłoś Udostępnij Opublikowano 26 Września 2011 1. Plik wbemprox.dll zapewne jest naruszony. Podaj listę aktualnie zlokalizowanych w systemie kopii plus wygląd odwołań do tego pliku w rejestrze. Uruchom OTL, wszystkie sekcje ustaw na Brak + Żadne, a w polu Własne opcje skanowania / skrypt wklej: /md5start wbemprox.dll /md5stop HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{443E7B79-DE31-11D2-B340-00104BCC4B4A}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB8555CC-9128-11D1-AD9B-00C04FD8FDFF}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CD184336-9128-11D1-AD9B-00C04FD8FDFF}\InprocServer32 Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw wynikowy log. 2. Plik sfc_os.dll nie mógł się podmienić w miejscu głównym (tylko w dllcache nastąpiła wymiana), OTL nie wykonał tego po restarcie: Unable to replace file: C:\WINDOWS\system32\sfc_os.dll with C:\sfc_os.dll without a reboot. Pobierz ponownie ComboFix. Otwórz Notatnik i wklej w nim: FCopy:: C:\WINDOWS\system32\dllcache\sfc_os.dll | C:\WINDOWS\system32\sfc_os.dll Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. Przedstaw log wynikowy. . Odnośnik do komentarza
PiotrM21 Opublikowano 26 Września 2011 Autor Zgłoś Udostępnij Opublikowano 26 Września 2011 wykonałem, mam nadzieje że dobrze i niedługo to się skończy ;] OTL.Txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 26 Września 2011 Zgłoś Udostępnij Opublikowano 26 Września 2011 1. Plik wbemprox.dll podmień nową kopią. Pobierz plik w wersji XP SP3 (KLIK), wypakuj na C:\, w OTL w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt. :Files C:\WINDOWS\system32\wbem\wbemprox.dll|C:\wbemprox.dll /replace Przedstaw log wynikowy podmiany. 2. Plik sfc_os.dll wygląda na pomyślnie podmieniony. Upewnij się skanem Kasperskym, że już nic nie jest wykrywane. Po podmianie pliku wbemprox.dll powinny także ustąpić błędy z "nieprawidłowym obrazem". . Odnośnik do komentarza
PiotrM21 Opublikowano 27 Września 2011 Autor Zgłoś Udostępnij Opublikowano 27 Września 2011 1. http://wklej.org/id/600261/ 2. No threats detected Odnośnik do komentarza
picasso Opublikowano 27 Września 2011 Zgłoś Udostępnij Opublikowano 27 Września 2011 Mamy powtórkę z historii, plik nie może być podmieniony bez restartu, ale restart i tak nie przynosi efektów. Ostatnia akcja w ComboFix, majstruj nowy CFScript o zawartości: FCopy:: C:\wbemprox.dll | C:\WINDOWS\system32\wbem\wbemprox.dll Przedstaw wynikowy log. Gdy to się uda, otrzymasz już naprawdę końcowe kroki zapinające czyszczenie. . Odnośnik do komentarza
PiotrM21 Opublikowano 27 Września 2011 Autor Zgłoś Udostępnij Opublikowano 27 Września 2011 zrobione ComboFix.txt Odnośnik do komentarza
Rekomendowane odpowiedzi