Generic27.PN / ZeroAccess.dr.gen.d robi spustoszenie

[stanleyp]

Załączam oba logi.

 

Zamieszczam także screen komunikatu, jaki pojawił się dzisiaj kilka minut po uruchomieniu komputera.

 

Dodam jeszcze, że dopiero dzisiaj usuwałem także uszkodzone konto (po pojawieniu się komunikatu). Po ponownym uruchomieniu komputera, komunikat dotyczący oryginalności systemu już się nie pojawił. Z tym, że wcześniej także nie pojawiał się za każdym uruchomieniem komputera.

sfc.txt

genuine.txt

[picasso]

Mam pytanie, to jest Windows 7 Professional polski z natury, czy aby tu nie domontowano w sposób siłowy pakietu PL?

 

Log z narzędzia walidacyjnego pokazuje taką adnotację:

 

File Scan Data-->
File Mismatch: C:\Windows\system32\en-us\user32.dll.mui[hr = 0x80070002]

 

Podaj skan na ten plik w systemie. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start
user32.dll.mui
/md5stop

 

Klik w Skanuj.

 

 

 

.

[stanleyp]

System jest z natury polski.

 

Monit dotyczący oryginalności jnadal się pojawia. Natomiast aktualizacje bez problemu się instalują.

 

Załączam log.

OTL.Txt

[picasso]

Jest "file mismatch", bo w ogóle nie ma takiego pliku C:\Windows\system32\en-us\user32.dll.mui, w związku z obecnością natywnego pakietu PL.

 

To mam pytanie: czy system da się ponownie reaktywować? Mówiono mi przy przypadkach z ZeroAccess, że kilku użytkowników musiało to zrobić, gdy im się zaczęły syndromy w tej sferze.

 

 

.

[stanleyp]

Nie wykonałem reaktywacji, ponieważ nie wiedziałem dokładnie jak to zrobić.

 

Natomiast monity dotyczące oryginalności sytemu przestały się pojawiać. Sprawdziłem "validation" on-line i odpowiedź była pozytywna.

[picasso]

Natomiast monity dotyczące oryginalności sytemu przestały się pojawiać.

 

Jeśli to jest stan na chwilę bieżącą, to sprawa jest ukończona. Może to miało jednak związek z tymi zablokowanymi folderami w ścieżce C:\Windows\System32\config\systemprofile\AppData.

 

 

Natomiast na zakończenie: pokasuj sobie używane tu narzędzia, ponów czyszczenie folderów Przywracania systemu (KLIK) i wykonaj zaległe operacje z postu nr 54 (KLIK)

 

 

.

[stanleyp]

Wszystkie operacje wykonane, poza zainstalowaniem antywirusa. Czy AVG to będzie nadal dobra opcja? Bardzo zamulał pracę komputera (szczególnie start sytemu oraz pracę IE9).

[picasso]

W obszarze darmowym sugeruję wybór Avast (wielopłaszczyznowy rezydent + WebRep dla przeglądarek).

[stanleyp]

Mam jeszcze jedno pytanie.

Na samym początku, gdy AVG wykrył trojana, pousuwałem sporo zainfekowanych plików z rozszerzeniem dll. Czy jest jakiś sposób, aby zweryfikować, czy nie zostały przypadkiem usunięte jakieś biblioteki systemowe?

[picasso]

Wróć do mojego pierwszego posta i tekstu: "czynną usługę z oznaczeniem "Iomega" i masę usług-odpadków (to dodatkowe pliki tworzone przez najnowszy wariant ZeroAccess, dlatego skanery wykrywają masowo pliki w system32 = to NIE jest infekcja w wykonywalnych jak sugerowano Ci)". Te pliki DLL to nie były pliki systemowe tylko fałszywki utworzone przez ZeroAccess. Tu masz dla porównania inny temat z forum, który pokazuje to zachowanie ZeroAccess w logu z MBAM: KLIK.

 

Zaś pliki systemowe weryfikowaliśmy poleceniem sfc /scannow.

 

 

 

.

[stanleyp]

Cóź, więc chyba pozostaje mi już tylko podziękować za poświęcony czas i pomoc. Mój temat niech pozostanie może przez jakiś czas otwarty, na wypadek, gdyby pojawiły się jeszcze kolejne problemy związane z tą infekcją.

 

Oby Wasze forum jak najdłużej funkcjonowało. Należy je wspierać, czego nie omieszkam uczynić.

Edytowane 27 Kwietnia 2012 przez picasso
27.04.2012 - Upłynął miesiąc, nie zgłaszasz problemów, temat zamykam. //picasso