Skocz do zawartości

Google przekierowywuje na stronę abnow.com


Rekomendowane odpowiedzi

Witam, wszystkie wyniki z google przekierowywane są na stronę abnow.com, dodatkowo co jakiś czas sam instaluje mi się isecurity.exe, który blokuje mi dosłownie wszystko włącznie z menadżerem zadań. Udaje mi się go usunąć za pomocą taskkill.exe, ale po pewnym czasie znowu sam się instaluje.

W załączniku dołączam logi z OTL.

Z góry dziękuję za pomoc.

Pozdrawiam

Paweł

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Masz conajmniej dwie infekcje. Opisywane przekierowanie to infekcja ZeroAccess (na systemie 64-bit łagodniejszy przebieg, brak komponentu rootkit). Jest tu także rootkit Necurs, obecny "cyfrowy" plik rootkita oraz skutki jego działania, czyli zablokowane sterowniki systemowe (brak poboru danych o nich):

 

[2012-02-26 12:14:58 | 000,054,720 | ---- | C] () -- C:\Windows\SysNative\drivers\7896e1b8d2f7b874.sys

 

 

DRV:64bit: - [2012-01-04 15:28:36 | 000,016,640 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\gtkdrv.sys -- (TrojanKillerDriver)

DRV:64bit: - [2011-05-10 07:06:14 | 000,022,528 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\netaapl64.sys -- (Netaapl)

DRV:64bit: - [2011-05-10 07:06:08 | 000,051,712 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\usbaapl64.sys -- (USBAAPL64)

DRV:64bit: - [2011-03-18 04:46:20 | 000,074,376 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ftdibus.sys -- (FTDIBUS)

DRV:64bit: - [2011-03-18 04:46:06 | 000,085,384 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ftser2k.sys -- (FTSER2K)

DRV:64bit: - [2010-02-08 21:28:10 | 000,148,360 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\HRMPORTS.SYS -- (HRMPORTS)

DRV:64bit: - [2010-02-08 21:28:10 | 000,133,512 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\HRMCFGSPC.SYS -- (HRMCFGSPC)

DRV:64bit: - [2010-02-08 21:28:10 | 000,128,504 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\HRMINTS.SYS -- (HRMINTS)

DRV:64bit: - [2010-02-08 21:28:08 | 000,676,232 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\dsfksvcs.sys -- (DSFKSVCS)

DRV:64bit: - [2010-02-08 21:28:08 | 000,035,832 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\dsfroot.sys -- (dsfroot)

DRV:64bit: - [2009-09-02 09:45:38 | 000,254,464 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\windrvr6.sys -- (WinDriver6)

DRV:64bit: - [2009-06-17 17:54:46 | 000,040,976 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\LUsbFilt.Sys -- (LUsbFilt)

DRV:64bit: - [2009-06-17 17:54:30 | 000,057,872 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LMouFilt.Sys -- (LMouFilt)

DRV:64bit: - [2009-06-17 17:54:22 | 000,055,312 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LHidFilt.Sys -- (LHidFilt)

DRV:64bit: - [2009-06-17 17:54:14 | 000,013,328 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LHidEqd.Sys -- (LHidEqd)

DRV:64bit: - [2009-06-17 17:54:06 | 000,074,256 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LEqdUsb.Sys -- (LEqdUsb)

DRV:64bit: - [2009-05-18 12:17:08 | 000,034,152 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\GEARAspiWDM.sys -- (GEARAspiWDM)

DRV:64bit: - [2009-03-12 13:53:41 | 000,140,288 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\RMCAST.sys -- (RMCAST) Sterownik protokołu RMCAST (Pgm)

DRV:64bit: - [2009-03-05 22:51:50 | 000,099,352 | ---- | M] () [Kernel | System | Running] -- C:\Windows\SysNative\Drivers\SWIPsec.sys -- (SWIPsec)

DRV:64bit: - [2009-03-04 17:03:32 | 000,024,600 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\swvnic.sys -- (SWVNIC)

DRV:64bit: - [2009-02-04 13:20:09 | 000,053,816 | R--- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\Drivers\DgiVecp.sys -- (DgiVecp)

DRV:64bit: - [2009-01-14 18:55:38 | 000,092,672 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ser2pl64.sys -- (Ser2pl)

DRV:64bit: - [2008-12-08 17:42:00 | 008,123,008 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\nv4_mini.sys -- (nv)

DRV:64bit: - [2008-11-16 17:39:44 | 000,157,968 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\dne64x.sys -- (DNE)

DRV:64bit: - [2008-07-08 14:03:00 | 000,055,296 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\sdusb2em.sys -- (sdusb2em) SD USB Emulator (sdusb2em.sys)

DRV:64bit: - [2008-07-03 09:30:20 | 000,325,680 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\SynTP.sys -- (SynTP)

DRV:64bit: - [2008-06-27 06:51:10 | 000,088,632 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\adfs.sys -- (adfs)

DRV:64bit: - [2008-06-25 15:59:00 | 000,055,328 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)

DRV:64bit: - [2008-06-24 13:50:00 | 000,065,024 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\rimmpx64.sys -- (rimmptsk)

DRV:64bit: - [2008-06-03 22:41:50 | 000,017,464 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\kbfiltr.sys -- (kbfiltr)

DRV:64bit: - [2008-05-29 10:21:00 | 000,016,440 | ---- | M] () [File_System | Boot | Running] -- C:\Windows\SysNative\DRIVERS\lullaby.sys -- (lullaby)

DRV:64bit: - [2008-05-13 21:02:12 | 000,121,896 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\btwavdt.sys -- (btwavdt)

DRV:64bit: - [2008-05-07 10:40:38 | 000,395,288 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\iaStor.sys -- (iaStor)

DRV:64bit: - [2008-04-27 23:38:12 | 004,730,368 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\NETw5v64.sys -- (NETw5v64) Intel®

DRV:64bit: - [2008-03-21 05:47:14 | 001,253,376 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\agrsm64.sys -- (AgereSoftModem)

DRV:64bit: - [2008-02-14 22:56:14 | 000,160,768 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Rtlh64.sys -- (RTL8169)

DRV:64bit: - [2008-01-19 07:47:12 | 000,046,080 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\wpdusb.sys -- (WpdUsb)

DRV:64bit: - [2008-01-19 07:38:17 | 000,024,064 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\MODEMCSA.sys -- (MODEMCSA)

DRV:64bit: - [2008-01-19 07:38:16 | 000,011,264 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\Drivers\RootMdm.sys -- (ROOTMODEM)

DRV:64bit: - [2008-01-19 07:37:02 | 000,019,456 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usb8023x.sys -- (usb_rndisx)

DRV:64bit: - [2008-01-19 07:33:58 | 000,032,768 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usbser.sys -- (usbser)

DRV:64bit: - [2008-01-19 07:02:55 | 000,111,104 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\sdbus.sys -- (sdbus)

DRV:64bit: - [2008-01-03 05:40:42 | 000,011,576 | R--- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\Drivers\SSPORT.sys -- (SSPORT)

DRV:64bit: - [2007-12-18 17:57:12 | 000,059,392 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\itecir.sys -- (itecir)

DRV:64bit: - [2007-10-15 08:40:50 | 000,284,416 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\etFilter64.sys -- (FiltUSBET)

DRV:64bit: - [2007-09-06 19:52:52 | 000,009,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\etScan64.sys -- (ScanUSBET)

DRV:64bit: - [2007-09-06 09:44:40 | 000,530,944 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\etDevice64.sys -- (DCamUSBET)

DRV:64bit: - [2007-08-10 20:19:44 | 000,034,872 | ---- | M] () [File_System | Boot | Running] -- C:\Windows\SysNative\drivers\AsDsm.sys -- (AsDsm)

DRV:64bit: - [2007-08-03 05:26:48 | 000,017,464 | ---- | M] () [Kernel | Auto | Running] -- C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys -- (ghaio)

DRV:64bit: - [2007-07-27 19:45:52 | 000,057,856 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\rixdpx64.sys -- (rismxdp)

DRV:64bit: - [2007-07-26 20:33:54 | 000,055,296 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\rimspx64.sys -- (rimsptsk)

DRV:64bit: - [2007-07-24 11:11:32 | 000,014,904 | ---- | M] () [Kernel | Auto | Running] -- C:\Program Files\ATKGFNEX\ASMMAP64.sys -- (ASMMAP64)

DRV:64bit: - [2007-04-24 10:33:30 | 000,123,656 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125obex.sys -- (s125obex)

DRV:64bit: - [2007-04-24 10:33:28 | 000,126,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125mgmt.sys -- (s125mgmt) Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM)

DRV:64bit: - [2007-04-24 10:33:26 | 000,144,648 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125mdm.sys -- (s125mdm)

DRV:64bit: - [2007-04-24 10:33:24 | 000,019,720 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125mdfl.sys -- (s125mdfl)

DRV:64bit: - [2007-04-24 10:33:14 | 000,108,296 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125bus.sys -- (s125bus) Sony Ericsson Device 125 driver (WDM)

DRV:64bit: - [2007-02-22 10:19:08 | 000,173,056 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdx64.sys -- (nmwcdx64)

DRV:64bit: - [2007-02-22 10:18:14 | 000,017,408 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdcmx64.sys -- (nmwcdcmx64)

DRV:64bit: - [2007-02-22 10:18:14 | 000,017,408 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdcjx64.sys -- (nmwcdcjx64)

DRV:64bit: - [2007-02-22 10:18:14 | 000,012,288 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdcx64.sys -- (nmwcdcx64)

DRV:64bit: - [2006-10-27 14:01:08 | 000,013,680 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\ATK64AMD.sys -- (MTsensor)

DRV:64bit: - [2005-09-23 22:18:34 | 000,261,120 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\MarvinBus64.sys -- (MarvinBus)

 

Widzę i ów fałszywy skaner oraz zabrudzone MountPoints2 jako konsekwencja podpinania zainfekowanych nośników USB.

 

 


Przechodzimy do usuwania:

 

1. Uruchom Kaspersky TDSSKiller, zignoruj błąd uruchomienia (przy rootkicie Necurs takowy powinien mieć miejsce). W wynikach skanowania omiń wszystkie zablokowane wyniki (to prawidłowe sterowniki) za pomocą akcji Skip, natomiast dla wyniku Necurs 7896e1b8d2f7b874 dobierz akcję Delete. Zresetuj system.

 

2. Uruchom ComboFix. Narzędzie jest tu obliczone do usunięcia ZeroAccess, wyczyszczenia MountPoints2, może i pozostałe obiekty też zostaną skasowane.

 

3. Przedstaw: raport z pracy ComboFix, nowe logi z OTL zrobione już po oraz log z Farbar Service Scanner (zaznacz wszystko do skanowania).

 

 

.

Odnośnik do komentarza

Zainstalowałem Kaspersky TDSSKiller przy uruchomieniu jest Error "Can't load driver", klikam OK start scan i odrazu dostaje komunikat:

log poniżej

 

21:16:34.0578 2368 TDSS rootkit removing tool 2.7.14.0 Feb 22 2012 16:54:49

21:16:36.0621 2368 ============================================================

21:16:36.0621 2368 Current date / time: 2012/02/26 21:16:36.0621

21:16:36.0621 2368 SystemInfo:

21:16:36.0621 2368

21:16:36.0621 2368 OS Version: 6.0.6001 ServicePack: 1.0

21:16:36.0621 2368 Product type: Workstation

21:16:36.0621 2368 ComputerName: PAWEL-LAPTOP

21:16:36.0621 2368 UserName: Pawel

21:16:36.0621 2368 Windows directory: C:\Windows

21:16:36.0621 2368 System windows directory: C:\Windows

21:16:36.0621 2368 Running under WOW64

21:16:36.0621 2368 Processor architecture: Intel x64

21:16:36.0621 2368 Number of processors: 2

21:16:36.0621 2368 Page size: 0x1000

21:16:36.0621 2368 Boot type: Normal boot

21:16:36.0621 2368 ============================================================

21:16:48.0416 2368 Raw registry subsystem init failed!

21:16:48.0665 2368 !crdlk

21:16:48.0665 2368 Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'A'

21:16:48.0697 2368 \Device\Harddisk0\DR0:

21:16:48.0697 2368 MBR used

21:16:48.0697 2368 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x1388B3B, BlocksNum 0x12A14C00

21:16:48.0712 2368 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x13D9D77A, BlocksNum 0x1168FF47

21:16:48.0790 2368 Initialize success

21:16:48.0790 2368 ============================================================

21:16:53.0517 4440 ============================================================

21:16:53.0517 4440 Scan started

21:16:53.0517 4440 Mode: Manual;

21:16:53.0517 4440 ============================================================

21:16:53.0548 4440 MBR (0x1B8) (5c616939100b85e558da92b899a0fc36) \Device\Harddisk0\DR0

21:16:53.0595 4440 \Device\Harddisk0\DR0 - ok

21:16:53.0611 4440 Boot (0x1200) (880189eb4c16ac66d754f582d176677c) \Device\Harddisk0\DR0\Partition0

21:16:53.0611 4440 \Device\Harddisk0\DR0\Partition0 - ok

21:16:53.0626 4440 Boot (0x1200) (38b3bfe2fbda82df55a0e90461168a14) \Device\Harddisk0\DR0\Partition1

21:16:53.0626 4440 \Device\Harddisk0\DR0\Partition1 - ok

21:16:53.0626 4440 ============================================================

21:16:53.0626 4440 Scan finished

21:16:53.0626 4440 ============================================================

21:16:53.0626 2624 Detected object count: 0

21:16:53.0626 2624 Actual detected object count: 0

 

W poprzednim poście nie wkleił się prtsc z progamu, ten komunikat to: "No threats found" wyskakuje zaraz po wciśnięciu "Start scan".

Po uruchomieniu "ComboFix" rozpakowywuje pliki następnie pojawia się puste niebieskie okno które znika i nic więcej się nie dzieje.

 

Punkt pierwszy udało mi się wykonać w trybie awaryjnym, przy ponownym skanowaniu znajduje mi jedno zagrożenie "Service 9eee76dbf94f4d21", czy je róznież pownienem usunąć?

Niestety ComboFix nie działa objaw zawsze taki sam: puste niebieskie okno przez chwilę i nic więcej.

Będę wdzięczny za każdą podpowiedz jak sobie z tym poradzić.

Odnośnik do komentarza

ComboFix nie miał być uruchamiany, dopóki nie zejdzie rootkit Necurs. Musi być pewne, że sterownik rootkita został skasowany i już nie działa (nie blokuje innych obiektów), a nie wygląda na to, że to ma miejsce, gdyż:

 

 

Punkt pierwszy udało mi się wykonać w trybie awaryjnym, przy ponownym skanowaniu znajduje mi jedno zagrożenie "Service 9eee76dbf94f4d21", czy je róznież pownienem usunąć?

Niestety ComboFix nie działa objaw zawsze taki sam: puste niebieskie okno przez chwilę i nic więcej.

 

Pokaż mi log z Kasperskiego zrobiony z bieżącego momentu z poziomu Trybu awaryjnego.

 

 

 

.

Odnośnik do komentarza

Narzędzia na spółkę wykończyły odnotowane przeze mnie infekcje, ale są jeszcze wymagane poprawki i reperacje uszkodzeń w systemie. Zabrakło logów z OTL, o które prosiłam. Kolejne kroki do wykonania:

 

1. Usuń przez SHIFT+DEL z dysku te dwa pliki:

 

2012-02-26 21:11 . 2012-02-26 21:11	45056	----a-w-	c:\windows\SysWow64\mhrij.scr

2012-02-26 21:11 . 2012-02-26 21:11 45056 ----a-w- c:\windows\SysWow64\mhrij.exe

 

2. Napraw uszkodzoną wartość Netsvcs. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
  63,00,00,00,77,00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,\
  00,72,00,74,00,00,00,54,00,68,00,65,00,6d,00,65,00,73,00,00,00,43,00,65,00,\
  72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,00,00,00,53,00,43,00,50,\
  00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,00,00,6c,00,61,00,6e,00,\
  6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,00,00,00,67,00,70,00,73,\
  00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,54,00,00,00,41,00,75,00,\
  64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,00,73,00,74,00,55,00,73,\
  00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,69,00,6e,00,67,00,43,00,\
  6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,00,69,00,74,00,79,00,00,\
  00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,6e,00,00,00,4e,00,6c,00,\
  61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,00,00,4e,00,57,00,43,\
  00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,\
  4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,52,00,61,\
  00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,00,6d,00,61,00,6e,00,\
  00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,63,00,65,00,73,00,73,\
  00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,\
  61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,\
  00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,\
  57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,00,\
  00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,\
  77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,\
  00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,\
  63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,00,6f,00,6e,00,48,00,6f,\
  00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,64,00,69,00,74,00,00,00,\
  68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,00,70,00,6c,00,6f,00,61,\
  00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,6c,00,70,00,73,00,76,00,\
  63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,41,00,70,\
  00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,69,00,73,00,63,00,73,00,\
  69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,68,00,6b,00,6d,00,73,00,76,\
  00,63,00,00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,73,00,63,00,\
  68,00,65,00,64,00,75,00,6c,00,65,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,\
  00,74,00,00,00,53,00,65,00,73,00,73,00,69,00,6f,00,6e,00,45,00,6e,00,76,00,\
  00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,50,00,72,00,6f,00,66,\
  00,53,00,76,00,63,00,00,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz Scal

 

3. Odbuduj skasowaną przez ZeroAccess Zaporę systemu Windows: KLIK. Do odbudowy masz dwie usługi, tzn. BFE oraz MpsSvc. Po odbudowie wykonaj reset reguł.

 

4. Po wszystkim restart systemu i zrób nowe logi z OTL z opcji Skanuj + Farbar Service Scanner + AdwCleaner z opcji Search.

 

 

 

.

Odnośnik do komentarza
Wykonałem całą procedurę opisaną w powyższym poście, na koniec nie udało mi się włączyć zapory systemu windows, co gorsza przeglądarka ponownie przekierowywuje mnie na strony abnow.

 

Infekcja wróciła ... w logu znaki infekcji ZeroAccess (przekierowania abnow), co więcej sekcja sterowników znów sugeruje rootkita Necurs. Nie wiem jakim sposobem odtworzyło się tu wszystko z taką pieczołowitością usuwane. Nie wykluczam, że uruchomiłeś to samo źródło infekcyjne. Robota od początku.

 

 

Skan tdsskiller nic nie znajduje.

 

Mówiłam, że tu były dwie infekcje, a TDSSKiller dedykował określoną. TDSSKiller nie pod przypadek z ZeroAccess, na systemie 64-bit to nie działa w technice rootkit jak na systemie 32-bit. TDSSKiller był tu pod rootkita Necurs. Tylko teraz jest niepokojący stan: TDSKiller nic nie widzi, a stan sterowników sugeruje jego aktywność ... Tylko, że nie widać w ogóle na dysku jego pliku ...

 

 

Z poziomu Trybu awaryjnego Windows uruchom ComboFix (o ile się da) i przedstaw raport z jego pracy oraz wykonane już po nowe logi z OTL (pobierz program od nowa: jest nowsza wersja).

 

 

.

Odnośnik do komentarza

Niestety ComboFix nie działa (rozpakowywuje pliki i nic więcej się nie dzieje, nawet niebieski ekran się nie pojawia).

Trochę podejżany jest Instalator programu Adobe Flash Player, który co jakiś czas sam się uruchamia i próbuje zainstalować, wcześniej go nie widziałem.

Bardzo proszę o pomoc, co jeszcze można spróbować?

post-2-0-47423600-1331197033_thumb.jpg

Odnośnik do komentarza

Ja tu nie widzę nic poza ZeroAccess ...

 

 

1. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

HKU\Pawel\...\Run: [internet Security] C:\Users\Pawel\AppData\Roaming\isecurity.exe [875008 2012-03-04] ()
SubSystems: [Windows] ==> ZeroAccess
2 mcdbus; C:\Windows\System32\emitray.dll [5120 2008-01-19] (Iomega)
C:\Windows\System32\emitray.dll
C:\Windows\System32\consrv.dll
C:\Users\Pawel\AppData\Roaming\isecurity.exe
C:\Users\Pawel\Desktop\Internet Security.lnk
C:\Windows\System32\dds_log_trash.cmd
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\assembly\tmp\U
C:\Windows\DeleteOnReboot.bat
CMD: bcdedit -set TESTSIGNING OFF

 

Plik zapisz pod nazwą fixlist.txt. Wstaw obok narzędzia FRST.

 

2. Uruchom narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony obok zostanie przetworzony i powstanie plik fixlog.txt.

 

3. Restartujesz do Windows. Importujesz podany wcześniej FIX.REG. Ponowny restart systemu.

 

4. Wykonujesz pełny skan za pomocą posiadanego Malwarebytes Anti-Malware. Ścieżki z kwarantannami do zignorowania: C:\FRST, C:\Qoobox.

 

5. Logi do oceny: fixlog.txt z punktu 2 + raport z MBAM z punktu 4 + nowy log z OTL zobiony na warunku dostosowanym + nowy log z Farbar Service Scanner. W OTL w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj.

 

 

 

.

Odnośnik do komentarza

Zadanie skryptowe prawie wykonane (z wyjątkiem komendy bcdedit). MBAM nie widzi nic specjalnego, poza dwoma ostatnimi wynikami namierzył tylko kwarantanny, czego się spodziewałam. Natomiast:

 

1. Winsock należy zresetować:

 

 

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

 

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. Zresetuj system.

 

2. Sekcja sterowników wygląda niezdrowo, one nadal wyglądają jakby były zablokowane ...

 

 

 

DRV:64bit: - [2011-12-10 15:24:08 | 000,023,152 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector)

DRV:64bit: - [2011-05-10 07:06:14 | 000,022,528 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\netaapl64.sys -- (Netaapl)

DRV:64bit: - [2011-05-10 07:06:08 | 000,051,712 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\usbaapl64.sys -- (USBAAPL64)

DRV:64bit: - [2011-03-18 04:46:20 | 000,074,376 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ftdibus.sys -- (FTDIBUS)

DRV:64bit: - [2011-03-18 04:46:06 | 000,085,384 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ftser2k.sys -- (FTSER2K)

DRV:64bit: - [2010-02-08 21:28:10 | 000,148,360 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\HRMPORTS.SYS -- (HRMPORTS)

DRV:64bit: - [2010-02-08 21:28:10 | 000,133,512 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\HRMCFGSPC.SYS -- (HRMCFGSPC)

DRV:64bit: - [2010-02-08 21:28:10 | 000,128,504 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\HRMINTS.SYS -- (HRMINTS)

DRV:64bit: - [2010-02-08 21:28:08 | 000,676,232 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\dsfksvcs.sys -- (DSFKSVCS)

DRV:64bit: - [2010-02-08 21:28:08 | 000,035,832 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\dsfroot.sys -- (dsfroot)

DRV:64bit: - [2009-09-02 09:45:38 | 000,254,464 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\windrvr6.sys -- (WinDriver6)

DRV:64bit: - [2009-06-17 17:54:46 | 000,040,976 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\LUsbFilt.Sys -- (LUsbFilt)

DRV:64bit: - [2009-06-17 17:54:30 | 000,057,872 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LMouFilt.Sys -- (LMouFilt)

DRV:64bit: - [2009-06-17 17:54:22 | 000,055,312 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LHidFilt.Sys -- (LHidFilt)

DRV:64bit: - [2009-06-17 17:54:14 | 000,013,328 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LHidEqd.Sys -- (LHidEqd)

DRV:64bit: - [2009-06-17 17:54:06 | 000,074,256 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LEqdUsb.Sys -- (LEqdUsb)

DRV:64bit: - [2009-05-18 12:17:08 | 000,034,152 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\GEARAspiWDM.sys -- (GEARAspiWDM)

DRV:64bit: - [2009-03-12 13:53:41 | 000,140,288 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\RMCAST.sys -- (RMCAST) Sterownik protokołu RMCAST (Pgm)

DRV:64bit: - [2009-03-05 22:51:50 | 000,099,352 | ---- | M] () [Kernel | System | Running] -- C:\Windows\SysNative\Drivers\SWIPsec.sys -- (SWIPsec)

DRV:64bit: - [2009-03-04 17:03:32 | 000,024,600 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\swvnic.sys -- (SWVNIC)

DRV:64bit: - [2009-02-04 13:20:09 | 000,053,816 | R--- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\Drivers\DgiVecp.sys -- (DgiVecp)

DRV:64bit: - [2009-01-14 18:55:38 | 000,092,672 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ser2pl64.sys -- (Ser2pl)

DRV:64bit: - [2008-12-08 17:42:00 | 008,123,008 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\nv4_mini.sys -- (nv)

DRV:64bit: - [2008-11-16 17:39:44 | 000,157,968 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\dne64x.sys -- (DNE)

DRV:64bit: - [2008-07-08 14:03:00 | 000,055,296 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\sdusb2em.sys -- (sdusb2em) SD USB Emulator (sdusb2em.sys)

DRV:64bit: - [2008-07-03 09:30:20 | 000,325,680 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\SynTP.sys -- (SynTP)

DRV:64bit: - [2008-06-27 06:51:10 | 000,088,632 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\adfs.sys -- (adfs)

DRV:64bit: - [2008-06-25 15:59:00 | 000,055,328 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)

DRV:64bit: - [2008-06-24 13:50:00 | 000,065,024 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\rimmpx64.sys -- (rimmptsk)

DRV:64bit: - [2008-06-03 22:41:50 | 000,017,464 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\kbfiltr.sys -- (kbfiltr)

DRV:64bit: - [2008-05-29 10:21:00 | 000,016,440 | ---- | M] () [File_System | Boot | Running] -- C:\Windows\SysNative\DRIVERS\lullaby.sys -- (lullaby)

DRV:64bit: - [2008-05-13 21:02:12 | 000,121,896 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\btwavdt.sys -- (btwavdt)

DRV:64bit: - [2008-05-07 10:40:38 | 000,395,288 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\iaStor.sys -- (iaStor)

DRV:64bit: - [2008-04-27 23:38:12 | 004,730,368 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\NETw5v64.sys -- (NETw5v64) Intel®

DRV:64bit: - [2008-03-21 05:47:14 | 001,253,376 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\agrsm64.sys -- (AgereSoftModem)

DRV:64bit: - [2008-02-14 22:56:14 | 000,160,768 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Rtlh64.sys -- (RTL8169)

DRV:64bit: - [2008-01-19 07:47:12 | 000,046,080 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\wpdusb.sys -- (WpdUsb)

DRV:64bit: - [2008-01-19 07:38:17 | 000,024,064 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\MODEMCSA.sys -- (MODEMCSA)

DRV:64bit: - [2008-01-19 07:38:16 | 000,011,264 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\Drivers\RootMdm.sys -- (ROOTMODEM)

DRV:64bit: - [2008-01-19 07:37:02 | 000,019,456 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usb8023x.sys -- (usb_rndisx)

DRV:64bit: - [2008-01-19 07:33:58 | 000,032,768 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usbser.sys -- (usbser)

DRV:64bit: - [2008-01-19 07:02:55 | 000,111,104 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\sdbus.sys -- (sdbus)

DRV:64bit: - [2008-01-03 05:40:42 | 000,011,576 | R--- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\Drivers\SSPORT.sys -- (SSPORT)

DRV:64bit: - [2007-12-18 17:57:12 | 000,059,392 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\itecir.sys -- (itecir)

DRV:64bit: - [2007-10-15 08:40:50 | 000,284,416 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\etFilter64.sys -- (FiltUSBET)

DRV:64bit: - [2007-09-06 19:52:52 | 000,009,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\etScan64.sys -- (ScanUSBET)

DRV:64bit: - [2007-09-06 09:44:40 | 000,530,944 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\etDevice64.sys -- (DCamUSBET)

DRV:64bit: - [2007-08-10 20:19:44 | 000,034,872 | ---- | M] () [File_System | Boot | Running] -- C:\Windows\SysNative\drivers\AsDsm.sys -- (AsDsm)

DRV:64bit: - [2007-08-03 05:26:48 | 000,017,464 | ---- | M] () [Kernel | Auto | Running] -- C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys -- (ghaio)

DRV:64bit: - [2007-07-27 19:45:52 | 000,057,856 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\rixdpx64.sys -- (rismxdp)

DRV:64bit: - [2007-07-26 20:33:54 | 000,055,296 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\rimspx64.sys -- (rimsptsk)

DRV:64bit: - [2007-07-24 11:11:32 | 000,014,904 | ---- | M] () [Kernel | Auto | Running] -- C:\Program Files\ATKGFNEX\ASMMAP64.sys -- (ASMMAP64)

DRV:64bit: - [2007-04-24 10:33:30 | 000,123,656 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125obex.sys -- (s125obex)

DRV:64bit: - [2007-04-24 10:33:28 | 000,126,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125mgmt.sys -- (s125mgmt) Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM)

DRV:64bit: - [2007-04-24 10:33:26 | 000,144,648 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125mdm.sys -- (s125mdm)

DRV:64bit: - [2007-04-24 10:33:24 | 000,019,720 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125mdfl.sys -- (s125mdfl)

DRV:64bit: - [2007-04-24 10:33:14 | 000,108,296 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s125bus.sys -- (s125bus) Sony Ericsson Device 125 driver (WDM)

DRV:64bit: - [2007-02-22 10:19:08 | 000,173,056 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdx64.sys -- (nmwcdx64)

DRV:64bit: - [2007-02-22 10:18:14 | 000,017,408 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdcmx64.sys -- (nmwcdcmx64)

DRV:64bit: - [2007-02-22 10:18:14 | 000,017,408 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdcjx64.sys -- (nmwcdcjx64)

DRV:64bit: - [2007-02-22 10:18:14 | 000,012,288 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdcx64.sys -- (nmwcdcx64)

DRV:64bit: - [2006-10-27 14:01:08 | 000,013,680 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\ATK64AMD.sys -- (MTsensor)

DRV:64bit: - [2005-09-23 22:18:34 | 000,261,120 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\MarvinBus64.sys -- (MarvinBus)

 

 

 

Sprawdź jeszcze co powie ESET Necurs Remover. Narzędzie adresuje 64-bitowy wariant infekcji.

 

3. Po wszystkim wykonaj nowy log z OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Odnośnik do komentarza
Sprawdź jeszcze co powie ESET Necurs Remover. Narzędzie adresuje 64-bitowy wariant infekcji.

 

Nic mi nie pokazuje, możliwe że coś robię nie tak.

Ściągnąłem zip ze wskazanej lokalizacji, rozpakowałem i uruchomiłem, przez ułamek sekundy pokazuje się okno cmd i nic poza tym.

Czy to jest prawidłowe działanie? Przeczytałem opis na stronie ale przyznam że nadal nie bardzo wiem jak sprawdzić czy działa poprawnie.

Będę wdzięczny za wyjaśnienie.

Odnośnik do komentarza
Nic mi nie pokazuje, możliwe że coś robię nie tak.

Ściągnąłem zip ze wskazanej lokalizacji, rozpakowałem i uruchomiłem, przez ułamek sekundy pokazuje się okno cmd i nic poza tym.

Czy to jest prawidłowe działanie? Przeczytałem opis na stronie ale przyznam że nadal nie bardzo wiem jak sprawdzić czy działa poprawnie.

 

To się dzieje, jeśli klikniesz bezpośrednio plik ESETNecursRemover.exe. Okno się nie zamknie samo, jeżeli narzędzie uruchomisz wprost z linii komend: Start > w polu szukania wpisz cmd > z prawokliku "Uruchom jako Administrator" i wpisz komendę: "pełna ścieżka dostępu do ESETNecursRemover.exe". Tu dla porówniania wyniki:

 

Microsoft Windows [Version 6.1.7601]

Copyright © 2009 Microsoft Corporation. All rights reserved.

 

C:\Windows\system32>C:\Users\konto\Downloads\ESETNecursRemover\ESETNecursRemover.exe

ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright © ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage: "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

-reboot - reboot machine after successful cleaning

 

Win32/Necurs was not found on your computer.

 

C:\Windows\system32>

 

Przypuszczam, że narzędzie po prostu nic nie widzi.

 

 

 

 

.

Odnośnik do komentarza

Winsock zresetowany. Sterowniki nadal dziwnie wyglądają, ale skoro i ESET nic nie widzi, to nie spodziewałam się zmiany. Sprawdź przykładowy z listy C:\Windows\system32\drivers\adfs.sys: z prawokliku pobierz Właściwości > Zabezpieczenia > zrób zrzuty ekranu co tam widać. Jeżeli widnieją określone konta, po kolei je podświetl, by na dole było widać aktualny zestaw uprawnień.

 

 

 

.

Odnośnik do komentarza

Nic z tego dla mnie nie wynika. Nie wiem dlaczego lista sterowników tak wygląda, mimo że Necurs jest już wyeliminowany... To może ukończmy sprawę czyszczenia tego co jest tu wiadome i zróbmy jeszcze skany:

 

1. Odinstaluj śmiecia sponsoringowego DAEMON Tools Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{905E648B-266A-4EDF-87DC-44AD1298A979}]
 
:OTL
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2011-05-08 21:01:53 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Pawel\AppData\Roaming\mozilla\Firefox\Profiles\9jdwq5ei.default\extensions\DTToolbar@toolbarnet.com
[2011-01-15 20:38:52 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Pawel\AppData\Roaming\mozilla\Firefox\Profiles\9jdwq5ei.default\extensions\vshare@toolbar
[2011-01-15 20:38:59 | 000,001,583 | ---- | M] () -- C:\Users\Pawel\AppData\Roaming\Mozilla\Firefox\Profiles\9jdwq5ei.default\searchplugins\web-search.xml
[2012-03-03 11:29:04 | 000,000,000 | -HS- | M] () -- C:\Windows\muzuki.exc
 
:Files
rd /s /q C:\FRST /C
rd /s /q C:\TDSSKiller_Quarantine /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Zastosuj AdwCleaner z opcji Delete. Następnie skorzystaj w nim z opcji Uninstall.

 

4. Odinstaluj w prawidłowy sposób Combofix. Klawiasz z flagą Windows + R i w Uruchom wklej:

 

C:\Users\Pawel\Desktop\ComboFix.exe /uninstall

 

Po tym możesz zastosować Sprzątanie w OTL.

 

5. Wykonaj pełny skan za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. Przedstaw wykryte zagrożenia, o ile takowe będą. Reszta wyników mnie nie interesuje.

 

 

 

.

 

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...