picasso Opublikowano 11 Marca 2012 Zgłoś Udostępnij Opublikowano 11 Marca 2012 Nie przerwalo, ale nie wykonalo (chyba) tego czego powinno. Wyniki w zalaczniku Co masz na myśli "nie wykonało"? Pomimo tego, że nie ma raportu z ComboFix, a narzędzie się niejako podejrzanie zachowuje, log z GMER poświadcza, że ComboFix dokończył robotę, tzn. skasował łącze symboliczne. Nie jest już widoczne w GMER. Podaj jeszcze potwierdzający skan. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB12850$;true;true;false /FP Klik w Skanuj. . Odnośnik do komentarza
aniania Opublikowano 12 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2012 Piszac, ze "GMER (chyba) nie wykonal swojego zadania" mialam na mysli, ze nie jestem pewna czy dobrze zadzialal, biorac pod uwage to, ze pare razy jego praca zostala przerwana i ze wykonywal sie inaczej niz zwykle - skanowanie trwalo o wiele ktrocej niz wczesniej. Wyszukiwarka nie przekierowuje mnie juz na abnow. Logi z OTLa ponizej OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Marca 2012 Zgłoś Udostępnij Opublikowano 12 Marca 2012 Wyszukiwarka nie przekierowuje mnie juz na abnow. To już jest mi wiadome od momentu, gdy skomentowałam wygląd GMER zaznaczając, że ustały czynności rootkit. ComboFix zdjął łącze symboliczne, dlatego nie widać tego już w GMER, ale katalog nadal jest na dysku: [2012-03-09 18:00:00 | 000,000,000 | -HSD | M] -- C:\Windows\$NtUninstallKB12850$ [2012-03-09 18:00:00 | 000,000,000 | -HSD | M] -- C:\Windows\$NtUninstallKB12850$\1832820979 Upewnij się, że masz włączone wszystkie opcje widoku (w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > zaznaczone "Pokaż ukryte pliki i foldery" + odznaczone "Ukryj chronione pliki systemu operacyjnego"). Sprawdź czy da się skasować ukryty folder C:\Windows\$NtUninstallKB12850$ przez SHIFT + DEL. . Odnośnik do komentarza
aniania Opublikowano 12 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2012 tak, da sie skasowac Odnośnik do komentarza
picasso Opublikowano 13 Marca 2012 Zgłoś Udostępnij Opublikowano 13 Marca 2012 Skoro dał się skasować, to mamy ukończoną tę fazę. Idziemy dalej: 1. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w Uruchom wklej polecenie: "pełna ścieżka dostępu do pliku ComboFix.exe" /uninstall Gdy komenda ukończy, wywołaj Sprzątanie w OTL. Ręcznie dokasuj inne używane tu narzędzia i pliki ode mnie otrzymane, w tym te obiekty: [2012-03-10 22:10:07 | 000,000,000 | ---D | C] -- C:\Program Files\ESET[2012-03-07 17:34:36 | 000,066,560 | ---- | C] (Microsoft Corporation) -- C:\smb.sys[2012-03-06 15:25:34 | 000,000,000 | ---D | C] -- C:\Users\Ania\Desktop\LOGI[2012-03-06 15:18:05 | 000,000,000 | ---D | C] -- C:\Users\Ania\Desktop\GrantPerms[2012-03-06 15:02:49 | 000,184,320 | ---- | C] (Microsoft Corporation) -- C:\netbt.sys[2012-03-05 10:36:08 | 000,000,000 | ---D | C] -- C:\Avenger[2012-03-05 01:29:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab[2012-03-05 01:04:14 | 000,014,664 | ---- | C] (McAfee, Inc.) -- C:\Windows\stinger.sys[2012-03-05 01:04:04 | 000,159,608 | ---- | C] (McAfee, Inc.) -- C:\Windows\System32\mfevtps.exe.df64.deleteme[2012-03-05 01:03:31 | 000,000,000 | ---D | C] -- C:\Program Files\stinger[2012-03-04 16:51:51 | 000,000,000 | ---D | C] -- C:\Users\Ania\DoctorWeb[2012-03-04 15:56:02 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT[2012-03-09 17:15:16 | 000,241,664 | ---- | C] ( ) -- C:\Windows\SetACL.exe 2. Wykonaj pełne skanowanie systemu za pomocą posiadanego Malwarebytes Anti-Malware oraz Kaspersky Virus Removal Tool. Zgłoś się tu z raportami z ewentualnymi wykryciami (inne typy wyników lub "puste" logi mnie nie interesują). . Odnośnik do komentarza
aniania Opublikowano 13 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2012 Log z Malwarebytes Anti-Malware już jest. Program wykrył: RiskWare.Tool.Ck, Malware.Packer.Gen, Rootkit.Zeroaccess. Kasperskiego dopiero sciagam EDIT Kaspersky nic nie wykryl mbam-log-2012-03-05 (00-25-21).txt Odnośnik do komentarza
picasso Opublikowano 14 Marca 2012 Zgłoś Udostępnij Opublikowano 14 Marca 2012 Wyników się tu jeszcze spodziewałam. Te znaleziska MBAM już niegroźne, z punktu widzenia "aktywności" infekcji. 1. W związku z wykryciami wyczyść foldery Przywracania systemu: KLIK. 2. Wykonaj ważne aktualizacje: KLIK. Tu z Twojej listy zainstalowanych: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 7.0.6001.18000) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 29"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin Przede wszystkim: system na krytycznym poziomie aktualizacji (brak SP2 + IE9). Tak niski status SP jest podejrzany, zabierz się za aktualizacje i potwierdź mi, że nie ma żadnych błędów instalacyjnych ... 3. Na koniec dla bezpieczeństwa prewencyjna wymiana haseł logowania w serwisach. EDIT: Tematyka problemów z instalacją aktualizacji została wydzielona i sfinalizowana w tym temacie: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi