mimal Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Niestety jestem najprawdopodobniej kolejną ofiarą rootkita ZeroAcess i mnie również zaczął net mulić oraz przekierowywać na stronę abnow.com .Mam system 7 64-bitowy Mam problem z odpaleniem programu Combofix dlatego wklejam logi tylko z OTL-a.Za każdą chęć pomocy bardzo dziękuję. Pozdrawiam Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Owszem, kolejna ofiara ZeroAccess. Aczkolwiek na systemie 64-bit infekcja nie ma charakteru rootkit. ========== Modules (No Company Name) ========== MOD - [2010-11-21 05:24:09 | 000,232,448 | ---- | M] () -- \\?\globalroot\systemroot\syswow64\mswsock.DLL ========== Win32 Services (SafeList) ========== SRV:64bit: - [2009-07-14 03:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\Windows\SysNative\se2Bnd5.dll -- (starwindservice) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found [2012-03-19 00:08:59 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA%[2012-03-19 00:04:06 | 000,000,000 | -HSD | C] -- C:\Users\big\AppData\Local\be37ec03[2012-03-25 15:09:08 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_log_ad13.cmd Poza tym, w systemie masz całą kolekcję sponsorowanych pasków-śmieci. 1. Odinstaluj: Ask Toolbar, Babylon, Conduit Engine, DealPly, Facemoods Toolbar, IncrediMail MediaBar 2 Toolbar, uTorrentBar Toolbar. Deinstalację przeprowadź w trzech miejscach: menedżer rozszerzeń Firefox, menedżer rozszerzeń Google Chrome oraz Panel sterowania Windows. Nie wszędzie będzie dostyępny ten sam zestaw do usunięcia. 2. Pobierz ComboFix. Przejdź w Tryb awaryjny Windows i uruchom narzędzie. 3. Przedstaw raport wygenerowany przez ComboFix. Wykonaj nowy log z OTL z opcji Skanuj (bez Extras), Farbar Service Scanner z wszystkimi opcjami zaznaczonymi oraz log z AdwCleaner z opcji Search. PS. O HijackThis zapomnij. Program niezgodny z 64-bitami, a także wymarły. . Odnośnik do komentarza
mimal Opublikowano 28 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2012 Przepraszam, ze tak długo nie odpisywałem, ale mój pecek był do mnie nastawiony dosć specyficznie buntowniczo.Miałem przeprowadzić deinstalację w 3 różnych miejscach.Niestety nie mogłem przeprowadzić w firefoxie, ponieważ nie używam go od pół roku kiedy to go odinstalowałem i przerzuciłem się na Operę.Co prawda nie po odinstalowaniu zostały jeszcze jakieś foldery śmieci których obecność sobie wczoraj uświadomiłem i które poszły do kosza(fot1.) W google Chrome miałem zainstalowane tylko jedno rozszerzenie i było to uTorrentBarToolbar(odinstalowane). Przez panel sterowania usunąłem pozostałe programy oprócz Babylona i Ask Toolbara.Do AskToolbara nie znalazłem nawet odnośnika, co do Babylona... Znalazłem po nim folder...Ale jak wpisałem w windows-owskiej wyszukiwarce to znalazłem też Babylon.exe który rzekomo znajdował się w tym folderze.Tylko że główny folder jest pusty i nie ma w nim tego .exe (fot2.) Niewiem co mnie podkusiło, ale z ciekawości go[babylon.exe] uruchomiłem w notatniku.Nagle wszystkie programy(wraz z podstawowymi) zamieniły się na rozszerzenie .Ink i nie dało się ich otworzyć bo wyskakiwał komunikat: "C:\(lokalizacja programu) nie jest prawidłową aplikacją systemu Win.32" .Na necie znalazłem wpis do rejestru który miał przywrócić domyślną wartość .Ink , ale który mi nie pomógł i musiałem przywracać system.Po przywróceniu systemu okazało się już mnie nie przekierowuje ale nadal internet ciągnie trochę wolniej.Wstawiam 4 nowe logi które zrobiłem po przywróceniu systemu( po przywróceniu na nowo odinstalowałem te toolbary) AdwCleanerR1.txt ComboFix.txt OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 29 Marca 2012 Zgłoś Udostępnij Opublikowano 29 Marca 2012 Mam pytanie, cóż to na Boga jest: [2012-03-27 23:45:32 | 000,743,878 | ---- | C] (V9 Downloader) -- C:\Users\big\Desktop\ComboFix_Downloader.exe To nie jest oryginalna instalacja ComboFix. Znalazłem po nim folder...Ale jak wpisałem w windows-owskiej wyszukiwarce to znalazłem też Babylon.exe który rzekomo znajdował się w tym folderze.Tylko że główny folder jest pusty i nie ma w nim tego .exe (fot2.) To nie był z pewnością babylon.exe tylko babylon.lnk (skrót kierujący do C:\Program Files\...\babylon.exe już nieistniejącego), bo to wtedy wyjaśnia to: Niewiem co mnie podkusiło, ale z ciekawości go[babylon.exe] uruchomiłem w notatniku.Nagle wszystkie programy(wraz z podstawowymi) zamieniły się na rozszerzenie .Ink i nie dało się ich otworzyć bo wyskakiwał komunikat: "C:\(lokalizacja programu) nie jest prawidłową aplikacją systemu Win.32" .Na necie znalazłem wpis do rejestru który miał przywrócić domyślną wartość .Ink , ale który mi nie pomógł i musiałem przywracać system. Zapewne przy otwieraniu przez Notatnik nie odznaczyłeś opcji "Zawsze używaj wybranego programu do otwierania tego typu plików", a to spowodowało skojarzenie wszystkich skrótów LNK z Notatnikiem. Inny wpis trzeba było importować, na UserChoice. Tzn. wystarczyło w Unassocc usunąć skojarzenie użytkownika dla LNK. Po przywróceniu systemu okazało się już mnie nie przekierowuje ale nadal internet ciągnie trochę wolniej. Widocznie cofnąłeś do daty sprzed infekcji, choć ComboFix mimo wszystko dokasował jej obiekt C:\Windows\assembly\tmp\U, a na dysku nadal widzę kilka obiektów. Poza tym, są nadal subtelne ślady modyfikacji, czyli błędna ścieżka usługi Windows Defender: Windows Defender:==============WinDefend Service is not running. Checking service configuration:The start type of WinDefend service is OK.The ImagePath of WinDefend service is OK.The ServiceDll of WinDefend: "%ProgramFiles(x86)%\Windows Defender\mpsvc.dll". Wstawiam 4 nowe logi które zrobiłem po przywróceniu systemu( po przywróceniu na nowo odinstalowałem te toolbary) Najwyraźniej kolejność była nieodpowiednia, nie tak jak zadałam. Celowo deinstalacja Facemoods została podana przed uruchomieniem ComboFix, by on się za to nie zabierał (tnie w mało elegancki sposób folder z dysku, pozostawiając śmietnik w rejestrze). Nadal widzę także jako zainstalowane: IncrediMail MediaBar + Ask Toolbar (aka Foxit PDF Creator Toolbar). I na temat tego podejścia: Do AskToolbara nie znalazłem nawet odnośnika Widocznie wpis jest ukryty, bo na liście zainstalowanych pozycja była obecna: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar Wpis uwidocznię na liście i zobaczymy co z tego wyniknie. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "Group"="COM Infrastructure" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] "NoModify"=dword:00000000 "NoRepair"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal 2. Przejdź do Panelu sterowania i odinstaluj zaległe pozycje Ask Toolbar + IncrediMail MediaBar. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2012-03-19 00:08:59 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\%APPDATA% [2012-03-19 00:04:06 | 000,000,000 | -HSD | C] -- C:\Users\big\AppData\Local\be37ec03 [2012-01-22 14:33:57 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\big\AppData\Roaming\mozilla\Firefox\Profiles\d3qfstck.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-11-28 21:08:19 | 000,002,207 | ---- | M] () -- C:\Users\big\AppData\Roaming\Mozilla\Firefox\Profiles\d3qfstck.default\searchplugins\MyStart Search.xml FF - prefs.js..browser.startup.homepage: "http://mystart.incredimail.com/mb68?u=92260458492644924" IE - HKU\S-1-5-21-3544759238-4083025651-3038206428-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92260458492644924" :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 4. Uruchom AdwCleaner i zastosuj w nim opcję Delete. 5. Przedstaw nowy log OTL z opcji Skanuj. Dołącz też log z przetwarzania skryptu w punkcie 3. . Odnośnik do komentarza
mimal Opublikowano 31 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2012 Po tym jak nie chciał mi się w normalnym trybie Combofix uruchomić, to przed następną próbą ściągłem 2 instalatory tegoż programu(jeden z oryginalnej strony, drugi z jakiejś "cholera wie").Na szczęście w trybie awaryjnym ten z orgynialnej strony spokojnie się zainstalował, a ten drugi leżał na pulipicie niewykorzystany. Po wklejeniu tego kodu, wszedłem w panel i odinstalowałem...ale tylko Ask toolbara bo odnośnie IncreidMail MediaBar-a ni widu ni słychu.Zobaczyłem na rozszerzenia w IE co jako tako pomogło mi dotrzeć do folderu z tym dziadostwem, tylko tyle że w folderze znalałem 4 pliki w tym 2 .exe. .Pierwszy raz spotkałem się z plikiem unwise.exe , który rzekomo miał być deinstalatorem, tylko że po odpaleniu go szuka loga install.log, a ja nie mam pojęcia gdzie taki się znajduje.Załączam fotografię zawartości tego folderu: Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Po tym jak nie chciał mi się w normalnym trybie Combofix uruchomić, to przed następną próbą ściągłem 2 instalatory tegoż programu(jeden z oryginalnej strony, drugi z jakiejś "cholera wie").Na szczęście w trybie awaryjnym ten z orgynialnej strony spokojnie się zainstalował, a ten drugi leżał na pulipicie niewykorzystany. Na przyszłość: oryginalny instalator ComboFix (z gwarancją, że to najnowsza wersja) to ten w linkach podanych w przyklejonym temacie. Wszelkie inne linki nie są autoryzowane. Jeżeli narzędzie się nie uruchamia, nic nie pomoże pobranie go z innego miejsca w sieci. Przeszkodą jest zapewne infekcja lub ewentualnie zderzenie określonej konfiguracji systemu z procedurami narzędzia. odnośnie IncreidMail MediaBar-a ni widu ni słychu.Zobaczyłem na rozszerzenia w IE co jako tako pomogło mi dotrzeć do folderu z tym dziadostwem, tylko tyle że w folderze znalałem 4 pliki w tym 2 .exe. .Pierwszy raz spotkałem się z plikiem unwise.exe , który rzekomo miał być deinstalatorem, tylko że po odpaleniu go szuka loga install.log, a ja nie mam pojęcia gdzie taki się znajduje. Ten błąd oznacza, że IncrediMail MediaBar jest zdewastowany i ma niepełny deinstalator. Przejdź do dalszych punktów. AdwCleaner widzi składniki tego paska i go załatwi. . Odnośnik do komentarza
mimal Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Po pominięciu kroku nr.2, wklejam następujące logi: Ps;W przypadku opcji "Delete" w programie adwCleaner komputer również się zrestartował i utworzył loga. Ps2:Widzę że nie można wysyłać plików z rozszerzeniem .log więc zamieniłem na .txt(ten z KROK-u nr.3)-mam nadzieję ze nie wpłynie to na jakąkolwiek zmianę zawartości pliku. 04012012_114524.txt AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Widzę że nie można wysyłać plików z rozszerzeniem .log więc zamieniłem na .txt(ten z KROK-u nr.3)-mam nadzieję ze nie wpłynie to na jakąkolwiek zmianę zawartości pliku. Nie wpływa to na zawartość plików. Zadania wykonane. Jeszcze poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found IE - HKU\S-1-5-21-3544759238-4083025651-3038206428-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O3 - HKU\S-1-5-21-3544759238-4083025651-3038206428-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-3544759238-4083025651-3038206428-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. :Files del /q C:\Users\big\Desktop\ComboFix_Downloader.exe /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Odinstaluj AdwCleaner poprzez zastosowanie w nim opcji Uninstall. 3. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w Uruchom wklej komendę: C:\Users\big\Desktop\ComboFix.exe /uninstall Gdy deinstalacja się ukończy, użyj Sprzątanie w OTL kasujące program wraz z jego kwarantanną. 4. Na wszelki wypadek wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
mimal Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Skrypt wykonany, adwcleaner odinstalowany. Dotarłem do punktu 3 uruchomiłem komendę i ku mojemu zdziwieniu rozpoczeły się procedury takie jak przy instalacji tzn;Zaczął się rozpakowywać i skanować, a na końcu wygenerował loga.Niestety nie pomyślałem, że skoro był instalowany w trybie awaryjnym to również tam powinien być odinstalowany.Skanował 3 razy dłużej i również tak samo długo generował loga(przypuszczam że spowodowane, że jakieś programy działały w tle-chociaż większość zbędnych w tym antywira pozamykałem).Co prawda zapisałem najnowszego loga pod inną nazwą i w rozszerzeniu .txt na pulipicie bo z tego co słyszałem, po odinstalowaniu program usuwał logi we własnym folderze, a teraz tamtego loga(oryginalnego log.txt) nie ma więc podejrzewam że Combofix się odinstalował.Usunąłem instalkę z pulpitu,poszukałem tego folderu z program(na szczęscie nigdzie nie znalazłem) tylko teraz mam wątpliwości czy on rzeczywiście się odinstalował czy nie.Przepraszam że tak napisane chaotycznie, ale inaczej nie mogłem.Dołączam log z punktu 1-szego i z Combofixa przy rzekomej deinstalacji. logZcombofixa.txt 04012012_132925 .txt Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Z punktem trzy mój błąd, przepraszam. Omyłkowo zaplątała mi się spacja, a tu nie ma być spacji między ukośnikiem a "uninstall" C:\Users\big\Desktop\ComboFix.exe /uninstall Pobierz ComboFix ponownie na Pulpit i ponów komendę. . Odnośnik do komentarza
mimal Opublikowano 8 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Kwietnia 2012 Przepraszam zaś że tak bardzo zwlekam z tematem, ale święta mnie troszeczkę przymuliły i nie miałem zbyt czasu na zajęcie się do końca sprawą Punkt 3 i 4 załatwiony.Po zeskanowaniu Malwarebytes Anti-Malware wykrył Trojana.Agenta w 5 folderach i rootkita(nazwy niestety nie pamiętam ale na pewno nie ZeroAcess) w 3 folderach oraz adware.agenta w 2 folderach.Poszło na kwarantanne i jedyne co miało problem się "uleczyć" to te adware.agent, ale po dłuższej kwarantannie padły(fotos nr.1-jak jeszcze poleżały[dodaję ponieważ niezbyt mi się podobają]) Tak z czystej ciekawości:Dlaczego należy usunąć te wszystkie programy?Z czystej kosmetyki, czy po prostu by były aktywne w tle? EDIT1: Generalnie wszystko zaczęło się w dniu kiedy uaktualniła się jakaś wtyczka z PDF-niestety wtedy na pecku był inny domownik który niestety pobrał linka.A adware.Agent odnosi się właśnie do folderu z PDF-em Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2012 Po zeskanowaniu Malwarebytes Anti-Malware wykrył Trojana.Agenta w 5 folderach i rootkita(nazwy niestety nie pamiętam ale na pewno nie ZeroAcess) w 3 folderach oraz adware.agenta w 2 folderach.Poszło na kwarantanne i jedyne co miało problem się "uleczyć" to te adware.agent, ale po dłuższej kwarantannie padły(fotos nr.1-jak jeszcze poleżały[dodaję ponieważ niezbyt mi się podobają]) Podałeś tylko obrazek, brak pełnego raportu tekstowego, nie mogę ocenić wyników nie podanych. A prezentowane tu wykrycia to nic szczególnego, detekcja aplikacji, które instalują adware. Obie te aplikacje stały na liście zainstalowanych i wystarczyło je po prostu odinstalować normalną drogą: ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-3544759238-4083025651-3038206428-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"FoxTab FLV Player" = FoxTab FLV Player"PDF Reader" = PDF Reader Tak z czystej ciekawości:Dlaczego należy usunąć te wszystkie programy?Z czystej kosmetyki, czy po prostu by były aktywne w tle? Programy te ekstraktują z siebie / tworzą na dysku dodatkowe elementy oraz kwarantanny, które należy po prostu usunąć. Deinstalacja ComboFix robi nieco więcej niż tylko usuwanie samego siebie, również czyści foldery Przywracania systemu. . Odnośnik do komentarza
mimal Opublikowano 13 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2012 Wklejam tego loga z tamtego skanowania.Mam tylko obawy że jest to log z szybkiego skanowania a nie z pełnego.Jeżeli to koniec to nie pozostaje mi nic innego jak Pani podziękować za kawał naprawdę dobrej roboty i profesjonalne odpowiedzi bo niestety na wielu polskich forach tego brakuje protection-log-2012-04-01.txt Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2012 To nie jest log ze skanowania właściwego MBAM tylko raport z osłony rezydentnej "IP protection". Ale zostawmy już to. Jeżeli to koniec to nie pozostaje mi nic innego jak Pani podziękować Tak, to koniec. Tylko drobna uwaga: nie wiem na ile jest teraz aktualny OTL Extras ze spisem zainstalowanych programów. Porównaj sobie co wymaga aktualizacji: KLIK. Temat jako rozwiązany zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi