karamba26 Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Witam. Windows XP Sp3 - 32 bit Przestał działać mi internet Play Online. Błąd 720 podczas połączenia. Jakieś dziwne problemy z protokołem TCP\IP. Następnie problemy z myszka i klawiaturą. Pod systemem XP nie chciały działać. Gdy podłączyłem je do innego komputera tego problemu nie było. Ściągnąłem program Combofix i gdy go uruchomiłem dostałem informacje ze mam rootkita zeroaccess. Combofix nie zakończył poprawnie swojej pracy. Podczas usuwania plików resetuje się. Nie generuje LOGU. Załączam log z OTL: http://wklej.org/id/716940/ AntiZeroAccess" http://wklej.org/id/716945/ http://wklej.org/id/716946/ Miałem zainstalowanego AVASTA. Usunąłem go. Chciałem zainstalować ESET Nod32 ale nie mogę tego zrobić. Instalator cofa się pod koniec instalacji. Nie mogę teraz nawet avasta zainstalować. Mysz i klawiatura zaczęły działać ale internet nie. Ciągle jest błąd 720. Na innej partycji mam Windowsa 7 i tam wszystko dziala bez problemów Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Zestaw logów wymaganych ogłoszeniem inny: KLIK. Log z HijackThis nie jest tu tolerowany i go usuwam, narzędzie przestarzałe i wymarłe, nie nadaje się do analiz z prawdziwego zdarzenia. Log z OTL niepełny, nie ma Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Nie ma obowiązkowego raportu pod kątem rootkitów, czyli GMER. Czyli czekam na uzupełnienie: OTL Extras + GMER + Farbar Service Scanner (wszystkie opcje zaznaczone). . Odnośnik do komentarza
karamba26 Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Program GMER zaraz po uruchomieniu i pokazaniu sie okna programu następuje resetu komputer. To samo jest w trybie awaryjnym. Tak dzieje się po zainfekowanym WINDOWSEM XP. Zaraz zrobię skan GMER-em pod Windowsem 7 i wstawię log. To samo zrobię z OTL czyli dam poprawny log log z GMER uruchomionego pod Windows 7 Ultimate , wybrane skanowanie dysku D z instalacja Windowsa XP - http://wklej.org/id/717260/ Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Nie podałeś raportu z Farbar Service Scanner, raport musi powstać spod XP. Program GMER zaraz po uruchomieniu i pokazaniu sie okna programu następuje resetu komputer. To samo jest w trybie awaryjnym. Spróbuj po kolei odznaczać sekcje skanowania po prawej, aż trafisz na tę, która generuje problem. Zaraz zrobię skan GMER-em pod Windowsem 7 i wstawię log. To samo zrobię z OTL czyli dam poprawny log Nie rób logów spod systemu nie objętego usterką, bo to nie ma sensu. Przecież systemy są separowane, logi przedstawią tylko i wyłącznie wygląd bieżącego zalogowanego systemu. Logi muszą być spod systemu, na którym są defekty. log z GMER uruchomionego pod Windows 7 Ultimate , wybrane skanowanie dysku D z instalacja Windowsa XP Jak mówię, te dane są do luftu. Skanowanie dysku z Windows XP w tej sytuacji to jest skan "offline" i to bardzo ograniczony, czyli martwy odczyt zaledwie skrawka plików na dysku a nie czynności przechwytujących i uruchomionych modułów, które są istotą infekcji ZeroAccess. . Odnośnik do komentarza
karamba26 Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 log EXTRAS - http://wklej.org/id/717266/ log OTL - http://wklej.org/id/717267/ Jeśli chodzi o program GMER to nie jestem w stanie odhaczyć żadnej sekcji - zaraz po ukazaniu się okna programu następuje reset. Jak zauważyłem pod WIN7 Program sam dokonuje skanu zaraz po uruchomieniu. Więc log z programu GMER chyba raczej odpada. Zaraz wstawię log z FSS tylko muszę się znowu przełączyć na system XP i zrobić skan Przepraszam ze to tak długo trwa. log z FSS - http://wklej.org/id/717274/ Uruchamiam program - ROOTREPEAL © AD, 2007-2009 Mam okno z błędem - error invalid image PE found ! Naciskam OK i przechodze do skanowania wedlug polecen z forum. Raport skanu - http://wklej.org/id/717286/ Teraz ma nastepny blad w programie o tresci - Error ondisk corruption detected run chkdsk! Sprawdzałem juz ten dysk kilka razy windowsowym scandiskem. . Odnośnik do komentarza
picasso Opublikowano 26 Marca 2012 Zgłoś Udostępnij Opublikowano 26 Marca 2012 Jeśli chodzi o program GMER to nie jestem w stanie odhaczyć żadnej sekcji - zaraz po ukazaniu się okna programu następuje reset. Jak zauważyłem pod WIN7 Program sam dokonuje skanu zaraz po uruchomieniu. Więc log z programu GMER chyba raczej odpada. System musi być sprawdzony pod kątem infekcji rootkit. OTL się nie nadaje do takiej diagnostyki. A RootRepeal niestety nieco starawy, choć z niego mam przynajmniej informację o łączu symbolicznym rootkita (widoczne w logu). Na razie skan rootkit jednak zostawiam. OK, prawie komplet logów mam. Są resztkówki po ZeroAccess (ale nadal brak solidnego odczytu z rootkit detekcji). Internetu zaś nie ma, ponieważ zostały pokiereszowane usługi Windows, niezbędne do działania sieci. Czyli całkowicie skasowany z rejestru klucz usługi NetBIOS: NetBt Service is not running. Checking service configuration:Checking Start type: Attention! Unable to open NetBt registry key. The service key does not exist.Checking ImagePath: Attention! Unable to open NetBt registry key. The service key does not exist. ... oraz brak plików usług IPSec i MRxSmb: DRV - File not found [File_System | System | Stopped] -- system32\DRIVERS\mrxsmb.sys -- (MRxSmb)DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\ipsec.sys -- (IPSec) Przy okazji ... właśnie znalazłam na innym forum wątek co robiłeś wcześniej. Tam podano zły skrypt, który ... pogorszyłby stan. Na szczęście się nie wykonał. Te dwie linie zadano do usuwania, a tego nie wolno zrobić, to są kluczowe usługi sieciowe i tu wręcz przeciwnie = one muszą być reperowane a nie usuwane. Dodatkowo, te puste usługi typu Changer / i2omgmt etc. to są domyślne braki XP i tego też się nie rusza. 1. Uruchom GrantPerms, w oknie wklej: C:\WINDOWS\$NtUninstallKB54542$ Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB54542$ /C C:\Documents and Settings\Monika\Ustawienia lokalne\Dane aplikacji\ce0ee4ff C:\WINDOWS\System32\dds_log_ad13.cmd C:\WINDOWS\System32\shimg.dll :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\db2licd.dll -- (pinetmgr) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (44263797) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monika\USTAWI~1\Temp\1c4dbc270.tmp -- (SirefefRemover) DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\Monika\USTAWI~1\Temp\HBCD\SuperAntiSpyware\SASKUTIL.SYS -- (SASKUTIL) DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\Monika\USTAWI~1\Temp\HBCD\SuperAntiSpyware\SASDIFSV.SYS -- (SASDIFSV) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\PxHelp20.sys -- (PxHelp20) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\BrScnUsb.sys -- (BrScnUsb) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\mdhcp32: DllName - (mdhcp32.dll) - File not found Klik w Wykonaj skrypt. Z tego działania powstanie log. 3. Posprzątaj resztki antywirusów posługując się narzędziami Avast Uninstall Utility + ESET Uninstaller zastosowanymi z poziomu Trybu awaryjnego Windows. 4. Paczka plików mrxsmb.sys + ipsec.sys zgodnych z XP SP3: KLIK. Pliki wstaw do C:\Windows\system32\drivers. 5. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT] "Type"=dword:00000001 "Start"=dword:00000001 "ErrorControl"=dword:00000001 "Tag"=dword:00000006 "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6e,00,65,00,74,00,62,00,74,00,2e,\ 00,73,00,79,00,73,00,00,00 "DisplayName"="NetBios przez TCP/IP" "Group"="PNP_TDI" "DependOnService"=hex(7):54,00,63,00,70,00,69,00,70,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "Description"="NetBios przez TCP/IP" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Linkage] "OtherDependencies"=hex(7):54,00,63,00,70,00,69,00,70,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] "NbProvider"="_tcp" "NameServerPort"=dword:00000089 "CacheTimeout"=dword:000927c0 "BcastNameQueryCount"=dword:00000003 "BcastQueryTimeout"=dword:000002ee "NameSrvQueryCount"=dword:00000003 "NameSrvQueryTimeout"=dword:000005dc "Size/Small/Medium/Large"=dword:00000001 "SessionKeepAlive"=dword:0036ee80 "TransportBindName"="\\Device\\" "EnableLMHOSTS"=dword:00000001 "DhcpNodeType"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Security] "Security"=hex:01,00,14,80,e8,00,00,00,f4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,b8,00,08,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,25,02,\ 00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,14,\ 00,40,00,00,00,01,01,00,00,00,00,00,05,13,00,00,00,00,00,14,00,40,00,00,00,\ 01,01,00,00,00,00,00,05,14,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,\ 00,00,05,20,00,00,00,2c,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Enum] "0"="Root\\LEGACY_NETBT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik > zresetuj system 6. Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych urządzeń. Sprawdź czy są urządzenia z wykrzyknikami bądź pytajnikami. Jeśli takie znajdziesz, podświetl i odinstaluj. Również, odinstaluj wszystkie karty / interfejsy sieciowe (będą przebudowywane przy restarcie). Zresetuj system dla zatwierdzenia. 7. Wykonaj nowy skan dostosowany OTL, tzn. w sekcji Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB54542$;true;true;false /FP HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt Klik w Skanuj (a nie Wykonaj skrypt). Dołącz też log z wynikami usuwania pozyskany w punkcie 2. . Odnośnik do komentarza
karamba26 Opublikowano 26 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2012 log OTL z punktu 2 - http://wklej.org/id/717981/ Log OTL - http://wklej.org/id/717982/ Log EXTRAS - http://wklej.org/id/717983/ Odnośnik do komentarza
picasso Opublikowano 27 Marca 2012 Zgłoś Udostępnij Opublikowano 27 Marca 2012 Co do przeprowadzonych działań, wykonane, ale są jeszcze drobne poprawki na widoku. Po odtworzeniu usługi NetBIOS okazuje się, że brak również pliku: DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\netbt.sys -- (NetBT) Poza tym, nie zauważyłam tego wcześniej, w Dzienniku zdarzeń jest i adnotacja o braku usługi sieciowej Afd (i nie jestem pewna czy to nadal ma miejsce): Error - 2012-03-20 18:30:14 | Computer Name = PPP-1C95E736E3E | Source = Service Control Manager | ID = 7003Description = Usługa Rozpoznawanie lokalizacji w sieci (NLA) zależy od następującej nieistniejącej usługi: Afd. 1. Dosyłam brakujący plik XP: KLIK. Rozpakuj i wstaw do katalogu C:\Windows\system32\drivers. 2. Zrób i zaimportuj nowy FIX.REG o zawartości: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD] "DisplayName"="AFD" "Description"="Środowisko obsługi sieci AFD" "Group"="TDI" "ImagePath"="\\SystemRoot\\System32\\drivers\\afd.sys" "Start"=dword:00000001 "Type"=dword:00000001 "ErrorControl"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum] "0"="Root\\LEGACY_AFD\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL NetSvcs: pinetmgr - File not found [2009-07-26 16:54:04 | 000,000,000 | -HSD | M] -- C:\WINDOWS\$NtUninstallKB54542$ FF - prefs.js..extensions.enabledItems: wrc@avast.com:20110101 [2012-03-25 01:32:45 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software [2012-03-25 01:44:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software :Commands [reboot] Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Przedstaw log z wynikami przetwarzania skryptu (tyle wystarczy) i wypowiedz się wyraźnie co działa / nie działa, czy nastąpiła jakaś poprawa z siecią. . Odnośnik do komentarza
karamba26 Opublikowano 27 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2012 http://wklej.org/id/718060/ http://wklej.org/id/718062/ http://wklej.org/id/718063/ Start - Panel Sterowania - Połączenia sieciowe - Telefoniczne - prawy klik i daje połącz (numer *99# - wpisany automatycznie) Wyskakuje error box błąd podczas łączenia Play tcp\ip CP zglosil błąd 2: nie mozna odnalezc okreslonego pliku Gdy wybiorę z pulpitu skrót 'play online' i dam połącz Trwa uwierzytelnianie i tak jak wcześniej błąd: 720 ESET Nod32 dał się już zainstalować. GMER dalej nie działa - podczas prescanu resetuje komputer. W trybie awaryjnym systemu WINDOWS prescan przechodzi pomyślnie (brak wynikow w menu programu) ale już po kliknięciu SCAN dochodzi do momentu sprawdza lsass (mam nadzieje ze dobrze zauważyłem) i zatrzymuje się na dłuższą chwile i RESET Odnośnik do komentarza
picasso Opublikowano 27 Marca 2012 Zgłoś Udostępnij Opublikowano 27 Marca 2012 Jest problem z usunięciem resztówkowego folderu ZeroAccess (Folder move failed. C:\WINDOWS\$NtUninstallKB54542$ scheduled to be moved on reboot.). Powtórz akcję: 1. Do GrantPerms wklej co poniżej i klik w Unlock. C:\WINDOWS\$NtUninstallKB54542$ 2. Upewnij się, że masz wszystkie opcje widokowe aktywowane (Mój komputer > Narzędzia > Opcje folderów > Widok > zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego), przez SHIFT+DEL spróbuj skasować folder C:\WINDOWS\$NtUninstallKB54542$. W trybie awaryjnym systemu WINDOWS prescan przechodzi pomyślnie (brak wynikow w menu programu) ale już po kliknięciu SCAN dochodzi do momentu sprawdza lsass (mam nadzieje ze dobrze zauważyłem) i zatrzymuje się na dłuższą chwile i RESET Spróbuj odznaczyć sekcję "Procesy". Jeśli to nie przyniesie skutku, to po kolei próbuj z odznaczaniem pozostałych. ESET Nod32 dał się już zainstalować. Wykonaj nim gruntowny skan systemu. Ewentualne wykrycia zaprezentuj do oceny. błąd podczas łączenia Playtcp\ip CP zglosil błąd 2: nie mozna odnalezc okreslonego pliku Wykonaj ręczną reinstalację stosu TCP/IP, jest to metoda inwazyjna: KLIK. . Odnośnik do komentarza
karamba26 Opublikowano 27 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2012 Zastosowałem sie do Twoich poleceń i INTERNET juz działa. Własnie piszę tego posta spod systemu WIndows XP który wczesniej szfankował. ESET nie wykrył zadnych zagrożeń. Skanowanie dokonałem po zaktualizowaniu bazy wirusów. Mam wykonac jeszcze jakieś skany albo sprawdzenia mojego systemu i zamieścić do sprawdzenia ?? Odnośnik do komentarza
picasso Opublikowano 27 Marca 2012 Zgłoś Udostępnij Opublikowano 27 Marca 2012 Skoro podstawowa wada naprawiona, to możemy przejść do finalizacji tematu: 1. Odinstaluj w prawidłowy sposób ComboFix, co także wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej: "C:\Documents and Settings\Monika\Pulpit\ComboFix.exe" /uninstall Gdy deinstalacja się ukończy, w OTL zastosuj Sprzątanie, które usunie OTL wraz z kwarantanną. 2. Na wszelki wypadek wykonaj jeszcze skanowanie za pomocą Malwarebytes Anti-Malware (w ostatnim logu OTL widziałam narzędzie, czy jest w pełni zainstalowane?). Jeżeli coś wykryje, przedstaw raport. . Odnośnik do komentarza
karamba26 Opublikowano 28 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2012 http://wklej.org/id/719567/ Log z Malwarebytes Anti-Malware Podczas usuwania Combofixa wyskoczył BŁĄD zwiazany z nod32 (ze antywirus blokuje deinstalacje) ale chyba combofix odinstalował się bo juz go na pulpicie nie ma. Odnośnik do komentarza
picasso Opublikowano 28 Marca 2012 Zgłoś Udostępnij Opublikowano 28 Marca 2012 Te trzy ostatnie to wyniki ZeroAccess i oczywiście do usunięcia. Nie wiem co to jest tc11.exe (Total Copy?) oraz tajemniczy "rootkitt win98". Odnośnik do komentarza
karamba26 Opublikowano 29 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Marca 2012 Tak ten plik tc11.exe to Total Copy. Usunięty już z Dysku. Mam na pulpicie folder 'rootkitt win98' a w nim wszystko co związane z naprawa Windowsa odnośnie rootkita ZeroAccess. Są tam combofix, otl i cala reszta programów które były przydatne podczas reanimacji systemu. Tylko skąd wziął się ten tajemniczy plik exe o nazwie 'rootkitt win98' to już nie mam pojęcia. Dlaczego Skan Nodem 32 nie wykrył tych zagrożeń. Dopiero Malwarebytes Anti-Malware znalazło coś na dysku ? Jakiego antywirusa i inne oprogramowanie zabezpieczające zastosować teraz aby mieć odpowiednia ochronę systemu i aby już taka sytuacja nie powtórzyła się? Odnośnik do komentarza
picasso Opublikowano 29 Marca 2012 Zgłoś Udostępnij Opublikowano 29 Marca 2012 Na koniec wykonaj jeszcze aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych widać m.in.: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)"Opera 11.60.1185" = Opera 11.60 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1757981266-926492609-839522115-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome PS. Spoza tematu, Nowe GG = może Cię zainteresuje wymiana alternatywą. W artykule Darmowe komunikatory popatrz na opisy WTW, Kadu, Miranda, AQQ. Tylko skąd wziął się ten tajemniczy plik exe o nazwie 'rootkitt win98' to już nie mam pojęcia. Skoro nie masz pojęcia co to, usuwaj. Dlaczego Skan Nodem 32 nie wykrył tych zagrożeń. Dopiero Malwarebytes Anti-Malware znalazło coś na dysku ? Nieco inne specjalizacje narzędzi. Inne skanery kojarzone z charakterem "antywirusowym" (np. Kaspersky Virus Removal Tool) też nie wykrywają tych plików w Tmp od ZeroAccess. Te pliki zresztą nie stanowią już zagrożenia po usunięciu głównego silnika infekcji. Jakiego antywirusa i inne oprogramowanie zabezpieczające zastosować teraz aby mieć odpowiednia ochronę systemu i aby już taka sytuacja nie powtórzyła się? Ten Twój ESET - co to za wersja, najnowsza? Nie ma oczywistej odpowiedzi. Jest to składowa wielu czynników (aktualizacje systemu i aplikacji, odwiedzane miejsca w sieci, zainstalowane oprogramowanie zabezpieczające), a dla pomyślunku użytkownika nie ma ekwiwalentu w oprogramowaniu. Patrząc pod kątem funkcji antywirus powinien mieć conajmniej osłonę Web i system blokowania szkodliwych URL przed ich otwarciem, dobrze by było gdyby znajdował się i mechanizm HIPS / blokowanie behawioralne. Co do doboru marki ... Jak wynika z historii na forum, infekcji zostały poddane systemy z bardzo różnymi antywirusami / pakietami Internet Security, tak darmowymi jak i komercyjnymi. A po zagnieżdżeniu się infekcji antywirus jest już bezradny. Możesz dołożyć "atypowe" metody: - Do surfowania możesz używać jakieś piaskownicy np. SandBoxie (program przez 30-dni w stanie próbnym, po tym czasie nadal działać będzie, ale z "przypominaczami"). - Albo też korzystać z wirtualizacji systemu (system ładowany do RAM i przy restarcie zmiany są wycofywane) zrealizowanej w Returnil System Safe Free (program ma wersję darmową). . Odnośnik do komentarza
karamba26 Opublikowano 2 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Dziekuje za pomoc. Komputer działa bez zastrzezeń. Temat mozna zamknąć. Zainstalowalem ESET NOD 32 ver 5 z najnowsza baza wirusow i Malwarebytes Anti-Malware z ochrona w czasie rzeczywistym. Mam nadzieje ze nic groznego nie zalapie. Jeszcze raz serdeczne podziekowania. Forum Fixitpc.pl bede polecal kazdemu kto ma problemy z wirusami. Odnośnik do komentarza
Rekomendowane odpowiedzi