Problem z uruchomieniem po usunięciu avg wirusów

[pakierhakierxd]

Witam mam problem z uruchomieniem systemu skanowałem avg system i znalazł 2 szkodniki consrv.dll i symdns.dll usunął to podobno i teraz system się restartuje ale tryb awaryjny działa co zrobić aby normalnie działało ?,dzięki za pomoc
Ps. program avg przeniósł te wirusy do kwarantanny.

-- Dodane 30.04.2012 (Pn) 1:38 --

Poradziłem sobie uzyłem combofixa + przywracania systemu i działa ale nadal mam problem bo jak skanuje avg znowu to nadal wykrywa i chce to usunąć ale jak usunie znowu będzie problem z uruchomieniem, co zrobić, pobrać może otl i zrobic loga?

-- Dodane 30.04.2012 (Pn) 7:02 --

To wykrywa avg
Dostępne tylko dla zarejestrowanych użytkowników

-- Dodane 30.04.2012 (Pn) 7:09 --

Log z combofix po przywróceniu działania
Dostępne tylko dla zarejestrowanych użytkowników

-- Dodane 30.04.2012 (Pn) 7:11 --

Log z otl zrobiony teraz
Dostępne tylko dla zarejestrowanych użytkowników

-- Dodane 30.04.2012 (Pn) 7:12 --

Pomóżcie

-- 30 kwi 2012, 08:51 --

Chyba jednak udało mi się usunąć jak narazie skanuje avg i nic nie wykrywa
próbowałem tym msert+avg_rem_zeroaccess_all_1_784

[kominekl]

Chyba jednak udało mi się usunąć jak narazie skanuje avg i nic nie wykrywa

Nie daj się zwieść to nic nie znaczy .

próbowałem tym msert+avg_rem_zeroaccess_all_1_784

Jeden ze skuteczniejszych tego typu programów.

Hosting tekstowy.

Byłbym zobowiązany gdybyś podawał logi na -> Dostępne tylko dla zarejestrowanych użytkowników .

Witam mam problem z uruchomieniem systemu skanowałem avg system i znalazł 2 szkodniki consrv.dll i symdns.dll usunął to podobno i teraz system się restartuje ale tryb awaryjny działa co zrobić aby normalnie działało ?,dzięki za pomoc

To podstawowe objawy rootkit`a ZeroAcces.

Poradziłem sobie uzyłem combofixa + przywracania systemu i działa ale nadal mam problem bo jak skanuje avg znowu to nadal wykrywa i chce to usunąć ale jak usunie znowu będzie problem z uruchomieniem, co zrobić, pobrać może otl i zrobic loga?

Combofix, jak najbardziej. Jednak bez sensu użyto przywracania systemu, gdyż to, co usunął Combofix zostało przywrócone.

Zbędne wpisy w autostarcie.

Mnóstwo zbędnych wpisów jest tu widocznych. Część dobrze widać w Combofix`ie, więc to usunę. Resztę usunę inaczej, ale o tym później.

Combofix.

Niezbyt się tu popisał, ale nie ma tragedii. Nic poważnego nie usunął niepotrzebnie, wiec nie będziemy przywracać.

Zbędne oprogramowanie.

Nie mogę się ustosunkować, gdyż brak logu Extras.txt, czyli jednego z logów OTL`a. Przy następnym podawaniu logów podaj i ten (przyślę link).

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searcerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{E95BA3E8-9520-4C76-AEC4-2494B7ABDDFD}&mid=bf290290bd1c47d0ad96a5662e53704e-9a6e1432d021f5591b0d30d79fa151c94a17d634&lang=pl&ds=AVG&pr=fr&d=2012-04-20 18:30:40&v=10.0.0.7&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{ED687E40-3BDA-4EC0-9266-EA5B2212B8A2}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_233.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O8:64bit: - Extra context menu item: Download all by FlashGet3 - C:\Users\Daniel\AppData\Roaming\FlashGetBHO\GetAllUrl.htm ()
O8:64bit: - Extra context menu item: Download by FlashGet3 - C:\Users\Daniel\AppData\Roaming\FlashGetBHO\GetUrl.htm ()
O8:64bit: - Extra context menu item: 使用快车3下载 - C:\Users\Daniel\AppData\Roaming\FlashGetBHO\GetUrl.htm ()
O8:64bit: - Extra context menu item: 使用快车3下载全部链接 - C:\Users\Daniel\AppData\Roaming\FlashGetBHO\GetAllUrl.htm ()
O8 - Extra context menu item: Download all by FlashGet3 - C:\Users\Daniel\AppData\Roaming\FlashGetBHO\GetAllUrl.htm ()
O8 - Extra context menu item: Download by FlashGet3 - C:\Users\Daniel\AppData\Roaming\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: 使用快车3下载 - C:\Users\Daniel\AppData\Roaming\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: 使用快车3下载全部链接 - C:\Users\Daniel\AppData\Roaming\FlashGetBHO\GetAllUrl.htm ()
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_20)
@Alternate Data Stream - 172 bytes -> C:\ProgramData\TEMP:CAEDBDA6

:Files
C:\Windows\SysWow64\symdns.dll.old
C:\Windows\temp
$RECYCLE.BIN /alldrives
C:\Windows\ERDNT
C:\Qoobox
C:\Users\Daniel\AppData\Roaming\EurekaLog
C:\ProgramData\TEMP
C:\$AVG
C:\Windows\SysWow64\consrv.dll
C:\Windows\SysWow64\tfsncofs.dll
C:\Windows\SysWow64\symdns.dll
C:\Windows\SysWow64\clmtomcatstartersvc.dll
C:\Windows\SysWow64\consrv.dll.old
C:\Windows\tasks\*.job
c:\users\Default\AppData\Local\temp

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ATKOSD2"=-
"ATKMEDIA"=-
"HControlUser"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVBg"=-
"AmIcoSinglun64"=-
"AtherosBtStack"=-
"AthBtTray"=-
"IgfxTray"=-
"Persistence"=-
"combofix"=-

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowy log z Combofix`a -> http://www.hotfix.pl/articles.php?article_id=41 + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + logi OTL -> http://hotfix.pl/articles.php?article_id=143 + log z Autoruns -> http://www.hotfix.pl/articles.php?article_id=128.