Problem z wirusami #2

[Manierisme]

ComboFix (dalej wyczulony na ZeroAcces, Rootkit): Dostępne tylko dla zarejestrowanych użytkowników
Wykonanie skryptu: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

* Wyniki ostatniego skanowania przez ESET: Dostępne tylko dla zarejestrowanych użytkowników ^^ (Pliki z kwarantanny usunęłam)

[cieniutki]

Pobierz GrantPerms ponownie (to konieczne gdyż poprzednia kopia mogła zostać zainfekowana lub uszkodzona, należy ją usunąć) Dostępne tylko dla zarejestrowanych użytkowników Najpierw wypakuj, następnie uruchom. Wklej do niego

c:\windows\$NtUninstallKB57984$

Klikasz Unlock

Jak program zakończy pracę załaduj do OTL który również pobierz na nowo Dostępne tylko dla zarejestrowanych użytkowników taki skrypt
W okno Własne opcje skanowania / skrypt w OTL wklej:

:Files
fsutil reparsepoint delete c:\windows\$NtUninstallKB57984$ /C
c:\windows\$NtUninstallKB57984$
netsh winsock reset /C

:Commands
[emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Po tym ponownie uruchom OTL klikasz raz jeszcze Skanuj i dajesz nowy log ze skanowania po usuwaniu na forum.

[Manierisme]

Moja kolejność (możliwe, że nie taka jak powinna być)
GrantPerms- ok
OTL usunęłam samą ikonę, wykonałam skrypt (efekty: Dostępne tylko dla zarejestrowanych użytkowników), po czym wyniki chciały się zapisać w folderze _OTL, którego wcześniej nie znalazłam... Zapisałam wyniki gdzie indziej, usunęłam folder _OTL z wyjątkiem jednego pliku, którego nie dało się stamtąd usunąć.

Czy w takim razie mogę przejść dalej do skanowania w OTL?

[kominekl]

Zróbmy to po kolei.

Czy w C:\Windows znajduje się folder -> $NtUninstallKB57984$? Jeśli tak to ponownie użyj GrantPerms, pobranego ponownie stąd -> Dostępne tylko dla zarejestrowanych użytkowników -> wklej do Niego to, co poprzednio i ręcznie usuń ten folder z dysku. Ponadto czy samodzielnie ustawiałaś proxy?

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (4sharedExt) - {95525BD9-6136-4A26-8263-9CEE295D442D} - C:\Program Files\4shared Toolbar\4sharedExt.dll File not found

:Files
c:\windows\system32\dds_log_trash.cmd
C:\Users\Lidia\AppData\Local\Temp
C:\Windows\TEMP
C:\$RECYCLE.BIN
netsh winsock reset /C
netsh firewall reset /C
fsutil reparsepoint delete C:\Windows\$NtUninstallKB57984$ /C
C:\Windows\$NtUninstallKB57984$

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Manierisme]

Zwykła wyszukiwarka komputerowa znalazła $NtUninstallKB57984$, ale w momencie kiedy chciałam wejść i sprawdzić lokalizację: "Odmowa dostępu". W samym C:\Windows nie ma, zapewne ukrywa się w jakiś podfolderach. A tych jest bardzo dużo.

Z tego co zerknęłam to "proxy" to jakieś pośrednictwo. Internet Explorer "Narzędzia" => "Opcje internetowe..." => zakładka "Połączenia" => "Ustawienia sieci LAN..." => "Użyj serwera proxy dla sieci LAN"-
Nie robiłam tego. Może wpasuję się w temat: od chwili kiedy mi zablokowało antywirusa, po wybieraniu wielu stron z wyszukiwarki jest przekierowanie na jakiś syf (Dostępne tylko dla zarejestrowanych użytkowników) i nie mogę zobaczyć interesującej mnie treści. Żeby wejść na to forum wpisałam adres głównej strony i tak wyszperałam odpowiednie działy i tematy...

[kominekl]

Ponownie użyj GrantPerms, pobranego ponownie stąd -> Dostępne tylko dla zarejestrowanych użytkowników -> wklej do Niego to, co poprzednio -> Unlock i w trybie awaryjnym ręcznie usuń ten folder z dysku (spróbuj). Jeśli się nie uda to przejdź dalej. Przy następnej instrukcji spróbujemy innego sposobu.

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-4191195376-3407722352-3102381388-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:58828
O2 - BHO: (4sharedExt) - {95525BD9-6136-4A26-8263-9CEE295D442D} - C:\Program Files\4shared Toolbar\4sharedExt.dll File not found

:Files
c:\windows\system32\dds_log_trash.cmd
C:\Users\Lidia\AppData\Local\Temp
C:\Windows\TEMP
C:\$RECYCLE.BIN
netsh winsock reset /C
netsh firewall reset /C
fsutil reparsepoint delete C:\Windows\$NtUninstallKB57984$ /C
C:\Windows\$NtUninstallKB57984$

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Manierisme]

W C:\Windows $NtUninstallKB57984$ jest niewidoczny. Wykasowałam z niego to, co się dało. Niektórych plików nie można usunąć, bo są rzekomo otwarte w innym programie.
Skrypt: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Dobra @kominekl. Nie popisałeś się a w takim razie TEMAT PRZEJMUJĘ - jeżeli coś napiszesz to warn leci. Żeby nie było, że nie ostrzegałem.

Zaczniemy od:

C:\Windows\System32\drivers\tdx.sys Win32/Sirefef.DA ko? troja?ski nie mo?na wyleczy?

Główny winowajca który odradza infekcję i nie umożliwia usunięcie folderu $NtUninstallKB57984$ + strumień podpięty pod $NtUninstallKB57984$.

c:\windows\$NtUninstallKB57984$:SummaryInformation 0 bytes hidden from API

Usuwanie:

1. Daj log z Dostępne tylko dla zarejestrowanych użytkowników. Jeżeli coś wykryje to wykonaj czyszczenie, wszystko masz objaśnione.

2. Pokaż log z Dostępne tylko dla zarejestrowanych użytkowników. Jeżeli coś wykryje to nie podejmuj żadnej akcji a wklej jedynie raport końcowy skanowania.

3. Tworzysz i pokazujesz log z ComboFixa.

[kominekl]

djarta

Upsss. Rzeczywiście to przeoczyłem. Gdzieś mi musiało umknąć. Dziękuję za zwrócenie uwagi . Tematu nie daje na przejęcie. Poradzę sobie z jego kontynuacją Panie Moderatorze. Przeoczenia się zdarzają. W takim przypadku czujny wzrok innych "specjalistów" się przydaje.

Manierisme

Wykonaj polecenia moderatora.