Wykryte zagrożenie win32/rootkit.agent.nus

**Posty:** 13 · przez **Daman** 22 Lut 2012, 19:44

Witam

,
bardzo proszę o pomoc. Mam u siebie na komputerze zainstalowany pakiet ochronny Eset Smart 5 i wczoraj wykrył mi masę wirusów w tym
jeden, którego nie może usunąć: Win32/Rootkit.Agent.NUS. Przy tym wirusie bardzo często występuje inne(Win32/Sirefef.EF i Win32/Redirector.A),
z którymi antywirus sobie radzi.
Win32/Rootkit.Agent.NUS jest wykrywany w pamięci operacyjnej i podane jest jeszcze service(772).exe, ale numer w nawiasie się
zmienia po każdym ponownym restarcie. Komputer ma system Windows XP Professional SP2(32 bit). Na osobnej partycji mam jeszcze
zainstalowaną Fedorę 10.
Takim zauważalnym mankamentem w działaniu jest to, że przy przeglądaniu Internetu i korzystaniu z Googla jestem przekierowywany
pod adres abnow.com, a tam uruchamia się jakiś aplet Java i ściągnął mi jakiś kolejny syf - pokazała się ikona na pulpicie z podpisem
Internet Security. Jeśli wpiszę adres strony bezpośrednio to wszystko działa. Ale ogólnie system zauważalnie zwolnił.
Miałem w systemie dwa emulatory: PowerISO i Daemon Tools. Odinstalowałem oba. Plik sptd.sys usunąłem polecanym
programem.
Przed chwilą robiłem skana antywirusem i wykryło mi kolejnego trojana:Win32/Clemag.NAL. Też go nie może usunąć, wykryty w pamięci
operacyjnej i jest podana ścieżka C:\Documents and Settings\Damiano\Dane aplikacji\dplayx.dll.
Co do kolejnych objawów to mam zainstalowanego Apache'a 2.2 i miałem go ustawionego na uruchomienie przy starcie systemu. A od wykrycia
wirusów po starcie systemu jest wyłączony i nie można go uruchomić.
I na koniec jeszcze wspomnę, że ta ikonka Internet Security zniknęła po skanie GMER-em, albo wcześniej nie jestem pewien.
Jeszcze raz bardzo proszę o pomoc. Nie chcę robić formata, sciana

bo za dużo cennych plików jest do stracenia. Obecną kopię systemu mam już około
4 lata. Jedną infekcją udało jej się przetrwać to może i tym razem się uda. Wcześniej była zarażona Confickerem. I po leczeniu przy pomocy
forum wytrzymała bez problemów 3 lata.
Proszę o odzew i z góry dziękuję.

**Posty:** 18165 · przez **wojtas** 22 Lut 2012, 19:46

Daj loga z Combofixa i na koniec daj nowy log z OTL

**Posty:** 13 · przez **Daman** 22 Lut 2012, 21:18

No coś się ruszyło.

Combofix wykrył rootkity - jeden z nich się chyba nazywał ZeroAccess!, drugi nie pamiętam.
Apache się odblokował. I póki co skaner czasu rzeczywistego nic nie wykrył. Także jakiś postęp.
Niżej daje logi:

**Posty:** 18165 · przez **wojtas** 23 Lut 2012, 19:39

wykonaj skan: Kaspersky TDSSKiller, (zaznacz wszystkie opcje do skanowania ),jeśli coś znajdzie dajesz Skip.

Wklejasz do notatnika:

Kod: Zaznacz wszystko: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "netsvcs"=- "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\ 73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\ 00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\ 6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\ 00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\ 57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik.

Uruchom narzędzie GrantPerms, w oknie wklej :

c:\windows\$NtUninstallKB35270$

i kliknij Unlock

Otworz notatnik i wklej w nim to:

Folder::
c:\windows\$NtUninstallKB35270$

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Rozpocznie się usuwanie i powstanie log daj go. i ten raport z Kaspra

**Posty:** 13 · przez **Daman** 23 Lut 2012, 23:25

No i kicha wojtas odcięło mi dostęp do neta.

Zrobiłem tak jak napisałeś:

Wszystko ładnie wchodziło oprócz ComboFixa, bo po wykonaniu tego co miał tam wykonać, system po ponownym uruchomieniu
najpierw przez dłuższą chwilę pokazywał tylko samo tło pulpitu bez paska i ikon, i dopiero po minucie załadowały się te ikony i pasek.
A potem chcąc wrzucić logi na forum okazało się, że przeglądarka się nie łączy. Taki stan zastałem i na Firefoxie, i na Operze.
Teraz pisze z innego kompa.
Tak się zastanawiam czy może coś źle zrobiłem, bo przed wrzuceniem skryptu do Combofixa nie wyłączyłem Spybota i antywira
z firewallem. Combofix wyrzucił mi takie info, że wykrywa antywira i potwierdziłem, żeby wyłączyć, a później się pojawiło
okno dialogowe z napisem "Błąd" i buttonem OK. No a potem już poszło normalnie. W trakcie skanowania wykrył jeszcze Rootkit.ZeroAccess!. Log się utworzył.
Przeglądając ten log coś zwróciło moją uwagę w sekcji "Skan uzupełniający" jest dziwna linia:

FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/

A powinno być chyba "http"??

A jeszcze przed zastosowaniem się do Twoich wskazówek zrobiłem skana całego komputera antywirem Eseta i wykryło
mi 7 wirusów wszystkie w pamięci operacyjnej i wszystkie zostały wyleczone przez usunięcie. Niżej daję nazwy:

-Win32/Kryptik.ABEB
-Win32/Kryptik.ABGW
-Win32/Kryptik.ABDQ
-Win32/Kryptik.ABFP
-Win32/Kryptik.ABDQ
-Win32/Kryptik.ABDR
-Win32/TrojanProxy.Hioles.AB

Lokalizacje to:

C:\Qoobox\Quarantine\...
i
C:\System Volume Information\...

No i co tu teraz zadziałać? sciana

Logów chyba nie dam rady wrzucić, żeby szwagrowi kompa nie zainfekować.
Tak, w ogóle to ogromne dzięki za dotychczasową pomoc. Mam nadzieję, że da się jeszcze wybronić przed formatem.

**Posty:** 18165 · przez **wojtas** 23 Lut 2012, 23:31

no ale nie masz żadnych raportów ? Kaspresky ? Combo ?

co do wykrytych zagrożeń to w plikach od kwarantanny Combofixa, i przywracania systemu...

możesz działać narzędziami a logi przenosić na pendrivie i wrzucać na forum

nic się nie stanie

**Posty:** 13 · przez **Daman** 24 Lut 2012, 00:55

Dobra ryzyk fizyk, najwyżej szwagier mnie zabije. :1:

Przeniosłem te logi.
TDSSKiller i ComboFix:

**Posty:** 18165 · przez **wojtas** 24 Lut 2012, 01:56

Wklej do notatnika

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"=-
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\
73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\
00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\
6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\
00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\
57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg. uruchom dany plik i zrób reset

odinstaluj Spybot - Search & Destroy

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- -- (zpcollector)
SRV - File not found [Auto | Stopped] -- -- (zfdwm)
SRV - File not found [Auto | Stopped] -- -- (WNCPKT)
SRV - File not found [Auto | Stopped] -- -- (websensecamserver)
SRV - File not found [Auto | Stopped] -- -- (vtserver)
SRV - File not found [Auto | Stopped] -- -- (vpcbus)
SRV - File not found [Auto | Stopped] -- -- (vmx86)
SRV - File not found [Auto | Stopped] -- -- (usrbridg)
SRV - File not found [Auto | Stopped] -- -- (USB28xxOEM)
SRV - File not found [Auto | Stopped] -- -- (USB11LDR)
SRV - File not found [Auto | Stopped] -- -- (tvichw32)
SRV - File not found [Auto | Stopped] -- -- (tng-dtmg)
SRV - File not found [Auto | Stopped] -- -- (SWUMX20)
SRV - File not found [Auto | Stopped] -- -- (svcwrsssdk)
SRV - File not found [Auto | Stopped] -- -- (ssm_bus)
SRV - File not found [Auto | Stopped] -- -- (sqlagent$sony_mediamgr)
SRV - File not found [Auto | Stopped] -- -- (SNMPTRAP)
SRV - File not found [Auto | Stopped] -- -- (smservauth)
SRV - File not found [Auto | Stopped] -- -- (SlWdmSup)
SRV - File not found [Auto | Stopped] -- -- (slee_81_service)
SRV - File not found [Auto | Stopped] -- -- (siswlsvc)
SRV - File not found [Auto | Stopped] -- -- (sfsync04)
SRV - File not found [Auto | Stopped] -- -- (service1)
SRV - File not found [Auto | Stopped] -- -- (serialkeys)
SRV - File not found [Auto | Stopped] -- -- (se45mgmt)
SRV - File not found [Auto | Stopped] -- -- (se2Bunic)
SRV - File not found [Auto | Stopped] -- -- (scanexplicit)
SRV - File not found [Auto | Stopped] -- -- (S7oppilx)
SRV - File not found [Auto | Stopped] -- -- (s217obex)
SRV - File not found [Auto | Stopped] -- -- (s217nd5)
SRV - File not found [Auto | Stopped] -- -- (RTL8169)
SRV - File not found [Auto | Stopped] -- -- (resourcemanagermail)
SRV - File not found [Auto | Stopped] -- -- (pimsgss)
SRV - File not found [Auto | Stopped] -- -- (pdlnecfg)
SRV - File not found [Auto | Stopped] -- -- (pcdrndisuio)
SRV - File not found [Auto | Stopped] -- -- (pavagente)
SRV - File not found [Auto | Stopped] -- -- (pacsptisvr)
SRV - File not found [Auto | Stopped] -- -- (p2pimsvc)
SRV - File not found [Auto | Stopped] -- -- (oracleorahomeagent)
SRV - File not found [Auto | Stopped] -- -- (Norton Internet Security)
SRV - File not found [Auto | Stopped] -- -- (NMSCFG)
SRV - File not found [Auto | Stopped] -- -- (mwagent)
SRV - File not found [Auto | Stopped] -- -- (MREMP50)
SRV - File not found [Auto | Stopped] -- -- (mfeavfk)
SRV - File not found [Auto | Stopped] -- -- (mfeapfk)
SRV - File not found [Auto | Stopped] -- -- (mediaviewer)
SRV - File not found [Auto | Stopped] -- -- (mctskshd.exe)
SRV - File not found [Auto | Stopped] -- -- (mcafeeframework)
SRV - File not found [Auto | Stopped] -- -- (lxrjd31d)
SRV - File not found [Auto | Stopped] -- -- (lvpr2mon)
SRV - File not found [Auto | Stopped] -- -- (kbfiltr)
SRV - File not found [Auto | Stopped] -- -- (iisadmin)
SRV - File not found [Auto | Stopped] -- -- (ibmcicstransactiongateway)
SRV - File not found [Auto | Stopped] -- -- (IASJet)
SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - File not found [Auto | Stopped] -- -- (generichidservice)
SRV - File not found [Auto | Stopped] -- -- (gemserv)
SRV - File not found [Auto | Stopped] -- -- (F700ius)
SRV - File not found [Auto | Stopped] -- -- (F700iob)
SRV - File not found [Auto | Stopped] -- -- (ESDCR)
SRV - File not found [Auto | Stopped] -- -- (ELhid)
SRV - File not found [Auto | Stopped] -- -- (dvd-ram_service)
SRV - File not found [Auto | Stopped] -- -- (dktknsrv)
SRV - File not found [Auto | Stopped] -- -- (db2)
SRV - File not found [Auto | Stopped] -- -- (ctac32k)
SRV - File not found [Auto | Stopped] -- -- (Cinemsup)
SRV - File not found [Auto | Stopped] -- -- (c-dillacdac11ba)
SRV - File not found [Auto | Stopped] -- -- (ccpwdsvc)
SRV - File not found [Auto | Stopped] -- -- (btwhid)
SRV - File not found [Auto | Stopped] -- -- (btfirst)
SRV - File not found [Auto | Stopped] -- -- (avhook)
SRV - File not found [Auto | Stopped] -- -- (avg7rsw)
SRV - File not found [Auto | Stopped] -- -- (atkkeyboardservice)
SRV - File not found [Auto | Stopped] -- -- (ATIBTXBAR)
SRV - File not found [Auto | Stopped] -- -- (ASNDIS5)
SRV - File not found [Auto | Stopped] -- -- (ASFWHide)
SRV - File not found [Auto | Stopped] -- -- (ANC)
SRV - File not found [Auto | Stopped] -- -- (advservice)
SRV - File not found [Auto | Stopped] -- -- (advantage)
O3 - HKU\S-1-5-21-602162358-725345543-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2012-02-21 22:37:41 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Damiano\Ustawienia lokalne\Dane aplikacji\367a4043

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + nowy raport z Gmera oraz z http://download.bleepingcomputer.com/farbar/FSS.exe (zaznacz wszystkie opcje do skanowania)

**Posty:** 13 · przez **Daman** 24 Lut 2012, 14:56

No, internet odżył.

Piszę już od siebie. Po wpisie do rejestru system ładuje ikonki i pasek już
bez opóźnienia. Zaraz wrzucę wszystkie logi, tylko wspomnę jeszcze - wszystkie skany robiłem
na odłączonym internecie mimo, że już miałem dostęp. 1)Ma to jakieś znaczenie?
A i jeszcze jedno. Zauważyłem taki objaw. Może to ważne. Mianowicie, przy przeglądaniu
PDF-ów przewinę kilka stron dokumentu i wszystko mi się wyłącza. To i jeszcze drugie.
W nocy robiłem skana antywirem - znalazł 17 wirusów.

16 sztuk Win32/Sirefef.EF w C:\System Volume Information\...
i
1 sztuka Win32/Agent.TEO w C:\Qoobox\Quarantine\...

Wszystkie wyleczone przez usunięcie.
Dobra to teraz do sedna.

LOGI:

**Posty:** 18165 · przez **wojtas** 24 Lut 2012, 20:44

Daman napisał(a):Ma to jakieś znaczenie?

nie

Daman napisał(a):Mianowicie, przy przeglądaniu
PDF-ów przewinę kilka stron dokumentu i wszystko mi się wyłącza.

spróbuj przeinstalować program od PDF

Na klawiaturze znajdź przycisk z flagą Windows oraz R ( naciśnij oba) wyskoczy okienko, w którym wklej:

"C:\Documents and Settings\Damiano\Pulpit\ComboFix.exe" /uninstall

i zatwierdź

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu

Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)
>>> Service Pack 3

na koniec odpal ten program ( zaznacz wszystkie opcje do skanowania ) i gdyby coś znalazł daj info

zmień hasła na stronach do których się logujesz

**Posty:** 13 · przez **Daman** 25 Lut 2012, 17:33

C:\MsLAB\cpulab.exe (PUP.BitMiner) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
i
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|disableregedit (Hijack.Regedit) -> Data: 0 -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

Exploit.Java.CVE-2010-4452.a
lokalizacja: C:\Documents and Settings\Damiano\Dane aplikacji\Sun\Java\Deployment\cache\...

Czy mogę mieć nadzieję, że to koniec naszej krucjaty??

Czy coś jeszcze trzeba zdjełać??

**Posty:** 18165 · przez **wojtas** 25 Lut 2012, 17:52

sądzę że koniec

jak wykonałeś wszystko

Autor postu otrzymał pochwałę

**Posty:** 13 · przez **Daman** 25 Lut 2012, 18:12

No to fantastycznie.
Wielkie, ogromne, gigantyczne dzięki za pomoc!!!
Jakbym się mógł jakoś odwdzięczyć(umyć samochód, odkurzyć dywan, skosić trawnik) to służę pomocą. :wink:

Jeszcze na koniec zapytam czy ten Malware i Eset wystarczą do codziennego funkcjonowania w necie??
Rozumiem, że ze Spybotem sobie dać spokój?? Pozdro

**Posty:** 18165 · przez **wojtas** 25 Lut 2012, 18:15

Daman napisał(a):Jeszcze na koniec zapytam czy ten Malware i Eset wystarczą do codziennego funkcjonowania w necie??

tak, też mam taki zestaw

Daman napisał(a):Rozumiem, że ze Spybotem sobie dać spokój?? Pozdro

tak daj spokój z nim Malwarebytes dużo lepszy

**Posty:** 13 · przez **Daman** 25 Lut 2012, 18:17

Jeszcze raz dzięki. Temat do zamknięcia.

Kto jest na forum