Nejdou aktualizace OS W7 + Win32:Bredolab

[Danstahr]

Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
-do bílého okna dole skopírujte tento skript:

Kód: Vybrat vše

netsvcs
drivers32
savembr:0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s

/md5start
cngaudit.dll
cryptsvc.dll
eNetHook.dll
eventlog.dll
hal.dll
logevent.dll
netlogon.dll
ntelogon.dll
scecli.dll
sceclt.dll
ws2_32.dll
autochk.exe
csrss.exe
explorer.exe
lsass.exe
services.exe
smss.exe
spoolsv.exe
svchost.exe
userinit.exe
winlogon.exe
adp3132.sys
AGP440.sys
ahcix86.sys
ahcix86s.sys
atapi.sys
cdrom.sys
Changer.sys
fastfat.sys
iaStor.sys
iastorv.sys
IdeChnDr.sys
isapnp.sys
JakNDis.sys
KR10N.sys
mv61xx.sys
ndis.sys
ntfs.sys
nvata.sys
nvatabus.sys
nvgts.sys
nvraid.sys
nvrd32.sys
nvstor.sys
nvstor32.sys
symmpi.sys
tcpip.sys
vaxscsi.sys
viamraid.sys
viasraid.sys
ViPrt.sys
/md5stop

C:\windows\system32\spool\prtprocs|dll;true;true;true /FP
%systemroot%\system32\drivers\*.sys /5
%systemroot%\system32\drivers\*.sys /X
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.* /5
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\*.* /U /s
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Data Aplikací\*.*
%ALLUSERSPROFILE%\Data Aplikací\*.exe /s
%ALLUSERSPROFILE%\Dáta aplikácií\*.*
%ALLUSERSPROFILE%\Dáta aplikácií\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS /s
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager" /v BootExecute /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v "PendingFileRenameOperations" /c

type c:\boot.ini >> test.txt /c
%SystemDrive%\PhysicalMBR.bin /md5 

- zaškrtněte okénko Pro všechny uživatele.
-označte okénka Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
- Klikněte na tlačítko Prohledat
-po dokončení skenu se objeví logy OTL.Txt a Extras.txt, vložte je zde

EDIT : viz níže

[Danstahr]

A taky by mě zajímalo, proč nerespektujete pokyny ostatních rádců a neustále vkládáte RSIT logy po použití ComboFixu. Jeho nebezpečí vám snad netřeba připomínat, četl jste ho několikrát...

Prosím o vaše vyjádření k opakovanému nerespektování Pravidel, zejména k bodům 2, 3 a 6. Do té doby léčení pozastavujeme.

[vyosek]

Zdravim

Jako moderator fora si dovolim vstoupit...

Neni to poprve co jednate timhle zpusobem - snazite se snazite a pak kdyz to neumite tak jdete sem a je to pro nas daleko tezsi...

A nedivte se, ze u nas vznika podezreni, ze si servisem pekne vydelavate, ale jaksi vam to moc nejde a tak sem cpete logy pod zaminkou znamych a my tu "otrocime" za vas a vy jen pak pekne fakturujete.

Nehlede na to, ze opakovane porusujete zminena pravidla fora...

Takze zacnete respekovat pravidla fora, jinak bude pomoc odmitnuta. Samozrejme se vyse zminene pochybnosti a problemy zanasi do nasich internich poznamek...

Kolega muze tedy nyni pokracovat a timto se mu jeste jednou omlouvam za vstup...

Preji uspesne leceni a jsem s pozdravem,
vyosek

[vyosek]

PM dosla, kolega zde muze pokracovat jak jsem psal...ja se loucim

[vyosek]

Log sem vlozte, rozdelte do vice prispevku, bude se kolegovi lepe lustit

[Danstahr]

Ještě poprosím o scan přes MBAM :

Stáhněte MBAM a vložte sem jeho log podle návodu zde, při výběru skenu zvolte Úplný sken.

[Danstahr]

A ještě TDSSKiller :

Stáhněte TDSSKiller a rozbalte jej.
Klikněte na tlačítko Start Scan
Po dokončení skenu klikněte na tlačítko Continue
Pokud bude potřeba restart, povolte jej.
Klikněte na tlačítko Report a obsah souboru sem vložte.

[Danstahr]

Dobrá, beru na vědomí.

[Danstahr]

No pěkně nám to vyskákalo. Pošlu vám sem kolegu, který má s tímto typem havěti více zkušeností.

[Danstahr]

Zatím prosím udělejte nový OTL scan podle postupu výše.

[vyosek]

Zdravim a pekny den preji

Kolega me poprosil o prevzeti

OTL zatim nedelejte, jelikoz ZeroAcess jej stejne umi ocurat, predhodit mu ciste soubory atd adt, vsak ctete dale

Je tam pekna mrcha v podobe ZeroAcess - jeji leceni zatim je spise neuspesne nez uspesne, jelikoz dela se systemem silene psi kusy, predhazuje ciste soubory, i kdyz jsou infikovane... I s kolegy ze zahranicnich for stale diskutujem a snazime se najit zpusob leceni, ale zatim format je nejjistejsi a neucinnejsi. Ale muzem se pokus o jeho vyleceni, ovsem vysledek nezarucuju.

Takze, pujdem do toho

[vyosek]

Nalezy MBAMu smazte, krome te zalohy TDSSKilleru - vyskoci log, ten rad uvidim

Pak znovu udelejte sken TDSSKillerem - log opet sem

[vyosek]

No ale ted to smazte jak jsem psal, vse krome zalohy TDSS

C:\TDSSKiller_Quarantine\10.04.2012_14.44.17\rtkt0000\zafs0000\tsk0002.dta (Rootkit.0Access) -> Žádná instrukce nebyla provedena.
C:\TDSSKiller_Quarantine\10.04.2012_14.44.17\rtkt0000\zafs0000\tsk0005.dta (PUP.BitMiner) -> Žádná instrukce nebyla provedena.
C:\TDSSKiller_Quarantine\10.04.2012_14.44.17\zaea0000\svc0000\tsk0000.dta (RootKit.0Access.H) -> Žádná instrukce nebyla provedena.

[vyosek]

Fajn, jeste smazte ty nalezy MBAMu jak jsem psal a log co bude sem dejte

[vyosek]

Prvni vec, NEEDITUJTE, toho si nikdo nevsimne

Druha vec, NEMAZTE zalohy, ani karanteny apod. pred dokoncenim leceni

PROSIM CTETE DUKLADNE NAVOD - TATO UTILITA MA VELKOU SCHOPNOST MAZAT A JE NUTNE JI APLIKOVAT JEN NA DOPORUCENI, JINAK VAM MUZE JIT SYSTEM DO KYTEK
Stahnete a ulozte na plochu Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Vypnete vsechny rezidentni bezpecnostní programy - firewally, antiviry, antispywary apod.
• Pokud mate Win XP spustte pod uctem Spravce\Administratora
• Pokud mate Win Vista ci Win 7, kliknete na Combofix pravym a dejte Run As Administrator ci Spustit jako spravce
• Ihned po startu se zobrazi stranka s licencnim ujednanim, pokracujte kliknutim na Ano
• Pokud Vam CF nabidne instalaci Konzoly pro zotaveni, tak souhlaste
• Dale postupujte dle pokynu, behem scanu nechte PC naprosto v klidu - nespoustejte zadne aplikace a neklikejte do zobrazujiciho se okna
• Scan by mel trvat cca 10 min, ale pokud bude PC hodne zaneseno, muze se cas prodlouzit
• Po dokonceni skenu a pripadnem restartu CF zobrazi log, pripadne jej najdete zde C:\ComboFix.txt, jeho obsah sem vlozte
• Detailni postup vc. obrazku mate zde http://www.bleepingcomputer.com/combofi ... t-combofix