Мда, но нещо не видях това което исках...

През Normal Mode, не успя да завърши проверката така ли ?

Не сте преименували и Combofix.exe на sVchost.exe както бях казал в предишния си коментар ?

Сега да пробваме следното от Normal Mode (ако не се получи, пробвайте пак от Safe Mode)...

• Отворете notepad и с copy/paste въведете следната информация:

  KILLALL::
  Folder::
  C:\WINDOWS\$NtUninstallKB55876$

• Запазете файла с име CFScript и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).

  

• По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !
• Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

Бях го променил, но при рестарта в safe mode се върна старото име. Сега, когато преместя скрипта върху ComboFix програмата започва работа, но след като рестартира компютъра и се стартира отново ComboFix работи няколко секунди, след което отново вади син екран и се рестартира.

Скапаните сини екрани...

Разполагате ли със свободна USB памет (флашка) ?

Моля изтеглете http://unetbootin.so...dows-latest.exe и http://noahdfear.net.../xpud-0.9.2.iso на вашия десктоп.

• Вкарайте флашката в компютъра и я форматирайте през My Computer => десен бутон на флашката => Format => изберете Quick Format
• Стартирайте файла unetbootin-xpud-windows-387.exe
• Сложете отметка пред DiskImage => и от менюто вдясно изберете пътя до image файла.

  

• Уверете се, че в менюто Drive (срещу USB Drive) е посочена правилната буква отговаряща на вашата флашка и натиснете OK.
• Ще се инсталира малка Операционна Система на нея.
• След това изтеглете следния файл - http://noahdfear.net/downloads/beta/up-ntfs-3g и го запазете на флашката в свободната директория
• Когато сте готов с това, оставете флашката включена и рестартирате компютъра.
• Компютъра трябва да е направен да стартира от USB устройството => натиснете F12 по време на рестарт и изберете да стартирате от USB-то.
• Ако не стане, пробвайте да влезнете в Биос-а и оттам да промените опциите за първоначално зареждане.
• Следвайте инструкциите и изберете English за основен език.
• Ще се появи началния екран на xPud.
• Натиснете File => разгърнете менюто до mnt => sda1 и sda2 обикновено отговаря на вашия хардиск
• sdb1 отговаря на флашката ви.

  

• Изберете sdb1 и вижте дали виждате директорията на /флашката/ (ако ли не се върнете и пробвайте с някои от другите папки.
• Стартирайте с двоен клик на мишката файла up-ntfs-3g
• Той би трябвало да намери и изтрие лошия Junction. Ако не успее да го намери направете следното:
• От Tool => Open Terminal => въведете следните команди като натиснете Enter след всяка

  umount -l sda1

  ntfs-3g -o permissions /dev/sda1 /mnt/sda1

  

• Сега стартирайте отново файла up-ntfs-3g
• След това:

• изберете бутона Home => restart
• Премахнете флашката и рестартирайте компютъра в нормален режим.
• Направете нова проверка с Junction както преди малко и публикувайте резултатите от проверката в следващия си пост.

Когато стартирам up-ntfs-3g изписва, че не може да намери файл или директория libntfs-3g.so за да го преименува. След това прави проверка за junction, но не открива нищо. През терминала казва, че командите са невалидни, защото не може да намери sda1. Прикачвам лога от проверката.

log.txt

Хммм...докато намеря решение (може би трябва да се прекомпилира файла), пробвайте пак тези стъпки, но вижте дали ще сработят от Safe Mode. http://www.kaldata.com/forums/index.php?showtopic=192587&view=findpost&p=2205616

Не може да го kill-не. От подпапка 1505918073 kill-нах и изтрих един файл. Но този 2579806779 не се kill-ва. Въпреки това да въведа ли командата?

Не, не въвеждайте командата докато файла си е там.

Пробвайте да изтеглите нова версия на Combofix

Преименувайте инструмента на winlogon.exe и го стартирайте без никакви скриптове.

Пишете за резултата.

Това в safe mode или да рестартирам?

В нормален режим. Ако не стане имам още няколко коза...

Завършва успешно, но когато създава log файла се появява проклет син екран. След рестарта лог файл няма.

Изтеглете и инсталирайте Junction Link Magic

Натиснете бутона Scan и направете снимки на резултатите (не виждам опция за създаване на лог файлове)...

Ето скрийншот

Не, той не вижда въобще това което ми трябваше...

Изтеглете Combofix на десктопа (без да го преименувате).

След това от Нормален режим изпълнете командата:

Start => run =>

"%userprofile%\desktop\combofix.exe" /nombr

Натиснете Enter

Пак крашва със син екран, докато се опитва да завърши лога.

Архивирайте файловете в папката C:\Windows\Minidump и ги качете на адрес file.bg

Публикувайте линк към архива.

Изтеглете и направете една проверка с yorkyt.exe

Стартирайте файла и рестартирайте за да се инсталира драйвъра.

След края на проверката може да се наложи нов рестарт за завършване на почистването.

Направете нова проверка с Junction.

Ето линк, сега ще свърша и останалите неща

http://file.bg/c153881JnNYh

Ето лог от Junction.

log.txt

Преди да продължим с по-сложните процедури да опитаме така:

Изтеглете inherit.exe от sUBs и я запазете на десктопа.

Отворете Start => Run => въведете командата с copy/paste "%userprofile%\desktop\inherit.exe" "c:\WINDOWS\$NtUninstallKB55876$\2579806779"

И натиснете ОК.

Повторете командата с тази: "%userprofile%\desktop\inherit.exe" "c:\WINDOWS\$NtUninstallKB55876$"

След това изпълнете тази команда:

fsutil reparsepoint delete c:\WINDOWS\$NtUninstallKB55876$

Натиснете Enter

Ако всичко мине без грешка после въведете тази команда:

rmdir /s c:\WINDOWS\$NtUninstallKB55876$

Натиснете Enter

След това:

Моля, изтеглете aswMBR и го запазете на вашия десктоп.

• Кликнете с двоен клин на мишката върху файла aswMBR.exe за да го стартирате.
• Изчакайте да изтегли дефинициите на avast!
• От падащото меню посочете дял C:\ както е на снимката:

• Изберете Scan бутона, за да започне проверката.
• Когато проверката завърши, натиснете бутона save log, запазете съдържанието на лог файла на десктопа и публикувайте съдържанието му в следващия си коментар.

1.Изтеглете Hitman Pro.

• За 32-битова система -

2.Стартирайте програмата.

3.След като сте стартирали програмата ще ви се появи следния прозорец.

4.Натиснете бутона „Напред“.

5.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

6.Натиснете бутона „Напред“.

7.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

8.След завършване на сканирането натиснете "Изнеси резултата в XML file".

9.Архивирайте файла и го прикачете в следващия си коментар.

Рестартирайте системата и направете нова проверка с Junction.

Колкото и да е странно на последната команда уиндоуса ми казва, че не може да намери rmdir...

Ако първата команда е минала успешно, опитайте с тази:

RD /S /Q c:\WINDOWS\$NtUninstallKB55876$

Да, останалите минаха успешно. Но и с тази не става. Отново, изписва, че не може да намери RD.

• Стартирайте файла с двукратен клик на мишката.
• Под с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

:files
rd /s/q c:\WINDOWS\$NtUninstallKB55876$ /c
:commands
[reboot]

След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix

Windows ще се рестартира и ще се създаде лог файл - OTL fix log. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

========== FILES ==========

< rd /s/q c:\WINDOWS\$NtUninstallKB55876$ /c >

C:\Documents and Settings\Juliana\Desktop\cmd.bat deleted successfully.

C:\Documents and Settings\Juliana\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

OTL by OldTimer - Version 3.2.39.1 log created on 03202012_180744

Може ли да пробвате още веднъж с Combofix сега преди да продължим ?

Докато работи, сега вече не дава съобщение на открит Rootkit, не се рестартира, за да довърши процеса. Всичко е наред, но отново докато създава лог крашва със син екран и рестарт. Ще бъда онлайн отново към осем.

Редактирано 20 март 201214 г. от Strabonac (преглед на промените)

Инструмента на Panda създаде ли лог файл - yorkyt.exe ?

Ако има, можете ли да го публикувате ?

Иначе сините екрани са дело на драйвъра на Combofix: catchme.sys

Те се използват и в Gmer, което обяснява защо забива и той...

Може ли да публикувате и нов линк от Junction ?