V této diskusy je to proto, jelikož jde o stejného vira.
Vím, co ccleaner dělá a také jsem jasně popisoval, že jsem ho použil jen k úpravě registrů, reps. k vymazání hodnot v run klíčích, aby se část infikovaných souborů nespouštěla (SmitFraud totiž infikované soubory neodstranil, ale jen myslím služby a driver v systému, jenž byl oním virem).
Takže jsem smazal hodnoty v run klíčích, dále jsem použil combofix a v zápětí SmitFraud, což odpravilo část vira aj. havět. Už fungoval i nouzák. Dále jsem použil AVP, ten se postaral o hodně a část souborů vyléčil, nebo odstranil. Vše se už zdálo být ok, tak jsem sem hodil info o postupu.
Dále jsem se tam snažil nainstalit Nod32 a vše ještě jednou projet. Nainstaloval se, ale choval se divně a nešel rezidentní štít. Zaktualizoval jsem ho (musel jsem stáhnout komerční verzi, ke které je dodáván 30 denní trial key, protože se vždy info o aktualizačním serveru smazalo). Proscanoval PC, našel ještě několik infikovaných souborů, ale ty jen ležely na disku a nespouštěli se.
Další šíření viru se už nekonalo, ale nod32 stále bez rezidentního štítu. Použil jsem několik antyspyware programů a nakonec pomohl starý dobrý mwav(detekoval jsem, že tam něco je) a mbam(našel a odstranil to, co mwav taktéž viděl), jenž našly asi 4 drobnůstky, nějaký adware, trojan apod. Nod32 ovšem stále nic, ani reinstall nepomohl, resp. nešel odinstalovat. Musel jsem ručně smazat službu, restartnout PC a odinstalovat ho. UPM nehlásil nic divného, v procesech jsem nemohl najít žádnou chybku. Rootkit nikde.
Napadlo mně, že když žádný sw nic nehlásí a nic nemůže najít, tak to bude čistě asi jen v nodovi. Naladil jsem RegSeeker a ještě růčo promazal registry od noda, vyhledával jsem hodnoty a klíče s názvem : eset, ekrnl, smart security, egui.
Nakonec se podařilo -> našel jsem mj. nějaké klíče pro GPO. Zdá se tedy, že bylo asi nastaveno GPO proti Nodovi (šmejdskej vir).
Takže tedy ve finále :
combofix
SmitFraud
avp
mbam
nod32
Všechny testy teď prošly ok (při zaktualizovaném sw), z toho také usuzuji, že je PC naprosto čistý.
Samozřejmě jsem mohl ještě použít HijackThis, nebo jiné další logovací nástroje, ale to většinou používám až v krajním případě (raději pustím nějaký test a dělám si svoje věci, než spouštět logování a zaneprazdňovat se v pracovní době zkoumáním logů).
Za tuto úspěšnou akci samozřejmě můžou zdejší pomocníci (toto fórum mne kdysi seznámilo s většinou nástrojů, kterou už delší dobu používám, a samozřejmně občas ještě na nějakou novinku narazím). Takže děkuji za toto forum a posílám záslužnou dotující sms
Zdar Max