Landuss

W takim razie wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16) Uzupełnij system o SP1+IE9 i zaktualizuj Firefox: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-04-10 15:29:32 | 000,001,860 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\ivqgg6ro.default\searchplugins\search.xml O4 - HKLM..\Run: [csrs] File not found O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja pomyślnie usunięta. Użyj jeszcze opcji Sprzątanie z OTL oraz wyzeruj stan przywracania systemu: KLIK

Logi z OTL to za mało. Prosze wykonać log z Gmer. Na razie nie widać tu infekcji i temat raczej pójdzie do innego działu. Laptop ma przeładowany autostart i ogólnie można tu trochę posprzątać. Tym się zajmiemy później jak wykonasz brakujący log.

W logach ślady infekcji z urządzenia przenośnego oraz Conficker. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\rpofrtl.dll :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.selectedEngine: "DAEMON Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.1.3 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2010-11-27 18:21:25 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Leman\Dane aplikacji\Mozilla\Firefox\Profiles\zjckloyw.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010-12-05 13:31:06 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Documents and Settings\Leman\Dane aplikacji\Mozilla\Firefox\Profiles\zjckloyw.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2011-02-12 22:06:01 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Leman\Dane aplikacji\Mozilla\Firefox\Profiles\zjckloyw.default\extensions\DTToolbar@toolbarnet.com [2010-12-05 13:31:06 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Leman\Dane aplikacji\Mozilla\Firefox\Profiles\zjckloyw.default\extensions\engine@conduit.com [2011-02-12 22:05:58 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Leman\Dane aplikacji\Mozilla\Firefox\Profiles\zjckloyw.default\searchplugins\daemon-search.xml [2010-11-27 18:22:32 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Leman\Dane aplikacji\Mozilla\Firefox\Profiles\zjckloyw.default\searchplugins\winamp-search.xml O4 - HKU\S-1-5-21-725345543-261903793-839522115-1003..\Run: [KPeerNexonEU] File not found O4 - HKU\S-1-5-21-725345543-261903793-839522115-1003..\Run: [wsctf.exe] File not found O4 - Startup: C:\Documents and Settings\Leman\Menu Start\Programy\Autostart\Registration Driver Parallel Lines.LNK = File not found [2011-03-11 22:59:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Leman\Dane aplikacji\PriceGong [2011-04-09 20:18:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\marcin\Dane aplikacji\PriceGong :Reg [HKEY_USERS\S-1-5-21-725345543-261903793-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "EXPLORER.EXE"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "9580:TCP"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log z usuwania, który zachowaj w celu pokazania na forum. 2. Panel sterowania > sekcja dodaj/usuń programy i odinstaluj niepotrzebne śmieci - Conduit Engine / DAEMON Tools Toolbar / Softonic-Polska Toolbar 3. Następnie uruchamiasz OTL ponownie i tym razem wpisz w oknie Własne opcje skanowania/Skrypt netsvcs i kliknij w Skanuj (nie w Wykonaj skrypt). 4. Prezentujesz nowe logi z OTL ze skanu i z usuwania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3653584824-654451116-162410288-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3653584824-654451116-162410288-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () [2011-04-09 00:00:09 | 000,000,000 | ---D | C] -- C:\Users\Jurek\AppData\Local\searchplugins [2011-04-08 23:44:04 | 000,311,296 | RHS- | C] (Created with WinAutomation ("http://www.WinAutomation.com")) -- C:\Users\Jurek\AppData\Roaming\Readar_sl.exe [2011-04-08 23:44:02 | 000,311,296 | ---- | C] (Created with WinAutomation ("http://www.WinAutomation.com")) -- C:\Users\Jurek\AppData\Local\Readar_sl.exe :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcji tu nie ma ale wykonać możesz kosmetyczny skrypt do OTL o następującej zawartości: :OTL FF - prefs.js..browser.search.selectedEngine: "DAEMON Search" FF - prefs.js..browser.startup.homepage: "http://my.daemon-search.com/" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 [2011-04-05 23:08:59 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Daga\Dane aplikacji\Mozilla\Firefox\Profiles\hz13csaq.default\extensions\DTToolbar@toolbarnet.com [2011-04-04 17:29:15 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Daga\Dane aplikacji\Mozilla\Firefox\Profiles\hz13csaq.default\searchplugins\daemon-search.xml File not found (No name found) -- [2008-12-26 22:39:23 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAM FILES\JAVA\JRE6\LIB\DEPLOY\JQS\FF File not found (No name found) -- C:\PROGRAM FILES\MOZILLA FIREFOX 3.6 BETA 5\EXTENSIONS\{AB2CE124-6272-4B12-94A9-7303C7397BD1} O3 - HKU\S-1-5-21-57989841-1409082233-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-21-57989841-1409082233-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptyflash] [emptytemp] [clearallrestorepoints] Możesz wkleić do wglądu wynikowy log.

To co jest wykryte jest nieistotne. Kopie plików ode mnie możesz już usunąć z dysku C bo nie będą potrzebne. Infekcja wygląda na pomyślnie usuniętą i przejdźmy do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16 "Mozilla Firefox 3.5.3" = Mozilla Firefox 3.5.3 "avast" = avast! Free Antivirus Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

W logach nic szczególnego nie ma jedynie szczątek po infekcji z mediów przenośnych: O33 - MountPoints2\{f567e11e-5cc3-11e0-8f99-00218570574b}\Shell\autoPLAy\coMmand - "" = K:\sanjo.pif O33 - MountPoints2\{f567e11e-5cc3-11e0-8f99-00218570574b}\Shell\AutoRun\command - "" = K:\sanjo.pif O33 - MountPoints2\{f567e11e-5cc3-11e0-8f99-00218570574b}\Shell\exPlORe\ComMAnd - "" = K:\sanjo.pif O33 - MountPoints2\{f567e11e-5cc3-11e0-8f99-00218570574b}\Shell\opEn\COmmANd - "" = K:\sanjo.pif Start > Uruchom > regedit i usuń ten klucz: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f567e11e-5cc3-11e0-8f99-00218570574b} Czy Sality Killer coś wykrył? Oraz istotne czy nadal jest wykrywana infekcja, jeśli tak to gdzie?

W logach nie ma żadnej infekcji. Temat zostaje przeniesiony na inny dział. Zacznij od deinstalacji Kasperskyego aby sprawdzić czy to nie przez niego jest problem.

To prawdopodobnie kwestia powielenia userinit: O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\WINDOWS\System32\userinit.exe (Microsoft Corporation) Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," Kliknij w Wykonaj skrypt. Zresetuj system i podaj wyniki.

W logach nie widzę śladu aktywnej infekcji i możliwe, że temat zmieni dział. Wykonaj dla pewności jeszcze log z Kaspersky TDSSKiller 1. Zrób kosmetyczny skrypt do OTL usuwający drobne odpadki o następującej treści: :Files C:\Program Files\ConduitEngine :OTL IE - HKU\S-1-5-21-2025429265-1788223648-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaultthis.engineName: "gry Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=3&q={searchTerms}" [2011-01-26 17:26:32 | 000,000,909 | ---- | M] () -- C:\Documents and Settings\Piontek\Dane aplikacji\Mozilla\Firefox\Profiles\f6yrpu0w.default\searchplugins\conduit.xml [2011-03-18 22:47:04 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Piontek\Dane aplikacji\Mozilla\Firefox\Profiles\f6yrpu0w.default\searchplugins\web-search.xml O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. [2011-04-03 16:01:00 | 000,000,238 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Commands: [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj z poziomu dodaj/usuń programy zbędny toolbar gry Toolbar oraz vShare Plugin, który jest klasyfikowany jako obiekt niepożądany. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie widać śladu infekcji. Temat zostaje przeniesiony do innego działu. Sprawdź jak się zachowuje system w trybie awaryjnym oraz na czystym rozruchu: KLIK Możliwe, że winnym jest Avira.

Masz taką opcje Sprzątanie w OTL i wystarczy ją kliknąć.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://myclearsearch.com/" O4 - HKCU..\Run: [iSUSPM Startup] File not found [2011-04-03 12:37:51 | 000,000,308 | -HS- | M] () -- C:\Windows\tasks\vbzka.job [2011-03-28 09:54:25 | 000,119,296 | RHS- | M] () -- C:\Windows\SysWow64\samlibj.dll :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wykonaj skan przez Malwarebytes Anti-Malware i wklej z niego raport oraz nowe logi z OTL.

W logach nie ma aktywnej infekcji, ale wykonaj poniższe zalecenia przy okazji. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje (IE ma być zawsze w najnowszej wersji nawet jeśli ty nie korzystasz): Internet Explorer (Version = 6.0.2900.5512) "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Masz stary system plików FAT32 na niektórych partycjach: Drive C: | 9,77 Gb Total Space | 2,01 Gb Free Space | 20,60% Space Free | Partition Type: NTFS Drive D: | 9,76 Gb Total Space | 1,01 Gb Free Space | 10,39% Space Free | Partition Type: FAT32 Drive E: | 15,61 Gb Total Space | 3,75 Gb Free Space | 24,03% Space Free | Partition Type: FAT32 Drive F: | 39,36 Gb Total Space | 5,48 Gb Free Space | 13,94% Space Free | Partition Type: FAT32 Drive G: | 185,50 Gb Total Space | 161,66 Gb Free Space | 87,15% Space Free | Partition Type: FAT32 Drive H: | 280,20 Gb Total Space | 261,52 Gb Free Space | 93,33% Space Free | Partition Type: NTFS Wykonaj szybką konwersję bez utraty danych na NTFS. Start > Uruchom > cmd i w linii komend wpisz polecenia: convert D: /fs:ntfs convert E: /fs:ntfs convert F: /fs:ntfs convert G: /fs:ntfs Na pytanie o dezinstalację woluminu odpowiadaj twierdząco. 4. Masz mało miejsca na partycji systemowej co niezdrowo może wpływać na system: Drive C: | 9,77 Gb Total Space | 2,01 Gb Free Space | 20,60% Space Free | Partition Type: NTFS Proponuję oczyścić dysk ze śmieci za pomocą TFC - Temp Cleaner oraz wyzerować stan przywracania systemu: KLIK. W ten sposób uwolnisz nieco miejsca. Ogolnie na system ta partycja jest za mała. Powinna mieć przynajmniej 20GB. Do analizy co ewentualnie można jeszcze usunąć i co zajmuje najwięcej miejsca może posłużyć narzędzie SpaceSniffer

Nie wkleiłeś obowiązkowego loga z Gmer więc to uzupełnij. W logach widać jedynie drobną infekcje z mediów przenośnych. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-725345543-1770027372-2146946837-1004..\Run: [api32] File not found O4 - HKU\S-1-5-21-725345543-1770027372-2146946837-1004..\Run: [ares] File not found O4 - HKU\S-1-5-21-725345543-1770027372-2146946837-1004..\Run: [wsctf.exe] File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To może tak - Start >>> Uruchom >>> regsvr32 /i shell32

To zamiennie wklej do OTLa ten tekst: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\ S-1-5-21-746137067-1390067357-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" Logów żadnych nie pokazujesz.

Infekcja usunięta. Wykonaj poniższe czynności: 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\ S-1-5-21-746137067-1390067357-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik To powinno naprawić uruchamianie moich dokumentów. 2. Użyj opcji Sprzątanie z OTL. 3. Wykonaj obowiązkowe aktualizacje oprogramowania (IE też nawet jeśli nie korzystasz): Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 18 Szczegóły aktualizacyjne w tym temacie: KLIK. 4. Wyzeruj stan przywracania systemu: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2011-04-01 17:20:05 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\6nnf3cfr.default\searchplugins\search.xml O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\user\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [sunJavaUpdateSched] File not found O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O20 - HKU\S-1-5-21-746137067-1390067357-839522115-1003 Winlogon: Shell - (F:\dupler\kromirani.exe) - File not found O20 - HKU\S-1-5-21-746137067-1390067357-839522115-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-5601548848-8656256054-861728064-8955\nissan.exe) - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Według logów nie widać tu żadnej infekcji więc raczej nie tędy droga. Na zrzucie jako przyczyna restartu widnieje jądro Windows - ntoskrnl.exe a to może oznaczać problem z Hardware. Tam też temat przenoszę. Zapoznaj sięz zasadami działu Hardware i podaj wymagane dane: KLIK

Według logów pliki się podmieniły i są to już czyste oryginalne obiekty ponieważ mają marker Microsoftu (wcześniej go nie miały) Pytam więc czy Avast na pewno wykrywa coś dalej? Jeśli tak to dokładnie napisz gdzie i przejdziemy do dalszych korków.

Rzeczywiście w logach widać, że może być zainfekowanych kilka kluczowych plików Windows. Oprócz explorera i winlogon dam też na wymianę sfcfiles.dll bo wygląda podejrzanie. 1. Pobierz paczkę czystych plików pod XP SP3 zgodnie z twoim systemem: KLIK. Pliki wypakuj i umieść bezpośrednio na dysku C:\ 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\dllcache\winlogon.exe|C:\winlogon.exe /replace C:\WINDOWS\System32\winlogon.exe|C:\winlogon.exe /replace C:\WINDOWS\System32\dllcache\explorer.exe|C:\explorer.exe /replace C:\WINDOWS\explorer.exe|C:\explorer.exe /replace C:\WINDOWS\System32\dllcache\sfcfiles.dll|C:\sfcfiles.dll /replace C:\WINDOWS\System32\sfcfiles.dll|C:\sfcfiles.dll /replace :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powinien otworzyć się log z usuwanie, który zachowaj w celu pokazania na forum. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.