Kzyho

OK. W tempach wszędzie będzie na 200% pusto, bo jak pisałem na początku, pomijając działania różnych programów, to najzwyczajniej sam, ręcznie standardowo w takich przypadkach wywalam wszystko, co się w jakichkolwiek tempach znajduje.

Wychodzi na to, że nieświadomie zatem pewnie wykasowałem sobie również te przeniesione elementy Menu Start. Na przyszłość będę w takim razie ostrożniejszy i najpierw bardziej się przyjrzę zawartości katalogów temp przed usuwaniem, skoro istnieją robale robiące takie psikusy.

Dziękuję za poświęcony czas i pomoc. Najważniejsze, że infekcja została usunieta, a z Menu Start już sobie poradzę.

Pozdrawiam

Krzysiek

Wynik skanowania SystemLook w załączniku.

SystemLook.txt

Witam,

mam do ogarnięcia zainfekowany czymś komputer. Po wejściu na jedną ze stron, Avast zaalarmował, że coś atakuje kompa. Niby to zablokował, ale i tak się musiało dostać.

Efekt, to brak dostępu do sieci po WiFi (sterowane z poziomu IBM/Lenovo Access Connection, a nie Windowsa), jakby podmieniony proces explorer.exe albo coś w tym rodzaju, bo najpierw wszystko się wgrywało po restarcie jak należy, po czym w pewnym momencie wszystko znikało (jak przy zabiciu procesu explorer.exe właśnie) i ładowało się od nowa, ale juz bez większości ikonek w trayu, z brakiem połączenia sieciowego, otwierało się ileś okienek IE, komp był dosyć powolny i pewnie parę jeszcze innych rzeczy, których użytkownik już nie spamiętał.

Wykryłem w autostarcie skrót o nazwie ch8l0.exe, który jako ścieżkę skrótu miał coś w stylu: c:\windows\system32\rundll32.exe,NewfunEx,c:\XXXXXX\temp\XXX.exe

Po wygooglowaniu wyszło, że to prawdopodobnie jakiś trojan Kryptic.

Oprócz tego na dysku C: znalazłem zdecydowanie nieporządany plik settings.ini (w załączeniu)

Przeprowadzone było czyszczenie różnych tempów. Ręcznie, ale także skryptem Clear Temp Folder oraz All Users Temp Cleaner z Hiren's BootCD 15.1

Później przeskanowane Avirą i Malwarebytes' Anti Malware (z Hiren's BootCD 15.1) oraz Avastem i Spybot Search&Destroy.

Malwarebytes znalazł jeszcze jakieś coś o nazwie Codec-C i niby wszystko usunął.

Sam ręcznie przeszukałem jeszcze rejestr systemowy pod kątem tych różnych plików, nazw znalezionych syfów, ścieżek dostępu itp.

Z autostartu oczywiście usunąłem wspomniany skrót. Przejrzałem klucze Run, RunOnce itp. w rejestrze.

Komputer po tych akcjach wydaje się być uzdrowiony, ale... no właśnie nie w pełni.

Wycięło gdzieś większość pozycji z Menu Start. Zarówno skrótów do programów, jak i na przykład Narzędzia Systemowe, czy Narzędzia Administracyjne. Ale pole Uruchom, czy Panel Sterowania jest. Zniknęły też punkty przywracania (bo chciałem ewentualnie z tego skorzystać).

Mam gdzieś jeszcze System State zbackupowany, ale jest już dość stary, bo z 30.11.2011, więc użycie tego uważam za ostateczność.

Czy mógłbym zatem prosić o pomoc? Być może da się jeszcze to wszystko jakoś uratować?

Logi w załączeniu i poniżej.

Laptop to Lenovo T61

SecurityCheck:

Results of screen317's Security Check version 0.99.32

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

MVPS Hosts File

Spybot - Search & Destroy

Java™ 6 Update 24

Java version out of date!

Adobe Flash Player 10.3.183.11 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of date!

Mozilla Firefox (11.0.)

Mozilla Thunderbird (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Alwil Software Avast5 AvastSvc.exe

Alwil Software Avast5 avastUI.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

gmer.txt

ZLY_settings.ini._ZLY.txt