Arnate Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Witam. Do chwili obecnej udało mi się tyle zdziałać, że po pokombinowaniu w msconfig udało mi się odpalić komputer w normalnym trybie (przy wyłączonym internecie). Jednak nie chcę czekać na powrót trojana i chciałbym się go całkowicie pozbyć. Byłbym bardzo wdzięczny za pomoc. Wrzucam logi z OTL'a. Zorientowałem się, że miałem zainstalowanego Daemon Tools'a. Usunę wszystko i wrzucę świeże logi. Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Do chwili obecnej udało mi się tyle zdziałać, że po pokombinowaniu w msconfig udało mi się odpalić komputer w normalnym trybie (przy wyłączonym internecie). OTL domyślnie nie skanuje msconfig. Poproszę o dodatkowy skan. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig /s Kliknij w Look i czekaj na raport. . Odnośnik do komentarza
Arnate Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Przepraszam za to małe zamieszanie. Wrzucam poprawne logi z OTL i dodatkowo skan z SystemLook, o który zostałem poproszony: OTL.Txt Extras.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Zorientowałem się, że miałem zainstalowanego Daemon Tools'a. Usunę wszystko i wrzucę świeże logi. To było zbędne. System x64 i nie jest tu uruchamiany żaden rootkit detektor. Nie wpłynęło to na zawartość logów. Skan z SystemLook pokazuje dokładnie co wyłączyłeś: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cienzhoznalanwm]"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run""item"="cienzhoznalanwm""hkey"="HKCU""command"="C:\ProgramData\cienzhoz.exe""inimapping"="0""YEAR"= 0x00000007dc (2012)"MONTH"= 0x0000000007 (7)"DAY"= 0x000000000d (13)"HOUR"= 0x0000000012 (18)"MINUTE"= 0x000000002f (47)"SECOND"= 0x000000001a (26) Wszystkie obiekty infekcji są na dysku. Plus śmieci / podejrzane "aplikacje" ("PC Cleaners"). Przechodzimy do usuwania: 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz: HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cienzhoznalanwm 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\anuqwzumfijetpp C:\ProgramData\cienzhoz.exe C:\ProgramData\xvyvhuwhnvedysh C:\ProgramData\PC1Data C:\Users\Arnate\AppData\Roaming\PC Cleaners C:\Users\Arnate\AppData\Roaming\PCPro C:\Users\Arnate\0.20666296071644508.exe C:\Users\Arnate\AppData\Roaming\Mozilla\Firefox\Profiles\vnyytme3.default\searchplugins\web-search.xml :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" O4 - HKLM..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 4. Do oceny wystarczy tylko log z usuwania OTL z punktu 2. Nowy skan OTL nie jest potrzebny. . Odnośnik do komentarza
Arnate Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Postąpiłem zgodnie z instrukcją. Załączam logi z usuwania: 07132012_195203.txt Na chwilę obecną wszystko wygląda ok. Dziękuję bardzo na pomoc i czekam na ewentualne dalsze instrukcje. Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Zadanie pomyślnie przetworzone. Możemy przejść do wykończenia: 1. W OTL uruchom Sprzątanie, które skasuje z dysku kwarantannę OTL z trojanami oraz OTL. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Przeprowadź skanowanie w Malwarebytes Anti-Malware. W razie wykrycia czegoś przedstaw raport. 4. Podstawowe aktualizacje: KLIK. Wyciąg z Twojej listy zainstalowanych: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin ---> wersja dla FF już najnowsza 11.3.300.265, ale sprawdź w/w dla IE"Gadu-Gadu" = Gadu-Gadu 7.7"Microsoft SQL Server 2005" = Microsoft SQL Server 2005 ----> brak pakietu SP"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1 + Service Pack dla Microsoft SQL Server 2005: KB913089 Gadu-Gadu 7.7 też tu zakreślam, z następujących powodów: wersja o niskim stopniu bezpieczeństwa ze względu na brak szyfrowania (możliwość podsłuchu), niezgodna z własną siecią (sic!), stara a taki nowoczesny Windows 7 x64. Proponuję alternatywę WTW. Program cechuje: natywna wersja x64, tryb portable, brak reklam, dobra obsługa sieci Gadu i protokołu GG10 (a więc większa zgodność niż ... GG7), możliwość rozszerzenia przez wtyczki i modyfikacja wyglądu. Pełny opis w artykule Darmowe komunikatory. Ogólnie na dziś alternatywy z obsługą GG, które się liczą, to tylko: WTW, Kadu, Miranda, AQQ. Reszta niezdatna. . Odnośnik do komentarza
Arnate Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Na pewno skorzystam z udzielonych rad. Dziękuję serdecznie za pomoc i wskazówki. Odnośnik do komentarza
Rekomendowane odpowiedzi