mf24 Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Witam. Mam zablokowany dostęp do komputera. Przy uruchamianiu pokazuje się banner na cały ekran - nie można nic zdziałać. Jedynie tryb awaryjny. Proszę o pomoc Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Logi zostały zrobione z poziomu wbudowanego w system konta Administrator a nie konta użytkownika: Computer Name: USER-9BAF852F55 | User Name: Administrator | Logged in as Administrator. Logi muszą pochodzić z konta na którym jest problem, gdyż rejestry i foldery są zróżnicowane. Niemniej, log wykazuje że infekcja atakawała katalogi wszystkich trzech kont. Wstępnie usuwanie z poziomu konta Administrator tego co widać: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe File not found O4 - HKLM..\Run: [WSDPrintProxy] C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813\WSDPrintProxy.exe () O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe File not found O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm File not found IE - HKU\S-1-5-21-1078081533-261903793-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1338841028_679078" DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\klif.sys -- (TSP) DRV - File not found [Kernel | Boot | Stopped] -- -- (cerc6) :Files C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\admin\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Program Files\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Otwórz Firefox i w Dodatkach odmontuj InnoGames Polska Community Toolbar + softonic.com. W Google Chrome z kolei do załatwienia InnoGames Polska. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
mf24 Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Może lepiej, żebym usunął użytkowników admin i user, bo utworzyłem ich tylko w celu przeskanowania komputera combofixem, niestety również te konta zostały zablokowane. EDIT. Komputer na użytkowniku admin jest dalej zablokowany, a użytkownik user póki co działa. Nie wiem czemu przy logowaniu mam możliwość wyboru tylko kont admin i user, natomiast główne konto Administrator dostępne jest tylko w trybie awaryjnym. AdwCleanerS1.txt OTL nowy.txt OTL po usunieciu 07162012_151124.txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Prawie nic nie zostało wykonane, infekcja nie została usunięta. Nie wiem co robiłeś i jak wklejałeś ten skrypt, ale same błędy (to musi być wynik złego wklejania) i linie Error: Unable to interpret. Trzeba wszystko powtórzyć: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe File not found O4 - HKLM..\Run: [WSDPrintProxy] C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813\WSDPrintProxy.exe () O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe File not found O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm File not found IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1338841028_679078" DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\klif.sys -- (TSP) DRV - File not found [Kernel | Boot | Stopped] -- -- (cerc6) :Files C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\admin\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Program Files\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Powtórka: W Google Chrome w rozszerzeniach do deinstalacji InnoGames Polska, bo nadal to widać. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. Komputer na użytkowniku admin jest dalej zablokowany, a użytkownik user póki co działa. Jak mówiłam: logi muszą pochodzić z każdego konta z osobna. Rejestry i foldery kont są różne = różne logi w części relatywnej do konta. Ale wina jest po Twojej stronie = patrz wyżej. Nie wiem czemu przy logowaniu mam możliwość wyboru tylko kont admin i user, natomiast główne konto Administrator dostępne jest tylko w trybie awaryjnym. Konto "Administrator" jest wbudowanym w system kontem serwisowym o specjalnych parametrach (i stałym SID z końcówką 500), nie powinno się go używać na codzień. Domyślnie jest widzialne tylko na ekranie logowania w Trybie awaryjnym, jeśli w systemie jest conajmniej jedno normalne konto o uprawnieniach lokalnego administratora. Tak jest zaprojektowany system, bo to konto nie jest zwyczajnym. Na systemach Vista i Windows 7 posunięto się dalej = konto "Administrator" jest domyślnie wyłączone. Zanik na ekranie nastąpił, bo utworzyłeś normalne konta: Może lepiej, żebym usunął użytkowników admin i user, bo utworzyłem ich tylko w celu przeskanowania komputera combofixem, niestety również te konta zostały zablokowane. Ja tu widzę raczej: Administratora zostawić w spokoju (patrz wyżej) i zostawić jedno z normalnych kont, a drugie out. W przeciwnym wypadku w systemie będzie tylko jedno konto Administrator używane jako główne, w razie katastrofy nie ma żadnego awaryjnego konta do operacji ratunkowych. . Odnośnik do komentarza
mf24 Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Chyba pomogło. Przesyłam raporty do sprawdzenia. Czy jesli z trybu awaryjnego usune konto user to, czy po uruchomieniu systemu w zwyklym trybie pojawi sie normlanie mój stary użytkownik Administrator? Mam na nim sporo plików (wiem, że moge się do nich dostać z usera. jednak wolałbym mieć to w prostrzej wersji) . OTL z usuwania 07172012_143255.txt OTL skan po usunieciu.txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Czy jesli z trybu awaryjnego usune konto user to, czy po uruchomieniu systemu w zwyklym trybie pojawi sie normlanie mój stary użytkownik Administrator? Mam na nim sporo plików (wiem, że moge się do nich dostać z usera. jednak wolałbym mieć to w prostrzej wersji) . Musiałbyś usunąć wszystkie pozostałe konta (admin + user), by Administrator stał się widzialny na Ekranie powitalnym Trybu normalnego lub względnie edycja rejestru usuwająca atrybut specjalnego konta z Administratora. Całkiem celowo jej nie podaję, bo próbuję Cię wmanipulować na właściwsze tory. Nadal podtrzymuję: Ja tu widzę raczej: Administratora zostawić w spokoju (patrz wyżej) i zostawić jedno z normalnych kont, a drugie out. W przeciwnym wypadku w systemie będzie tylko jedno konto Administrator używane jako główne, w razie katastrofy nie ma żadnego awaryjnego konta do operacji ratunkowych. Przy zakładaniu kont niestety wziąłeś sobie serwisanta jako konto główne. To typowy błąd przy instalacji XP. To konto jest natury awaryjnej i takim powinno pozostać. Powinno Cię zastanowić dlaczego jest zaplanowany jego zanik przy obecności innych kont. No i jeśli staje się jedynym kontem w systemie, przy poważnej usterce konta Administrator (niemożność logowania) jesteś uziemiony i nie ma żadnego konta zapasowego, by się zalogować w celach korekcyjnych. Mam na nim sporo plików (wiem, że moge się do nich dostać z usera. jednak wolałbym mieć to w prostrzej wersji) . Przenieś pliki na normalne konto? Zadanie niby wykonane, tylko że log z usuwania nie odpowiada temu jaki skrypt zadałam. W skrypcie było usuwanie większej liczby elementów, czyli także wyszczerbionych sterowników ze statusem "not found", plik adware v9 i grubsza ilość katalogów z wszystkich kont. 1. Do sprawdzenia czy są na dysku te katalogi: C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813 C:\Documents and Settings\admin\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto 2. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\klif.sys -- (TSP) DRV - File not found [Kernel | Boot | Stopped] -- -- (cerc6) [2012-06-04 22:17:08 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 3. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, przez SHIFT+DEL skasuj C:\WINDOWS\erdnt. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 6. Wykonaj podstawowe aktualizacje: KLIK. Wyciąg wersji z Twojego systemu: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin+Google Chrome 19.0.1084.52 PS. Gadu-Gadu 10 = ciężki potwór konsumujący ogromną ilość zasobów systemowych. Sugeruję obejrzenie zgrabniejszych alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory . Odnośnik do komentarza
mf24 Opublikowano 10 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2012 (edytowane) Witam. Po kliknieciu linka od znajomego na facebooku komputer zostal zablokowany. Znany problem - UKASH. Proszę o pomoc. Pozdrawiam. logi: http://www.wklejto.pl/130963 [OTL] http://www.wklejto.pl/130964 [Extras] OTL.Txt Edytowane 16 Sierpnia 2012 przez picasso Oba tematy sklejam. Ta sama infekcja w tak szybkim czasie na tym samym komputerze. //picasso Odnośnik do komentarza
Landuss Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 (edytowane) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\WlanBZXP.sys -- (SG762_XP) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\PCASp50.sys -- (PCASp50) DRV - File not found [Kernel | Boot | Stopped] -- -- (cerc6) DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\avgrkx86.sys -- (Avgrkx86) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\avgidsshimx.sys -- (AVGIDSShim) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\avgidsfilterx.sys -- (AVGIDSFilter) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver) [2012-06-04 22:17:08 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\user\M-10-6897-8685-3464\winmgr.exe () :Files netsh firewall reset /C C:\Documents and Settings\user\M-10-6897-8685-3464 C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Edytowane 12 Września 2012 przez picasso 12.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi