mariofk Opublikowano 30 Lipca 2012 Zgłoś Udostępnij Opublikowano 30 Lipca 2012 Problem podobny jak u innych użytkowników w ostatnich dniach. Program Live Security Platinum skanuje system wyświetla informacje o wirusach. Blokuje dostęp do wszystkich plików wykonywalnych (nie tylko .exe również .com i .scr blokował). Udało mi się jednak wygenerować raporty OTL, które załączam niżej. Dodam jeszcze, że w przeciwieńśtwie do innych użytkowników system uruchamia się bez problemu w trybie normalnym. Wirus pojawił się na komputerze mimo zainstalowanego oprogramowania antywirusowego F-Secure. Bardzo proszę o pomoc. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 30 Lipca 2012 Zgłoś Udostępnij Opublikowano 30 Lipca 2012 Niestety oprócz tytułowej infekcji masz jeszcze do pary trojana ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
mariofk Opublikowano 30 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2012 Załączam raport z SystemLook SystemLook 30.07.11 by jpshortstuff Log created at 13:07 on 30/07/2012 by ELGA Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\ELGA\Ustawienia lokalne\Dane aplikacji\{678efc46-5e89-9021-601a-ed81748a159f}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{678efc46-5e89-9021-601a-ed81748a159f}\n." "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [07:38 28/05/2009] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445 C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [14:14 28/05/2009] [12:00 15/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 1. Start > Uruchom > cmd i wklep kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\DlinkUDSMBus.sys -- (DlinkUDSMBus) FF - prefs.js..extensions.enabledItems: support@burn4free-toolbar.com:1.0 [2012-05-07 16:54:01 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\ELGA\Dane aplikacji\Mozilla\Firefox\Profiles\p494zywl.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2009-12-06 17:34:21 | 000,000,000 | ---D | M] (Burn4Free Toolbar) -- C:\PROGRAM FILES\BURN4FREE TOOLBAR\V3.3.0.3\FIREFOX O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1060284298-1682526488-1417001333-1004..\RunOnce: [036DFF590007D9915E7542E981CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\036DFF590007D9915E7542E981CB3F95\036DFF590007D9915E7542E981CB3F95.exe () :Files C:\Documents and Settings\ELGA\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF590007D9915E7542E981CB3F95 C:\Documents and Settings\ELGA\Pulpit\Live Security Platinum.lnk C:\WINDOWS\Installer\{678efc46-5e89-9021-601a-ed81748a159f} C:\Documents and Settings\ELGA\Ustawienia lokalne\Dane aplikacji\{678efc46-5e89-9021-601a-ed81748a159f} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Burn4Free Toolbar / uTorrentBar Toolbar / Live Security Platinum 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook. Odnośnik do komentarza
mariofk Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Wszystko wykonane zgodnie z poleceniami. Wygląda na to że pomogło. Załączam logi. SystemLook 30.07.11 by jpshortstuff Log created at 10:50 on 31/07/2012 by ELGA Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [07:38 28/05/2009] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445 C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [14:14 28/05/2009] [12:00 15/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F -= EOF =- OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox (3.6.2pre)" = Mozilla Firefox (3.6.2pre) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
mariofk Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Ok, wszystko zrobione według poleceń i działa. Dzięki wielkie za pomoc. W ramach wdzięczności wsparłem Wasze forum dotacją. Odnośnik do komentarza
Rekomendowane odpowiedzi