Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

"Zaśmiecony" komputer

polska

Przez polska
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano (edytowane)

Sytuacja niestety nie jest ciekawa. Oprócz "śmieci" to jest wirus Sality, który infekcuje pliki .exe na całym dysku komputera i dowodem jest ta usługa od Sality:

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pprmp.sys -- (amsint32)

 

Spróbujesz z tym powalczyć, ale w niektórych przypadkach nie jest to łatwe i nie zawsze kończy się powodzeniem.

 

1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Running] -- C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe WMP54Gv4.exe -- (WMP54Gv4SVC)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pprmp.sys -- (amsint32)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1340382096_300259
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1340382096_300259
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={92FE112C-03A0-4607-A5A9-E88218BEEF58}"
IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1340382096_300259
IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1340382096_300259
IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=dpgppc&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/howfytdl/{FCC8DA4F-3FA8-4759-8A97-DEA5814FEC05}?q={searchTerms}"
IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3214568"
IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={92FE112C-03A0-4607-A5A9-E88218BEEF58}"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={92FE112C-03A0-4607-A5A9-E88218BEEF58}"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Yahoo"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Yahoo"
[2012-06-18 07:39:26 | 000,004,002 | ---- | M] () -- C:\Documents and Settings\D 1\Dane aplikacji\Mozilla\Firefox\Profiles\p59g6let.default\searchplugins\sweetim.xml
[2011-11-03 18:14:57 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
[2012-05-18 08:35:37 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:Files
autorun.inf /alldrives
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-448539723-1708537768-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / DealPly / Complitly / Babylon toolbar on IE / Facemoods Toolbar / FYTDL DB Toolbar / V9 HomeTool / Winamp Toolbar / FoxTab PDF Creator (program adware) / Przyspiesz Komputer - Kompletna deinstalacja (śmieć a nie przyspieszacz)

 

Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / FreeMake Community Toolbar / DealPly

 

5. Uruchom AdwCleaner z opcji Delete

 

6. Uruchamiasz OTL ponownie (zaznacz wszystkie opcje na "Użyj filtrowania"), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz daj znać co pokazał SalityKiller.

Edytowane przez picasso
25.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...