izzo Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Witam Po otwarciu pliku jpg na fb coś dziwnego zaczęło dziać się z komputerem. Po przeskanowaniu wyszło to : screen z MBM http://imageshack.us/f/35/skanq.png/ OTL i Extras wrzucone . Wynik logu z Gmera to puste okno . OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Po akcji MBAM zostało tylko doczyszczenie, bo na dysku nadal są obiekty tej infekcji. Przy okazji czyszczenie szczątków po innych programach. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\wmptb64.exe.vir C:\Documents and Settings\admin\Dane aplikacji\Okxu C:\Documents and Settings\admin\Dane aplikacji\Ipciax C:\Documents and Settings\admin\Dane aplikacji\Adhibo C:\Documents and Settings\admin\Dane aplikacji\Babylon C:\Documents and Settings\admin\Dane aplikacji\ProgSense C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\admin\Dane aplikacji\PCToolsFirewallPlus C:\Documents and Settings\All Users\Dane aplikacji\CPA_VA C:\Documents and Settings\All Users\Dane aplikacji\ESET :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\wmptb64.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\wmptb64.exe"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{C55BBCD6-41AD-48AD-9953-3609C48EACC7}"=- :Services lmfpl :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Doczyść szczątki po ESET posługując się narzędziem ESET Uninstaller. Narzędzie działa tylko z poziomu Trybu awaryjnego Windows. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
izzo Opublikowano 9 Września 2012 Autor Zgłoś Udostępnij Opublikowano 9 Września 2012 Po wklejeniu i wykonaniu skryptu system "zamroził się" działał tylko kursor następnie przy programie ukazało się "brak odpowiedzi". Trwało to ponad 30 min skończyło się resetem. Odnośnik do komentarza
picasso Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Wejdź w Tryb awaryjny Windows i ponów próbę. Odnośnik do komentarza
izzo Opublikowano 9 Września 2012 Autor Zgłoś Udostępnij Opublikowano 9 Września 2012 W trybie awaryjnym poszło błyskawicznie . Nowe logi : OTL1.TxtPobieranie informacji ... log_po_resecie.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 O ile skrypt wykonany, to powątpiewam w wykonanie tego: picasso napisał(a): 2. Doczyść szczątki po ESET posługując się narzędziem ESET Uninstaller. Narzędzie działa tylko z poziomu Trybu awaryjnego Windows. W logu nadal widzialna odpadkowa usługa NOD, a po użyciu ESET Uninstaller powinna zniknąć. . Odnośnik do komentarza
izzo Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 W dniu 10.09.2012 o 06:36, picasso napisał(a): W logu nadal widzialna odpadkowa usługa NOD, a po użyciu ESET Uninstaller powinna zniknąć. Tak, w logu z OTL tego nie widać ponieważ dobijanie eset wykonałem po użyciu OTL . ESETUninstaller.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Gdy zadaję określoną kolejność, ma to cel. No to możemy kończyć. 1. Mikro poprawka (drobny szczątek w rejestrze nie zniknął). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. Klik w Wykonaj skrypt. Tym razem bez restartu poleci. 2. W OTL uruchom Sprzątanie, które usunie nabój OTL i Avenger. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji zakreślone poniżej aplikacje: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) . Odnośnik do komentarza
Rekomendowane odpowiedzi