ciemak666 Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Hej, mam problem z komputerem brata. Tj zaraz po zalogowaniu znika pasek startu, zamiast pulpitu pokazuje sie komunikat praca w trybie offline. Przyciski CTRL+DEL+ATL nie reagują. W trybie awaryjnym udało mi sie zrobic skan OTL Prosze o pomoc Edit: podmienione pliki z konta użytkownika OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 (edytowane) Logi pochodzą z nie tego konta co należy, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: ZROSKI-83C9C24E | User Name: Administrator | Logged in as Administrator. To konto nie było nawet czynne przez akcją. Konta mają inne foldery i rejestry, co powoduje niewidzialność wpisów kont między sobą. Proszę w Trybie awaryjnym zaloguj się na właściwe konto i zrób ponownie log OTL z opcji Skanuj, ale też ogranicz je (są zbyt ogromne) zaznaczając opcję Pomiń pliki Microsoftu. Podmień załączniki w pierwszym poście i na PW zawiadom o edycji. EDIT: Logi podmienione. Tu jest większa ilość infekcji: z przenośnych dysków autorun.inf i LNK, Brontok, keylogger Tibia sknc.dll. Ten sknc.dll podstawia systemowy plik ws2_32.dll i nie można go usunąć od ręki, bo system przestanie startować. Keylogger jest czynny, widać załadowany moduł: ========== Modules (No Company Name) ========== MOD - [2010-02-17 15:53:42 | 000,011,264 | ---- | M] () -- C:\WINDOWS\system32\sknc.dll Czyścimy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1715567821-220523388-1801674531-1004..\Run: [airzrvpzfvcxqog] C:\WINDOWS\airzrvpz.exe (Cybernet Manufacturing) O4 - HKU\S-1-5-21-1715567821-220523388-1801674531-1004..\Run: [cdoosoft] C:\DOCUME~1\dom\USTAWI~1\Temp\herss.exe File not found O4 - HKU\S-1-5-21-1715567821-220523388-1801674531-1004..\Run: [King_ar] C:\WINDOWS\system32\arking.exe File not found O4 - HKU\S-1-5-21-1715567821-220523388-1801674531-1004..\Run: [LG LinkAir] File not found O4 - HKU\S-1-5-21-1715567821-220523388-1801674531-1004..\Run: [nod32] C:\DOCUME~1\dom\USTAWI~1\Temp\nodqq.exe File not found O4 - HKU\S-1-5-21-1715567821-220523388-1801674531-1004..\Run: [rauoya] C:\Documents and Settings\dom\rauoya.exe File not found O4 - Startup: C:\Documents and Settings\dom\Menu Start\Programy\Autostart\wostock416.exe () FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113543&tt=3512_1&babsrc=HP_ss&mntrId=b4667f8b0000000000000013d3737b7f" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) :Files C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\Bron* C:\Documents and Settings\All Users\Dane aplikacji\ifpqsjlgzbolufv C:\Documents and Settings\All Users\Dane aplikacji\airzrvpz.exe C:\Documents and Settings\dom\0.22438864166995443.exe C:\Documents and Settings\dom\*.lnk C:\Documents and Settings\dom\Dane aplikacji\OpenCandy C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\bm7dr6pj.default\searchplugins\sweetim.xml C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\bm7dr6pj.default\searchplugins\askcom.xml C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\bm7dr6pj.default\searchplugins\conduit.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\WINDOWS\System32\arking2.dll C:\WINDOWS\System32\arking1.dll C:\WINDOWS\System32\arking0.dll C:\WINDOWS\tasks\systems.job C:\WINDOWS\tasks\fbagent.job C:\user.js C:\FOUND.* D:\autorun.inf E:\autorun.inf netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. Od tego momentu działasz już w Trybie normalnym Windows: 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. Odinstaluj adware: - Otwórz Firefox i w Dodatkach odinstaluj: 2YourFace, Ask Toolbar, Babylon, Giant Savings, SweetIM Toolbar for Firefox, uTorrentControl2 Community Toolbar - Otwórz Google Chrome. W Rozszerzeniach odinstaluj 2YourFace, Giant Savings, uTorrentControl2. Z listy stron startowych wymaż search.babylon.com. W zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy. - Przez Dodaj / Usuń programy odinstaluj: 2YourFace 1.0, Ask Toolbar, Ask Toolbar Updater, Babylon toolbar on IE, Giant Savings, FoxTab FLV Player, SweetIM for Messenger 3.6, SweetIM Toolbar for Internet Explorer 4.3. Przy okazji pozbądź się zbędnego Akamai NetSession Interface Service. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + GMER. Uruchom SystemLook i w oknie wklej co poniżej, klik w look: :filefind ws2_32.dll Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4. . Edytowane 12 Października 2012 przez picasso 12.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi