heel Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Witam, zwracam się z grzeczna prośbą w sprawie zgodnie z tematem, wczoraj próbowałem się tego nieszczęścia pozbyć z pomocą filutki78 z forum pclab ale niestety bez powodzenia.. i zostałem skierowany tutaj do picasso pozdrawiam i serdecznie dziękuję pp Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Pokaż mi link do tematu, gdzie pierwotnie to rozwiązywano. W podanym tu logu brak oznak infekcji w stanie czynnym. Tak więc czy logi zostały zrobione z poziomu właściwego konta użytkownika? Te pochodzą z piotra (a robione w Trybie normalnym = czyli blokada nie działa na tym koncie), ale wg OTL w systemie potencjalnie kont masa (ewa, katarzyna, kinga, marta, natalia, sylwia, user ...). Przypuszczalnie zainfekowanym jest marta, gdyż widać katalog poboczny infekcji (hellomoto): [2012-09-17 14:44:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\marta.kardas\Dane aplikacji\hellomoto Logi muszą być zrobione z poziomu konta na którym jest problem, gdyż konta mają inne foldery i rejestry (niewidzialność infekcji z poziomu innych kont, jeśli infekcja działa po stronie bieżącego użytkownika). Czyli: uruchom Tryb awaryjny, wejdź na właściwe konto i zrób nowe logi. . Odnośnik do komentarza
heel Opublikowano 18 Września 2012 Autor Zgłoś Udostępnij Opublikowano 18 Września 2012 już to robię http://forum.pclab.p.../page__st__1420 pp mam problem z zalogowaniem do trybu awaryjnego gdyż są to konta domenowe a nie lokalne może jakaś podpowiedź? Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam. Czyli tak jak mówiłam: złe konto. Usuwanie tylko hellomoto z poziomu innego konta mija się z celem. On wraca, ponieważ w starcie tamtego konta siedzi wpis główny i uzupełnia ubytek. Ten hellomoto to tylko towarzyszący infekcji folder ale nie jej główny motor. mam problem z zalogowaniem do trybu awaryjnego gdyż są to konta domenowe a nie lokalnemoże jakaś podpowiedź? Tzn. jaki problem? Co Ci się pokazuje? Czy siedząc na koncie piotrek jesteś w stanie zrobić DIR innych katalogów kont? Konkretnie tu mi chodzi o pozyskanie zawartości tego katalogu: C:\Documents and Settings\marta.kardas\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows W środku tego katalogu powinien być cyfrowy podkatalog, utworzony przez infekcję. Kasując równocześnie ten cyfrowy + hellomoto, po zalogowaniu w Trybie normalnym na konto zainfekowane blokada się już nie uruchomi i zostanie tylko doczyszczenie rejestru. . Odnośnik do komentarza
heel Opublikowano 18 Września 2012 Autor Zgłoś Udostępnij Opublikowano 18 Września 2012 usunąłem: C:\Documents and Settings\marta.kardas\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2987 C:\Documents and Settings\marta.kardas\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2987\df7b45e3 C:\Documents and Settings\marta.kardas\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2987\secproc_ssp.exe oraz: C:\Documents and Settings\marta.kardas\Dane aplikacji\hellomoto Wielkie dzięki za pomoc i cierpliwość pozdrawiam pp Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Teraz loguj się na to konto marta (Tryb normalny, bo infekcja nie uruchomi się) i zrób logi z OTL. Po infekcji pozostał wpis startowy kierujący na secproc_ssp.exe, wpis jest w rejestrze konta marta i rejestr ten musi zostać załadowany (tu przez logowanie na konto), by doczyścić ten wpis. . Odnośnik do komentarza
heel Opublikowano 18 Września 2012 Autor Zgłoś Udostępnij Opublikowano 18 Września 2012 Oto logi Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Nie usuwałeś aby już przypadkiem czegoś (albo np. MBAM) lub akcja wyłączająca w msconfig? Log nie wykazuje, by wpis startowy tu występował. Wcześniej powinien być, gdyż figurował folder C:\Documents and Settings\marta.kardas\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2987. Potwierdź, że blokada UKASH nie występuje nigdzie na żadnym z kont. Gdy to potwierdzisz, na zakończenie będą proste akcje: 1. Na tym koncie marta widać szczątkowy odpadek po infekcji Live Security Platinum: ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-3307076051-3629184343-401849846-2701\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Live Security Platinum" = Live Security Platinum Start > Uruchom > regedit i z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum 2. W OTL uruchom Sprzątanie, które skasuje z dysku flaki OTL i Avenger. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji poniższe softy (KLIK). ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 20 ----> odinstaluj tę starą (w systemie już jest najnowsza Java 7 Update 7)"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> doinstaluj pakiet SP3"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera) A Spybot - Search & Destroy do deinstalacji (przestarzały soft). . Odnośnik do komentarza
heel Opublikowano 18 Września 2012 Autor Zgłoś Udostępnij Opublikowano 18 Września 2012 Jeszcze raz dziękuję za pomoc zrewanżuję się dotacją pozdrawiam pp Odnośnik do komentarza
Rekomendowane odpowiedzi