kolo33 Opublikowano 19 Września 2012 Zgłoś Udostępnij Opublikowano 19 Września 2012 Witam WIelka prośba o sprawdzenie logów i pozbycie się wszystkich syfów Niestety w przypadku Gmer myślałem że odinstalowałem Alcohol, jednak zostały jakieś sterowniki ComboFix.txt OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2012 Zgłoś Udostępnij Opublikowano 19 Września 2012 Na przyszłość na temat używania ComboFix: KLIK. Uruchomiony niepotrzebnie, log nie wykazuje by cokolwiek z zakresu infekcji robił. Czy używałeś czegoś innego do czyszczenia infekcji? Wg logów są do doczyszczenia tylko małe odpadki: 1. Przez Dodaj / Usuń programy odinstaluj wątpliwy Przyspiesz Komputer oraz archaiczny Skaner on-line mks_vir. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\ba\Dane aplikacji\hellomoto C:\Documents and Settings\ba\Dane aplikacji\OpenCandy C:\Documents and Settings\ba\Dane aplikacji\pdfforge C:\Documents and Settings\All Users\Dane aplikacji\Ask :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{2A9F32C1-C188-427F-B4BA-D4B6812BCE83}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{2A9F32C1-C188-427F-B4BA-D4B6812BCE83}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Services Catchme :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 3. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nowy skan niepotrzebny. Niestety w przypadku Gmer myślałem że odinstalowałem Alcohol, jednak zostały jakieś sterowniki Nie wystarczy sama deinstalacja Alcohola, należy jeszcze odinstalować główny sterownik SPTD: DRV - File not found [Kernel | On_Demand | Unknown] -- -- (abgprp6v)DRV - [2011-12-25 20:34:20 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Ale zostaw to już. . Odnośnik do komentarza
kolo33 Opublikowano 19 Września 2012 Autor Zgłoś Udostępnij Opublikowano 19 Września 2012 Nie usuwałem niczym innym, wszedłem w tryb awaryjny i użyłem combofix po czym mogłem już uruchomić komputer w normalnym trybie bez pojawienia się znanego ekranu. Następnie użyłem pozostałych programów (OTL itd.). Combofix utworzył kilka plików w folderze systemowym Windows, zostaną one usunięte przy odinstalowywaniu? Usuwanie.txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2012 Zgłoś Udostępnij Opublikowano 19 Września 2012 Skrypt wykonany. Nie usuwałem niczym innym, wszedłem w tryb awaryjny i użyłem combofix po czym mogłem już uruchomić komputer w normalnym trybie bez pojawienia się znanego ekranu. ComboFix nie wykazuje, by cokolwiek od tej infekcji usuwał, brak takich odczytów w sekcji usuniętych. Na wszelki wypadek podaj mi skan dodatkowy. Uruchom SystemLook i w oknie wklej: :dir C:\Documents and Settings\ba\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows /s Klik w Look. Przedstaw wynikowy raport. . Odnośnik do komentarza
kolo33 Opublikowano 19 Września 2012 Autor Zgłoś Udostępnij Opublikowano 19 Września 2012 Zrobione SystemLook 30.07.11 by jpshortstuff Log created at 23:37 on 19/09/2012 by ba Administrator - Elevation successful ========== dir ========== C:\Documents and Settings\ba\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows - Parameters: "/s" ---Files--- UsrClass.dat --ah--- 524288 bytes [21:20 21/12/2011] [21:32 19/09/2012] UsrClass.dat.LOG --ah--- 1024 bytes [21:20 21/12/2011] [21:32 19/09/2012] C:\Documents and Settings\ba\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\370 d------ [22:57 18/09/2012] cc8dba72 --a---- 20564 bytes [22:57 18/09/2012] [22:57 18/09/2012] SyncHostps.exe --a---- 128000 bytes [22:57 18/09/2012] [22:57 18/09/2012] -= EOF =- Odnośnik do komentarza
picasso Opublikowano 19 Września 2012 Zgłoś Udostępnij Opublikowano 19 Września 2012 Nie wiem w jaki sposób usunął się wpis w starcie (nie wygląda na to, by ComboFix to robił), ale wcale nie zostały usunięte składniki infekcji z dysku. W pierwszym OTL był folder hellomoto infekcji (już usunięty skryptem), a tu SystemLook ujawnia że istnieje także pełny główny folder tej infekcji, niczym nie naruszony: C:\Documents and Settings\ba\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\370 d------ [22:57 18/09/2012]cc8dba72 --a---- 20564 bytes [22:57 18/09/2012] [22:57 18/09/2012]SyncHostps.exe --a---- 128000 bytes [22:57 18/09/2012] [22:57 18/09/2012] 1. Przez SHIFT+DEL skasuj ten folder z dysku: C:\Documents and Settings\ba\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\370 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę: "C:\Documents and settings\ba\Moje dokumenty\ComboFix.exe" /uninstall Gdy ukończy ona działanie, w OTL uruchom Sprzątanie. 3. Zaktualizuj wyliczone poniżej aplikacje. Szczegóły: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj pakiet SP3"HijackThis" = HijackThis 1.99.1 ----> odinstaluj to próchno PS. I sugeruję też rozejrzenie się za alternatywami dla Gadu-Gadu 10. W temacie Darmowe komunikatory skup się na opisach WTW, Kadu, Miranda, AQQ. . Odnośnik do komentarza
kolo33 Opublikowano 19 Września 2012 Autor Zgłoś Udostępnij Opublikowano 19 Września 2012 OK usunięte, dziękuje serdecznie dobra Pani za pomoc Pozdrawiam ! Odnośnik do komentarza
Rekomendowane odpowiedzi