Jubey Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 Witam Jest to mój pierwszy post i od razu z prośbą o pomoc. Od pewnego czasu nie mogę dostać się do bankowego konta internetowego, jest to możliwe tylko w trybie awaryjnym. Czytałem kilka tematów i prawdopodobnie wynika to z obecności wirusa typu Conficker. Serdecznie proszę o pomoc. Oto obowiązkowe logi: Extras.Txt FSS.txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2012 Zgłoś Udostępnij Opublikowano 6 Października 2012 Log z GMER zrobiony w nieprawidłowym środowisku, przy czynnym emulatorze SPTD (KLIK). Infekcja jest obecna. Ponadto, masz uszkodzoną usługę Automatycznych aktualizacji: Windows Update:============wuauserv Service is not running. Checking service configuration:Checking Start type: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.Checking ImagePath: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.Checking ServiceDll: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist. Poziom zabezpieczeń krytyczny: w ogóle nie aktualizowany Windows (brak SP3+IE8 i łat wydanych po) i stary Symantec. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [biupw] E:\Documents and Settings\Krzyś\Dane aplikacji\Myroo\esny.exe () [2012-09-13 19:07:36 | 000,000,000 | ---D | C] -- E:\Documents and Settings\Krzyś\Dane aplikacji\Xuinf [2012-09-13 19:07:36 | 000,000,000 | ---D | C] -- E:\Documents and Settings\Krzyś\Dane aplikacji\Ogku [2012-09-13 19:07:36 | 000,000,000 | ---D | C] -- E:\Documents and Settings\Krzyś\Dane aplikacji\Myroo :Services catchme MBAMSwissArmy :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
Jubey Opublikowano 6 Października 2012 Autor Zgłoś Udostępnij Opublikowano 6 Października 2012 Chyba wszystko wraca do normy, już mogę się zalogować do banku. Jest Pani niesamowita : ) OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2012 Zgłoś Udostępnij Opublikowano 6 Października 2012 (edytowane) Infekcja usunięta, ale tu się ze zmęczenia pomyliłam: SRV - File not found [Auto | Unknown] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv) Jakoś nie zwróciłam uwagi, że masz Windows na E, a import uwzględniał literkę C. 1. Popraw sobie w/w ścieżkę. Start > Uruchom > regedit i wejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik w wartość ServiceDll i zamień w ścieżce literkę dysku C > E. 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTl wraz z kwarantanną. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Edytowane 6 Listopada 2012 przez picasso 6.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi