Fak3 Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Witam, dziś klikając przypadkiem bezrozwagi zaaplikowałem sobie te oto dwa tutułowe wirusy (przypadkowe klikniecie w folder na nieciekawym pendrivie), już raz to miałem ale wtedy podrodze było mi z formatem także nie było problemu, teraz chcę tego uniknąć więc piszę z prośbą do was. Objawy: - blokada regedit, - brak opcji folderów. Tylko takie dostrzegłem, dodam jeszcze, że w procesach nie ma tylko plików, chyba z racji tego, że wyłączyłem je w msconfigu gdzie się znajdują. Dodam jeszcze, że w usuwaniu programów nie ma żadnych plików adware, chyba że nie dowidzę. Jeżeli trzeba jakieś dodatkowe informacje to wiadomo wypiszę. Proszę o pomoc jak i z góry dziękuje OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 Log z OTL: wszystkie sekcje mają być na Użyj filtrowania, a Ty ustawiłeś Procesy + Moduły na Wszystko. Zawitał do Ciebie robal Brontok, prócz wpisów i blokad które punktujesz, jest tu więcej modyfikacji i plików na dysku. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [bron-Spizaetus] File not found O4 - HKCU..\Run: [Tok-Cirrhatus] File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - ("C:\Windows\sembako-dezjkni.exe") - C:\Windows\sembako-dezjkni.exe () :Files C:\Users\Administrator\AppData\Local\*.exe C:\Windows\SysWow64\cmd-bro-nkx.exe C:\Windows\SysWow64\sistem.sys C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\old :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przez Panel sterowania odinstaluj adware uTorrentControl_v2 Toolbar (log pokazuje wpis na liście zainstalowanych). 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL na warunku dostosowanym: w sekcji Własne opcje skanowania / skrypt wpisz msconfig i klik w Skanuj. Pliku Extras mi nie dołączaj po raz drugi. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
Fak3 Opublikowano 25 Października 2012 Autor Zgłoś Udostępnij Opublikowano 25 Października 2012 Opcje folderów i regedit dziają, msconfig nadal są. OTL.Txt AdwCleanerR1.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 msconfig nadal są. Oczywiście, przecież wpisy wyłączone via msconfig nie były tu czyszczone (OTL ich nie pokazuje w skanie domyślnym), dopiero pobieram o nich dane w skanie dostosowanym. Wpisy te nie mają i tak znaczenia, w rozumieniu czynnej infekcji, są to wpisy nieaktywne. 1. Poprawka na wpisy wyłączone w msconfig oraz wyszukiwarki w Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{7473b6bd-4691-4744-a82b-7854eb3d70b6}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób skan za pomocą Kaspersky Virus Removal Tool. Jeśli coś wykryje, przedstaw wyniki typu "Detected" do oceny, inne typy mnie nie interesują. . Odnośnik do komentarza
Fak3 Opublikowano 25 Października 2012 Autor Zgłoś Udostępnij Opublikowano 25 Października 2012 Wszystko wydaje się być ok, dziękuje za pomoc. Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 Na zakończenie wykonaj ważne aktualizacje Windows i aplikacji: KLIK. W Twoim logu widać: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"Office14.STANDARDR" = Microsoft Office Standard 2010 Czyli na widoku: kompletna aktualizacja Windows (pakiet SP1 + IE9 i wszystkie łaty wydane po), aktualizacja Office (pakiet SP1) oraz Adobe Reader. . Odnośnik do komentarza
Rekomendowane odpowiedzi