JarekW Opublikowano 2 Listopada 2012 Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Do komputera dostał się wirus i zablokowal go calkowicie. Nie uruchamia się też w tr. awaryjnym. Proszę o pomoc. Raport z otl-a załączyłem OTL.txt Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2012 Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Co to znaczy "nie uruchamia się w Trybie awaryjnym"? W Trybie awaryjnym nie działa ta infekcja. Jeśli Tryb awaryjny nie startuje, powód jest inny. Nie opisałeś w ogóle co widzisz. 1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL IE - HKU\Jarek_ON_C\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found O3 - HKU\Jarek_ON_C\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [taskschd] C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3861\taskschd.exe (Microsoft Corporation) O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} "http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand] -- -- (USBAAPL) DRV - File not found [File_System | Boot] -- -- (Avgrkx86) DRV - File not found [Kernel | Auto] -- -- (adfs) :Files C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3861 C:\Documents and Settings\Jarek\Dane aplikacji\hellomoto C:\Documents and Settings\Jarek\Dane aplikacji\Immunet C:\Documents and Settings\Jarek\Dane aplikacji\OpenCandy C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\n7-89-o9-3r-4t-r9 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\SITEguard C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\STOPzilla! :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. System zostanie odblokowany. Przejdź w Tryb normalny Windows. 2. Usuń szczątki po AVG posługując się narzędziem AVG Remover. 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034 4. Na Pulpicie masz plik o wadliwej nazwie, próba skasowania wyrzuci błąd, że taki plik nie istnieje: File not found -- C:\Documents and Settings\Jarek\Pulpit\CAQVEZML. Poradzi sobie z nim Delete FXP Files. 5. Zrób standardowe logi OTL z opcji Skanuj, włącznie z plikiem Extras (opcja "Rejestr - skan dodatkowy" musi być ustawiona na "Użyj filtrowania"). . Odnośnik do komentarza
JarekW Opublikowano 2 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Dziękuję, wszystko juz jest dobrze. Gdy czekałem na odpowiedź znalazłem całkiem niezłą, choć nieco "fizyczną", ale skuteczną radę. Tylko trzeba być szybkim. Uruchamiamy normalnie system, zaraz po pojawieniu sie pulpitu kończymy proces explorer.exe, po czym uruchamiamy proces ponownie, tzn. explorer.exe i system działa, trojan go nie blokuje. Można wtedy użyć dowolnego narzędzia do usunięcia robaka np. malwarebytes. Załączam logi z otl-a. Jeszcze raz bardzo dziękuję drogiej Pani. Pozdrawiam. p.s. przy tym ataku nie działał tryb awaryjny, tzn. po próbie uruchomienia komputera w tym trybie przez chwilę coś się ładowało po czym wyłączał się monitor z powodu braku sygnału, komputer co prawda "chodził" no ale nic nie można było dalej zdziałać. Jeszcze raz pozdrawiam ) Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2012 Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Log z OTL neprawidłowo wykonany, opcję Rejestr ustawiłeś na Wszystko, a miało być Użyj filtrowania. Na przyszłość: tak jak w opisie konfiguracji na forum = wszystkie sekcje ustawione na Użyj filtrowana. Gdy czekałem na odpowiedź znalazłem całkiem niezłą, choć nieco "fizyczną", ale skuteczną radę. Tylko trzeba być szybkim. Uruchamiamy normalnie system, zaraz po pojawieniu sie pulpitu kończymy proces explorer.exe, po czym uruchamiamy proces ponownie, tzn. explorer.exe i system działa, trojan go nie blokuje. Można wtedy użyć dowolnego narzędzia do usunięcia robaka np. malwarebytes. Inne metody to np. odpięcie sieci, wtedy też prawdopodobieństwo niedziałania blokady. Niestety te metody nie zawsze działają, jest tu na forum dość sporo przypadków odstępstw od reguły. I akurat trafiłeś na wariant mniej agresywny, są i takie które ładują się przez wpis Shell bieżącego użytkownika, nie pomoże wtedy przeładowanie explorer.exe, bo jako powłoka ładuje sę blokada, a jedyny Tryb awaryjny który w tej sytuacji wchodzi, to ten z obsługą Wiersza polecenia (pozbawiony graficznego interfejsu). Usuwanie pomyślnie przeprowadzone i możemy przejść do finalizacji: 1. Drobne poprawki, w tym usuwanie szczątków Google Chrome (nie wygląda na zainstalowane). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledItems: {1E73965B-8B48-48be-9C8D-68B920ABC1C4}:10.0.0.1209 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://tbsearch.ask.com/redirect?client=ie&tb=BT3&o=&src=crm&q={searchTerms}&locale=" IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} "http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab" (Reg Error: Key error.) O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found :Files C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\1ov7wyad.default\searchplugins\askcom.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Google] Klik w Wykonaj skrypt. Gdy zadanie się ukończy, w OTL uruchom Sprzątanie. 2. Na Pulpicie nadal ten plik CAQVEZML. z wadliwą nazwą: File not found -- C:\Documents and Settings\Jarek\Pulpit\CAQVEZML. Jaki jest problem z jego usunięciem za pomocą Delete FXP Files? 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. W Twoim raporcie widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java 6 Update 20"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox) ----> już jest najnowsza"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Mozilla Thunderbird 10.0.2 (x86 pl)" = Mozilla Thunderbird 10.0.2 (x86 pl) Wszystkie stare Java i Adobe odinstaluj. . Odnośnik do komentarza
JarekW Opublikowano 3 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2012 Jeszcze raz dziękuję, nie było problemu z usunięciem pliku z wadliwą nazwą, ściągnąłem Delete FXP Files i usunąłem. A Tryb Awaryjny z wieszem poleceń też mi się wczoraj nie uruchamiał. Pozdrawiam serdecznie. Jarek Odnośnik do komentarza
Rekomendowane odpowiedzi