zanik Opublikowano 10 Grudnia 2012 Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 Witam Dostałem dzisiaj komputer (Windows XP Home) na którym rzekomo pojawił sie 2 dni temu komunikat - "zablokowany komputer" i nic więcej nie można było już zrobić. Dzisiaj odpaliłem go ale nic już nie wyskakuje. Pojawia sie natomiast komunikat RUNDLL: Wystąpił błąd podczas ładowania c:\Docume~1\kasia\wgsdgsdgdsgsd.exe. Nie można odnaleźć określonego modułu" Na kompie zainstalowany jest NOD32. Wklejam też loga z NOD-a. Wygląda na to, ze co nieco usunął NOD natomiast rejestru juz nie poprawił. Jeżeli będzie łaskaw to poproszę o skrypt OTL.Txt Extras.Txt nod log.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2012 Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 "Rzekomo"? Na pewno, w końcu są pliki tej infekcji na dysku. Należy to doczyścić. Poza tym, system zaśmiecony adware. 1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Babylon toolbar, Brothersoft Toolbar, Complitly, Download Updater (AOL LLC), Funmoods on IE and Chrome, Searchcore Toolbar, SpecialSavings, Updater Service, Winamp Toolbar, Windows Searchqu Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\kasia\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\WINDOWS\tasks\At*.job C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\kasia\Dane aplikacji\OpenCandy C:\Documents and Settings\kasia\Dane aplikacji\PriceGong :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2426}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=151111&systemid=426&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120407085029296&tb_oid=07-04-2012&tb_mrud=07-04-2012" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2426}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=151111&systemid=426&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2463487" IE - HKCU\..\SearchScopes\{B727824D-18C3-45C6-AD7C-050B4A457F00}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=0517E399-BEC8-40E5-8C13-DB21B94AD559&apn_sauid=04A3574F-F915-48BE-A7C1-855DD2D9618A" IE - HKCU\..\SearchScopes\{E3D25BFF-12AF-464C-9098-920107A4A2D9}: "URL" = "http://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120407085029296&tb_oid=07-04-2012&tb_mrud=07-04-2012" O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~1\SEARCH~2\Datamngr\DATAMN~1.EXE File not found O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe File not found O4 - HKCU..\Run: [gStart] C:\Garmin\gStart.exe File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- C:\Program Files\Blaze Media Pro\NMSAccess32.exe -- (NMSAccess) SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService\ibsvc.exe /SERVICE -- (IBUpdaterService) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
zanik Opublikowano 10 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 Dziękuję ślicznie za skrypt. Uruchomiłem go i mam log końcowy (12102012_205409.log). Następnie AdwCleaner i log z niego (AdwCleaner[s1].txt). Na koniec jeszcze raz skan OTL i log (OTL.Txt). Proszę o sprawdzenie czy wszystko jest OK 12102012_205409.txt AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 Zadania pomyślnie wykonane. Tylko poprawki i kończymy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL O3 - HKLM\..\Toolbar: (no name) - !{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - No CLSID value found. O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab" (Reg Error: Value error.) Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W Google Chrome nadal widoczna strona startowa adware www.searchcore.net. Zrekonfiguruj opcje. 3. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz w systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 29"{91120415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Google Chrome" = Google Chrome W skrócie: odinstaluj starą Java oraz produkty Adobe, zastąp najnowszymi, zaktualizuj OpenOffice.org, sprawdź wersje Adobe Flash w wersji IE + Google Chrome (nie widzę ich w logu), zainstaluj pakiet SP3 dla Office 2003. 6. Jest tu zainstalowany stary ESET, na dodatek jedzie na cracku. Do wymiany. . Odnośnik do komentarza
zanik Opublikowano 16 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Dzięki za pomoc. Wszystko już śmiga jak należy. Softy zostały zaktualizowane. Jedyne co mnie zastanawia, że napisałeś "ESET, na dodatek jedzie na cracku". Kasia mówiła mi , że ma wykupioną licencję. Skąd taki wniosek? Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Apropos "napisałeś" = jestem kobietą. Wniosek na podstawie tego co widać w raporcie, czyli zainstalowany crack "NOD32 FiX": ========== Services (SafeList) ========== SRV - [2008-04-15 13:00:00 | 000,003,584 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\regedt32.exe -- (NOD32FiXTemDono) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Eset NOD32 v3.0.642 FiX1.2 by TemDono_is1" = NOD32 v3.0.642 FiX1.2 by TemDono (31 days remaining forever up . Odnośnik do komentarza
zanik Opublikowano 16 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 OO ja.. ale wtopiłem. Wybacz mi. Nie przejrzałem twojego profilu. Zasugerowałem się "Administratorem". Naprawdę podziwiam Ciebie za wiedzę i bezinteresowną chęć walki z cyberzarazą Sprawie NOD FIX przyjrzę się z bliska jak tylko komputer trafi w moje ręce. Odnośnik do komentarza
Rekomendowane odpowiedzi