ttomekb Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 u nie to samo mogę prosić i pomoc?? poniżej logi z otl już raz zrobiłem tak jak w metodzie tu: http://www.cert.pl/news/5707 ale ponownie się włączyło... później już w wierszu poleceń nie czytało pendriva żeby ponowić operacje... udało się jednak uruchomić normalnie wiec zrobiłem logi i proszę i spr... Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 W raportach nie widać żadnych oznak infekcji. Czyli tylko działania kosmetyczne: 1. Usunięcie pustych wpisów i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found O4 - HKCU..\Run: [AdobeBridge] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. W OTL uruchom Sprzątanie, co skasuje z dysku OTL i kwarantannę. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń starsze Adobe / Java i zaktualizuj Firefox: KLIK. Aktualnie w systemie widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416025FF}" = Java 6 Update 25 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{35F7D0BF-08AB-42E3-A403-AF9772AC216A}" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) . Odnośnik do komentarza
ttomekb Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 zaczalem robic to co w poscie pozwyzej... po restarcie po tfc znow wyskoczyła blokada... Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 TFC? Tego przecież nie zadawałam... Skoro infekcja się ujawniła, proszę więc o nowe logi OTL. Logi mają być zrobione z poziomu konta na którym jest problem. Odnośnik do komentarza
ttomekb Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 ponizej log OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Log z OTL źle zrobiony, ustawiłeś opcje na Wszystko, a ma być wszędzie Użyj filtrowania. Problem w tym, że poprzednio dałeś log z kompletnie innego komputera i konta: Computer Name: ZSORPISZEW-114 | User Name: ZS Orpiszew | Logged in as Administrator. Aktualnie logi są z innego komputera i konta: Computer Name: TOSHIBA | User Name: Maciej | Logged in as Administrator. W tych logach widać multum infekcji. Dodatkowo jest też adware Avira SearchFree Toolbar plus Web Protection (czyli zamaskowany Ask Toolbar), ale tego nie ruszam, bo to równa się zdjęciu osłony Web Aviry. Warunkiem aktywności tej funkcji jest niestety obecność tego śmiecia.... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{1C843E2B-0B03-4CD7-8C87-746AB53B9668}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=929cf69c-efdf-4699-bc1e-33ed5bc90366&apn_sauid=8EB7864A-FECE-4BBA-90A5-50C2E1779E1E" O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Defaugfouf] C:\Users\Maciej\AppData\Roaming\Otocdu\zeon.exe File not found O4 - HKCU..\Run: [FUJQJ] C:\Users\Maciej\AppData\Roaming\vpnikeapi7.dll () O4 - HKCU..\Run: [Repyudux] C:\Users\Maciej\AppData\Roaming\Asryy\uvga.exe () :Files C:\Users\Maciej\wgsdgsdgdsgsd.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\dsgsdgdsgdsgw.reg C:\ProgramData\dsgsdgdsgdsgw.js C:\ProgramData\dsgsdgdsgdsgw.bat C:\Users\Maciej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Maciej\AppData\Roaming\Ymid C:\Users\Maciej\AppData\Roaming\Ezutil C:\Users\Maciej\AppData\Roaming\Asryy C:\Users\Maciej\AppData\Roaming\Otocdu C:\Users\Maciej\AppData\Roaming\Obgexu C:\Users\Maciej\AppData\Roaming\Itudu :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. System powinien zostać odblokowany. 2. Zrób nowy log OTL z opcji Skanuj, przypominam: wszystkie opcje Użyj filtrowania. . Odnośnik do komentarza
ttomekb Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Log z OTL źle zrobiony, ustawiłeś opcje na Wszystko, a ma być wszędzie Użyj filtrowania. Problem w tym, że poprzednio dałeś log z kompletnie innego komputera i konta: Computer Name: ZSORPISZEW-114 | User Name: ZS Orpiszew | Logged in as Administrator. Aktualnie logi są z innego komputera i konta: Computer Name: TOSHIBA | User Name: Maciej | Logged in as Administrator. fakt... mój błąd... poniżej wklejam właściwe logi. dodam jeszcze ze przed ich wykonaniem puściłem emisoft emergency kit 3 i usunął 10 trojanów... OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Ale miałeś wykonać zadane operacje i po tym dodać nowe logi. A tu nadal są te wpisy, które zadałam do usuwania, tylko nieznacznie umniejszone działaniami ze skanerem. Czyli poprawka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{1C843E2B-0B03-4CD7-8C87-746AB53B9668}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=929cf69c-efdf-4699-bc1e-33ed5bc90366&apn_sauid=8EB7864A-FECE-4BBA-90A5-50C2E1779E1E" O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Defaugfouf] C:\Users\Maciej\AppData\Roaming\Otocdu\zeon.exe File not found O4 - HKCU..\Run: [FUJQJ] rundll32 "C:\Users\Maciej\AppData\Roaming\vpnikeapi7.dll",Gmzsc File not found O4 - HKCU..\Run: [Repyudux] C:\Users\Maciej\AppData\Roaming\Asryy\uvga.exe () :Files C:\Users\Maciej\AppData\Roaming\Ymid C:\Users\Maciej\AppData\Roaming\Ezutil C:\Users\Maciej\AppData\Roaming\Asryy C:\Users\Maciej\AppData\Roaming\Otocdu C:\Users\Maciej\AppData\Roaming\Obgexu C:\Users\Maciej\AppData\Roaming\Itudu C:\ProgramData\dsgsdgdsgdsgw.reg C:\ProgramData\dsgsdgdsgdsgw.bat netsh advfirewwall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Zrób nowy log OTL z opcji Skanuj. Plik Extras po raz kolejny nie jest potrzebny. . Odnośnik do komentarza
ttomekb Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 po wykonaniu i przeskanowaniu OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Zadania pomyślnie wykonane. Kończymy: 1. Na Twojej liście zainstalowanych jest adware V9 Homepage Uninstaller. Odinstaluj. 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj stare Adobe / Java / Silverlight, zaktualizuj Google Chrome i Skype: KLIK. Wg raportu aktualnie posiadasz wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.0) MUI"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Google Chrome" = Google Chrome 23.0.1271.97 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) . Odnośnik do komentarza
ttomekb Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 wygląda na to że wszystko działa serdecznie dziękuję Odnośnik do komentarza
Rekomendowane odpowiedzi