kelly2 Opublikowano 26 Lutego 2013 Zgłoś Udostępnij Opublikowano 26 Lutego 2013 Prośba o kod czyszczący. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2013 Zgłoś Udostępnij Opublikowano 26 Lutego 2013 Zasady działu na temat porządnego opisu problemu: KLIK. Nie spławiaj mnie "prośbą o kod", opisz co robiłeś, bo w raporcie nie widać w ogóle, by infekcja UKASH była ładowana. Jest tylko jeden odpadkowy plik tej infekcji na dysku, ale nie wpis startowy, oraz źle wyczyszczona stara infekcja Smart Protection 2012. Doczyść, w tym szczątki po ArcaBit i inne wątpliwe obiekty: 1. Przez Panel sterowania odinstaluj dziadoskie skanery: Skaner on-line mks_vir, STOPzilla. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Saturn\AppData\Roaming\skype.dat C:\Users\Saturn\g2mdlhlpx.exe C:\ProgramData\ojobkspa.ako :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Smart Protection 2012] :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\control panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\control panel present O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\restrictions present O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld -- (MySQL) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaUpdate\update.exe -- (AVUpdate) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaTasksService.exe -- (AVTasks2) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe -- (ArcaRemoteService) SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\arcabit.core.loggingservice.exe -- (ArcaBit.Core.LoggingService) SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\arcabit.core.configurator2.exe -- (ArcaBit.Core.Configurator) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ArcaMainSV.exe -- (ABMainSV) DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABTDI.sys -- (ABTDI) DRV:64bit: - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABFLT.sys -- (ABFLT) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. . Odnośnik do komentarza
kelly2 Opublikowano 19 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2013 wklejam otl. nie znam się na komputerach. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 19 Marca 2013 Zgłoś Udostępnij Opublikowano 19 Marca 2013 Oprócz infekcji do usunięcia idą też szczątki ArcaVir. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld -- (MySQL) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaUpdate\update.exe -- (AVUpdate) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaTasksService.exe -- (AVTasks2) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe -- (ArcaRemoteService) SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\arcabit.core.loggingservice.exe -- (ArcaBit.Core.LoggingService) SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\arcabit.core.configurator2.exe -- (ArcaBit.Core.Configurator) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ArcaMainSV.exe -- (ABMainSV) DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABTDI.sys -- (ABTDI) DRV:64bit: - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABFLT.sys -- (ABFLT) O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" File not found :Files C:\Users\Saturn\AppData\Roaming\Unotny C:\Users\Saturn\AppData\Roaming\Udny C:\Users\Saturn\AppData\Roaming\Okkos C:\Users\Saturn\AppData\Roaming\Zeru C:\Users\Saturn\AppData\Roaming\Veur C:\Users\Saturn\AppData\Roaming\Geidu C:\Users\Saturn\AppData\Roaming\skype.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
kelly2 Opublikowano 19 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2013 ok dzięki a co z: C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 Odnośnik do komentarza
Landuss Opublikowano 19 Marca 2013 Zgłoś Udostępnij Opublikowano 19 Marca 2013 Sprawa systemowa, nie ruszaj tego. Odnośnik do komentarza
kelly2 Opublikowano 16 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2013 Bardzo proszę o pomoc. OTL.Txt Odnośnik do komentarza
Anonim8 Opublikowano 17 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2013 Uruchom OTL i w oknie Własne opcje skanowania/skrypt wklej: :OTLO20 - HKCU Winlogon: Shell - (C:\Users\Saturn\AppData\Roaming\skype.dat) - C:\Users\Saturn\AppData\Roaming\skype.dat ():FilesC:\Users\Saturn\AppData\Roaming\skype.ini:Commands[emptytemp] Kliknij w Wykonaj skrypt. 2. Przez Panel sterowania odinstaluj McAfee Security Scan Plus 3. Zrób nowy log OTL z opcji Skanuj. Ma powstać też plik Extras (opcja "Rejestr - skan dodatkowy" ustawiona na "Użyj filtrowania"). Odnośnik do komentarza
picasso Opublikowano 17 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2013 (edytowane) Wymagane rozszerzenie instrukcji, gdyż składników infekcji znacznie więcej, w tym szczątki po infekcji fałszywym skanerem (rekonfiguracja skojarzenia EXE + blokada widzialności statusu Centrum). Poza tym, ArcaBit i STOPZilla wyglądają na nieprawidłowo odinstalowane, ale ze względu na brak raportu Extras na razie tego nie ruszam. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Saturn\AppData\Roaming\skype.dat C:\Users\Saturn\AppData\Roaming\skype.ini C:\Users\Saturn\AppData\Roaming\Unotny C:\Users\Saturn\AppData\Roaming\Udny C:\Users\Saturn\AppData\Roaming\Okkos C:\Users\Saturn\AppData\Roaming\Zeru C:\Users\Saturn\AppData\Roaming\Veur C:\Users\Saturn\AppData\Roaming\Geidu C:\Users\Saturn\g2mdlhlpx.exe C:\ProgramData\562EDC730B4F56280000562E864D5F02 C:\ProgramData\ojobkspa.ako :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada zniknie. 2. Przez Panel sterowania odinstaluj wspominany McAfee. 3. Zrób nowy log OTL z opcji Skanuj (jak powiedziane, z Extras)) oraz Farbar Service Scanner. . Edytowane 17 Maja 2013 przez picasso 17.05.2013 - Wszystkie trzy tematy łączę i zamykam z powodu braku odpowiedzi. Masz tendencje do porzucenia tematów, ani razu temat nie ukończony poprawnie. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi