Hana Opublikowano 12 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 12 Kwietnia 2013 Witam, Mam problem z Trojanem, który informuje o zakażonym pliku w C:\Windows\installer\.....\80000032.@ i 80000064.@ Skanowanie nic nie daje Mam system 64 bit Windows 7. Widziała, że był już poruszany ten temat, ale z tego co widziała konieczne jest indywiduwalne podejście. Poniżej zamieszczam logi z OTL. Bardzo proszę o pomoc i z góry dziękuję za odpowiedź Han OTL.Txt Extras.Txt Odnośnik do komentarza
Conor29134 Opublikowano 12 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 12 Kwietnia 2013 Jest zeroaccess i tu nie ma co czekać 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Enter zresetuj system po ukończeniu pzetwarzania 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Enter Zresetuj system w celu ukończenia resetu Winsock. 3. Uruchom OTL i w okno własne opcje skanowania/skrypt Wklej: :OTL O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Client Server Runtime Process] C:\Users\Hania\AppData\Roaming\System32\csrss.exe (W?a+q%) O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Hania\AppData\Roaming\csrss.exe (W?a+q%) O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [rpcsrv] C:\Users\Hania\AppData\Local\Temp\rpcsrv\rpcserv.exe () O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [service Host Process for Windows] C:\Users\Hania\AppData\Roaming\System32\svchost.exe (W?a+q%) :Files C:\Users\Hania\AppData\Roaming\csrss.exe C:\Users\Hania\AppData\Roaming\System32\svchost.exe C:\Windows\SysWow64\%APPDATA% C:\Users\Hania\AppData\Roaming\rundll32.exe C:\Users\Hania\AppData\Roaming\System32 C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\Installer\{88903225-a69e-6a66-7024-270f5f196fd9} :Commands [emptytemp] Kliknij Wykonaj skrypt. 4. Podaj nowe logi z OTL + Farbar Service Scanner. Odnośnik do komentarza
Hana Opublikowano 13 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 Po wpisaniu i zatwiedzeniu skryptu w OLT nagle zniknęły wszystkie ikony na pulpicie. Wyrzuciło mnie do wyboru użytkownika i został utworzony nowy użytkownik a na pulpicie mam ikony: desktop.ini 01.dwl 02.dwl ,które są przezroczyste. I w momencie uruchamiania tego skryptu Avast wykrył jakieś zagrożenie, ale już zniknęło. Co teraz?? Odnośnik do komentarza
diox Opublikowano 13 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 Po wpisaniu i zatwiedzeniu skryptu w OLT nagle zniknęły wszystkie ikony na pulpicie. Po skrypcie był restart systemu? Wyrzuciło mnie do wyboru użytkownika i został utworzony nowy użytkownik Jak ciebie wyrzuciło i jak został utworzony nowy użytkownik? Po skrypcie miały zniknąć ikony, a potem restart systemu, tak było? . Odnośnik do komentarza
Hana Opublikowano 13 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 nie było restartu, tylko jakby wylogowanie bo mogłam wybrać albo siebie jako użytkownika albo NEW USER i zalogować się. Odnośnik do komentarza
diox Opublikowano 13 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 To wejdź na swoje konto i zobacz, czy reaguje na CTRL + ALT + DELETE, jeśli pojawi się Menadżer zadań, to wybierz Nowe zadanie i wpisz explorer.exe. Jeśli pojawią się ikony, zrób logi z OTL. . Odnośnik do komentarza
Hana Opublikowano 13 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 zamieszczam jeszcze to, co utworzyło mi się po poprzedniej próbie utworzenia logów: [.ShellClassInfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799 [.ShellClassInfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769IconResource=%SystemRoot%\system32\imageres.dll,-183 To było w pliku desktop.in Odnośnik do komentarza
diox Opublikowano 13 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 Ja wiem, co jest w pliku desktop.ini, nie ruszaj tego. Nie możesz zrobić logów tak jak napisałem? Odnośnik do komentarza
Hana Opublikowano 13 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 Czyli zeskanować system na OTL czy wykonać te skrypty co podano wyżej?? Odnośnik do komentarza
diox Opublikowano 13 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 Zeskanuj OTL-em. Odnośnik do komentarza
Hana Opublikowano 13 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 To co wyszło: OTL.Txt Extras.Txt Odnośnik do komentarza
Conor29134 Opublikowano 13 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 Widzę że pliki zeroaccess nawet nie drgnięte w logu, pewnie avast się obudził Przed wykonaniem instrukcji wyłącz osłony avasta by nie przeszkadzał OTL-owi 1. Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej: :Processes killallprocesses :Services BrowserProtect :OTL IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=0c0d7d5f-e469-11e1-9b6a-bc77374b3ef7&q={searchTerms} IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=58AEBC77374B3EF7 IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{EFC79317-2F57-434B-BE76-07A9A70F3655}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN41679119615018116&UM=2 IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.16.16\bh\delta.dll (Delta-search.com) O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.16.16\deltaTlbr.dll (Delta-search.com) O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Hania\AppData\Roaming\System32\csrss.exe File not found O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [rpcsrv] C:\Users\Hania\AppData\Local\Temp\rpcsrv\rpcserv.exe () O20 - AppInit_DLLs: (c:\progra~3\browse~1\261125~1.80\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () :files C:\ProgramData\BrowserProtect C:\Users\Hania\AppData\Roaming\BabSolution C:\Users\Hania\AppData\Roaming\Delta C:\Users\Hania\AppData\Roaming\Babylon C:\ProgramData\Babylon C:\Users\Hania\AppData\Roaming\svchost.exe C:\Users\Hania\AppData\Roaming\csrss.exe C:\Users\Hania\AppData\Roaming\rundll32.exe C:\Users\Hania\AppData\Roaming\System32 C:\Windows\Installer\{88903225-a69e-6a66-7024-270f5f196fd9} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini :reg [HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Kliknij Wykonaj skrypt. 2. Szkodliwy program ExpressFiles do deinstalacji 3. I nowy log z OTL. Odnośnik do komentarza
Hana Opublikowano 13 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 Podzczas wykonywania skanu program zawiesza się "brak odpowiedzi" ?? Odnośnik do komentarza
Conor29134 Opublikowano 13 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2013 w trybie awaryjnym spróbuj Odnośnik do komentarza
Hana Opublikowano 14 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 nic nie daje Odnośnik do komentarza
diox Opublikowano 14 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 Wytnij ze skryptu linijki: :Commands [emptytemp] I spróbuj jeszcze raz wykonać skrypt. Odnośnik do komentarza
Hana Opublikowano 14 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 dalej nic Odnośnik do komentarza
diox Opublikowano 14 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 Na dole okna z OTL jest linijka, co jest przetwarzane, co w niej pisze jak się zawiesza? Odnośnik do komentarza
Hana Opublikowano 14 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 Wyglada to tak: Odnośnik do komentarza
diox Opublikowano 14 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 To wytnij jeszcze tę linijkę: O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.16.16\deltaTlbr.dll (Delta-search.com) I spróbuj wykonać skrypt. Odnośnik do komentarza
Hana Opublikowano 14 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 Udało się!! wykonał skrypt, zrestartował się. A z ekranu zniknęły ikony desktop.ini. Odnośnik do komentarza
Conor29134 Opublikowano 14 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 1. Użyj AdwCleaner (zastosuj Usuń). Log z tego podaj. 2. Podaj nowy log z OTL. 3. Do SystemLook x64 wklej: :regfind *delta* :filefind *delta*.* Daj look i podaj raport. Odnośnik do komentarza
Hana Opublikowano 14 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 Raporty: AdwCleanerS2.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
Conor29134 Opublikowano 14 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 [HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "ExpressFiles" = ExpressFiles wspominałem że to jest szkodliwe i ma iść do deistalacji w trybie natychmiastowym jeżeli nie ma tego na liscie zainstalowanych napisz to wywalimy ręcznie Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej: :Files C:\Users\Hania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FAIQWQD1\DeltaChromeTB_1001[1].zpb C:\Users\Hania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WHYAK9VQ\Setup-deltatb[1].zpb C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\Delta.ico C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\delta1.crx C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\DeltaChromeTB_1001.zpb C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\Setup-deltatb.zpb C:\Users\Hania\AppData\Local\Temp\is1890775716\DeltaTB.exe :Commands [emptytemp] Kliknij Wykonaj skrypt. Potem naprawimy konfiguracje przeglądarki IE Odnośnik do komentarza
Hana Opublikowano 14 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 Express file usunięty. Skypt wykonany. Odnośnik do komentarza
Rekomendowane odpowiedzi