Winterstorm Opublikowano 1 Lipca 2013 Zgłoś Udostępnij Opublikowano 1 Lipca 2013 Witam, ponownie potrzebuję pomocy. Otóż od paru miesięcy nie mam możliwości uruchomienia "opcji folderów". W zakładce narzędzia mam tylko mapuj dysk sieciowy, odłącz dysk sieciowy, synchronizuj. Zabrałem się ostatnio za wygooglowywanie jakiegoś rozwiązania tego problemu. Jeden ze sposobów polegał na pogrzebaniu w rejestrze. I wtedy okazało się, że nie mam do niego dostępu. Co więcej, nie mogę także wejść na konto administratora (chociaż teoretycznie mój profil też posiada prawa administratora). Zamieszczam raporty z OTL i proszę o pomoc. Windows XP Home Edition, Service Pack 3. PS: Zauważyłem właśnie, że po wykonaniu skanowania w OTL pokazują mi się w folderach pliki ukryte. OTL.Txt Extras.Txt Odnośnik do komentarza
Naathim Opublikowano 1 Lipca 2013 Zgłoś Udostępnij Opublikowano 1 Lipca 2013 Infekcja widoczna gołym okiem. Nie działają opcje folderów bo jest nałożona na nie polisa: O7 - HKU\S-1-5-21-854245398-484763869-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-854245398-484763869-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 Dorzuć jeszcze GMERa jeśli się da: KLIK, pamiętając o usunięciu działającego sterownika STPD. Temat raportuję do przeniesienia do Malware. Co do widoczności plików ukrytych - OTL sam je przestawia, na koniec po sprzątaniu wrócą do stanu pierwotnego Odnośnik do komentarza
Winterstorm Opublikowano 1 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2013 Skan z GMERa, chyba nic nie naknociłem. EDIT: złe wieści. Po usunięciu Daemona i STPD oraz wykonaniu skanu GMERem komputer zaczął się coś przycinać (było to przede wszystkim odczuwalne podczas odtwarzania muzyki). Zrestartowałem system i od tego momentu się już nie włączył, zacina się przy ekranie ładowania systemu (pasek postępu się przesuwa ale nic się nie zmienia). Obecnie komputer pracuje w trybie awaryjnym. EDIT 2: Poprawka. System włącza się w trybie normalnym, ale trwa to baaaardzo długo i wszystko muli. Bawić się w przywracanie systemu? skangmer.txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2013 Zgłoś Udostępnij Opublikowano 2 Lipca 2013 EDIT: złe wieści. Po usunięciu Daemona i STPD oraz wykonaniu skanu GMERem komputer zaczął się coś przycinać (było to przede wszystkim odczuwalne podczas odtwarzania muzyki). Zrestartowałem system i od tego momentu się już nie włączył, zacina się przy ekranie ładowania systemu (pasek postępu się przesuwa ale nic się nie zmienia). Obecnie komputer pracuje w trybie awaryjnym. Wróć do opisu GMER do sekcji skutki uboczne i sprawdź czy transfer dysku nie spadł z DMA do PIO. Wracając do infekcji: tu był robak Brontok, ale nie jest już czynny (nie ma żadnych wpisów w starcie), zostały po nim jednak określone modyfikacje jak punktowane blokady oraz zmodyfikowany plik HOSTS. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-854245398-484763869-1801674531-1004..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found O7 - HKU\S-1-5-21-854245398-484763869-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-854245398-484763869-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O15 - HKU\S-1-5-21-854245398-484763869-1801674531-1004\..Trusted Domains: mks.com.pl ([www] http in Zaufane witryny) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class) FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (EagleNT) :Files C:\Documents and Settings\All Users\Dane aplikacji\StarApp C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\SearchDial.crx C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\promo.exe C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\System32\drivers\sp_rsdrv2.sys :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- "Search Bar"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu G:\_OTL powstanie log z wynikami usuwania. 2. Zresetuj plik HOSTS do postaci domyślnej automatycznym narzędziem Fix-it: KB972034 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
Winterstorm Opublikowano 2 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Wszystkie kroki wykonane. Załączam końcowy skan z OTL. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Nie wypowiadasz się nic na temat transferu dysku, czy było PIO. Nie dodałeś raportu z wynikami usuwania OTL, aczkolwiek to już możemy sobie darować, gdyż widać zmiany w nowym skanie OTL. Kolejne działania: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (lredbooo) Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W OTL uruchom Sprzątanie, co usunie z dysku OTL i jego kwarantannę. 3. Skoro były tu ślady Brontok, należy przeskanować wszystkie dyski pod kątem jego plików. Wykonaj to za pomocą Kaspersky Virus Removal Tool. Domyślnie skaner robi ekspresowe szukanie. W konfiguracji zmień na skan wszystkich dysków. To będzie trwać o wiele dłużej, ale da większą pewność. Aczkolwiek, dysków jest tu sporo: Drive C: | 19,53 Gb Total Space | 7,95 Gb Free Space | 40,69% Space Free | Partition Type: NTFS Drive E: | 78,13 Gb Total Space | 12,71 Gb Free Space | 16,27% Space Free | Partition Type: NTFS Drive F: | 156,25 Gb Total Space | 4,26 Gb Free Space | 2,73% Space Free | Partition Type: NTFS Drive G: | 44,17 Gb Total Space | 10,39 Gb Free Space | 23,53% Space Free | Partition Type: NTFS Drive K: | 1397,26 Gb Total Space | 47,64 Gb Free Space | 3,41% Space Free | Partition Type: NTFS By uniknąć problemów przy skanie, rozbij zadania: skanuj każdy dysk po kolei z osobna a nie hurtem wszystkie. Jeśli skaner coś wykryje, przeklej do oceny wyniki typu "Detected", inne typy mnie nie interesują. . Odnośnik do komentarza
Winterstorm Opublikowano 3 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Dyski faktycznie były przestawione na PIO. Odinstalowałem tak jak podane było w poradniku i już wsio śmiga. Skany Kasperskym wykonałem dla każdej partycji z osobna. Zostało coś wykryte (skan 1), niestety ja to ja i z rozpędu dałem delete, zamiast zostawić to w spokoju. Wykonując skan dla dysku K (jest to dysk zewnętrzny podpięty do laptopa) nie udało mi się za pierwszym razem ukończyć skanowania, zacięło się przy pliku zawierającym spakowaną grę. Wyłączyłem skanowanie, usunąłem ten plik i wykonałem skan jeszcze raz, też coś zostało wykryte (skan 2), teraz już nic nie usuwałem. scan1.txt scan2.txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 1. Wyniki skanu: ten pierwszy Trojan-Downloader.Win32.Brontok.c to pozostałość omawianej tu infekcji i usunięcie słuszne. Natomiast ventriloMIX.exe w Firefox nie do końca jasny, nie wiem czy to był obiekt pobierany z oficjalnego źródła, przy niepewności lepiej usunąć. 2. Na koniec zaktualizuj Firefox oraz OpenOffice.org (obecna tu wersja nie umie korzystać z najnowszej Java 7 Update 25): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3 "Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl) . Odnośnik do komentarza
Winterstorm Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Przeskanowałem jeszcze raz ten dysk i usunąłem ten drugi niepewny obiekt. Wgrałem nową wersję Open Office, natomiast firefox pokazuje mi, że jest aktualny (wersja 22.0). Pewno zaktualizował się automatycznie. Odnośnik do komentarza
Rekomendowane odpowiedzi