logmen Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Witam. Podczas ładowania się systemu okienkowego wyskakuje taki oto komunikat: Prawdopodobnie jest to pozostałość po wirusie "policyjnym" który to "blokował" komputer. Jak się z tą pozostałością rozprawić? Jest to komputer rodziców, czasami do nich przyjeżdżam i robię im porządki programami: spybot search and destroy, a następnie ccleaner. Jakiś czas temu był tu również zainstalowany program antywirusowy avira anty vir, jednakże zastąpił go pakiet z netii 'bezpieczny internet'. Po paru latach bez reinstalacji, system stał się "troszeczkę" ociężały. Dołączam odpowiednie logi. Pozdrawiam. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Cytat Jest to komputer rodziców, czasami do nich przyjeżdżam i robię im porządki programami: spybot search and destroy, a następnie ccleaner. Spybot to sfatygowany program i ma niską skuteczność. Lepszym skanerem jest Malwarebytes Anti-Malware. Cytat Prawdopodobnie jest to pozostałość po wirusie "policyjnym" który to "blokował" komputer. Tak, to błąd po infekcji "policyjnej". Infekcja nie została usunięta i nadal w starcie się uruchamia: O4 - Startup: C:\Documents and Settings\MiG\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation) Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\MiG\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\MiG\uz.dat C:\Documents and Settings\MiG\uidsave.dat C:\Documents and Settings\MiG\Dane aplikacji\PriceGong :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKU\S-1-5-18\..\SearchScopes\{2F2D66EF-62D7-4036-9CD2-21B2EEFE4128}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=90a87694-da7a-442a-9cbf-9eecebb4b37f&apn_sauid=D13B9C99-26B6-41E4-8167-0C3E71FCDEBE IE - HKU\S-1-5-21-1224244222-1599758108-3880035166-1009\..\SearchScopes\{1E7A9DDF-0235-4EE3-B5BD-BFFD57176C27}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=90a87694-da7a-442a-9cbf-9eecebb4b37f&apn_sauid=D13B9C99-26B6-41E4-8167-0C3E71FCDEBE O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3 - HKU\S-1-5-21-1224244222-1599758108-3880035166-1009\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Program Files\4shared Desktop\down_all.htm File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Wyczyść Firefox z adware i starych preferencji: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
logmen Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Problem naprawiony. Dziękuję bardzo za fachową i szybką pomoc w usunięciu tego problemu. Załączam logi o które prosiłaś. OTL.TxtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Usuwam jeden z logów AdwCleaner, wystarczy ten z usuwania. Miałeś dodać log z wynikami usuwania OTL, ale to już pomińmy (widzę pożądane zmiany w nowym skanie). Końcowe czynności: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Services adiusbaw Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 23 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5 "{32A3A4F4-B792-11D6-A78A-00B0D0160050}" = Java SE Development Kit 6 Update 5 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 "Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl) Czyli: odinstaluj wszystkie Java i Adobe Reader (to ich luki są jedną z przyczyn infekcji), zaktualizuj Firefox oraz Microsoft SQL Server 2005 (KB913089). . Odnośnik do komentarza
logmen Opublikowano 8 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2013 Zrobione. Jeszcze raz dziękuję za cierpliwość i okazałą pomoc. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi