chiko Opublikowano 2 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2011 Witam Usunąłem tego fałszywego antywirusa PANDĄ. Coś chyba zostało, bo nie uruchamiają się pliki *.exe. Proszę o pomoc, załączam logi OTL.Txt Extras.Txt rescue-system_scan.txt Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2011 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2875983138-1208449623-3461169583-1000..\Run: [1019783830] C:\Users\BEATA\AppData\Local\akk.exe () O35 - HKU\S-1-5-21-2875983138-1208449623-3461169583-1000..exefile [open] -- "C:\Users\BEATA\AppData\Local\ihf.exe" -a "%1" %* O37 - HKU\S-1-5-21-2875983138-1208449623-3461169583-1000\...exe [@ = exefile] -- "C:\Users\BEATA\AppData\Local\ihf.exe" -a "%1" %* [2011-08-02 19:48:20 | 000,009,496 | -HS- | M] () -- C:\Users\BEATA\AppData\Local\2i357l366m1q0fi2o1lb8707810y7vmrs6d [2011-08-02 19:48:20 | 000,009,496 | -HS- | M] () -- C:\ProgramData\2i357l366m1q0fi2o1lb8707810y7vmrs6d [2011-08-02 19:56:38 | 000,000,000 | ---- | C] () -- C:\Users\BEATA\AppData\Local\ihf.dll [2011-08-02 19:56:38 | 000,000,000 | ---- | C] () -- C:\Users\BEATA\AppData\Local\akk.dll :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędne sponsoringi - Conduit Engine / PC Gear EN Generic Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. Odnośnik do komentarza
chiko Opublikowano 3 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2011 Załączam skany. Nie wiem, czy mam dalej czekać na odpowiedź? Muszę rano oddać komputer. Jeśli jest już wszystko w porządku to proszę o odpowiedź. Ad-Report-SCAN1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2011 Landuss jest nieobecny, więc ja dokończę ten wątek. Jesteśmy w połowie zadania. Po infekcji został jeszcze przekonfigurowany skrót Internet Explorer w sekcji przypiętych Menu Start i wpis w ElevationPolicy: **** Internet Explorer Version [8.0.7601.17514] **** IEXPLORE.EXE\Shell\Open\Command - C:\Users\BEATA\AppData\Local\ihf.exe -a C:\Program Files (x86)\Internet Explorer\iexplore.exe HKCU_ElevationPolicy\{8B8F3061-9182-469B-A9FA-5ED5D85B244C} - C:\Users\BEATA\AppData\Local\ihf.exe (x) Poza tym, drobnica w postaci szczątków pasków narzędziowych. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files (x86)\Conduit C:\Program Files (x86)\ConduitEngine C:\Users\BEATA\AppData\LocalLow\Conduit C:\Users\BEATA\AppData\LocalLow\PriceGong :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files (x86)\Internet Explorer\iexplore.exe" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- "{3796E649-4334-4CBF-89D3-A927554AD438}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{3796e649-4334-4cbf-89d3-a927554ad438}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8B8F3061-9182-469B-A9FA-5ED5D85B244C}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{10BEDBEF-25EE-374B-B9D6-9E33A40C4EF5}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d7359d7c-fe79-4bf6-8ad0-3242c460149a}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Toolbar.CT2139138] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Toolbar] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Do oceny wystarczy mi: log z wynikami usuwania z punktu 1 + nowy log z AD-Remover trybu skanowania. . Odnośnik do komentarza
chiko Opublikowano 3 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2011 Przesyłam logi: Ad-Report-SCAN2.txt 08032011_232816.txt Odnośnik do komentarza
picasso Opublikowano 3 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2011 Skrypt poprawnie przetworzony. Finalizacja tematu: 1. Porządkowanie po narzędziach: odinstaluj AD-Remover + zastosuj Sprzątanie w OTL. 2. Obowiązkowe aktualizacje (istotne pod kątem łatania luk). Aktualnie masz zainstalowane: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 17"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Google Chrome" = Google Chrome"Nowe Gadu-Gadu" = Nowe Gadu-Gadu - Ważne szczegóły aktualizacyjne rozpisane w tym wątku: INSTRUKCJE. - (Opcjonalnie) rozważ wymianę śmieciarskiego NGG na alternatywę lepiej zgraną z architekturą systemu. Propozycją dopasowaną do systemu 64-bit (natywna wersja) z dobrą obsługą Gadu i importem jego archiwum jest WTW. Opis znajdziesz w temacie Darmowe komunikatory. 3. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. Potwierdź wykonanie wszystkich zadań. . Odnośnik do komentarza
chiko Opublikowano 3 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2011 Dziękuję za pomoc. Wszystkie zadania wykonane. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi