Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Komputer zablokowany

miskowski

Przez miskowski
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Z drugiego konta użytkownika użyłem OTL, załączam raporty.

 

Raporty muszą pochodzić z konta na którym jest problem. Rejestry kont są różne, czyli wszystkie odczyty HKEY_CURRENT_USER w logach z OTL są unikatowe dla danego konta. W związku z tym na razie mogę usunąć tylko to co jest wspólne dla kont.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\jyepsntoswfomd.URL
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\kbzkkntosgu.URL
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\zzmorntosbsv.URL
C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3B01BE38FE00227C970CDF10C2
 
:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe File not found
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C}  (Reg Error: Value error.)
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Monfilt.sys -- (Monfilt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AtihdXP3.sys -- (AtiHDAudioService)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Ambfilt.sys -- (Ambfilt)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System będzie restartował i otrzymasz log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania i odinstaluj adware: DAEMON Tools Toolbar + YouTube Downloader Toolbar.

 

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Zaloguj się na właściwe konto i wygeneruj nowy log OTL z opcji Skanuj oraz zaległy GMER. Dołącz logi z usuwania narzędziami w punktach 1+3.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zapomniałeś dodać log z wynikami usuwania, ale w sumie już nie potrzebuję go.

 

 

Załączam raporty, gmer nie chce się wysłać, bo jakoby "nie mam uprawnień do wysyłania tego typu plików"

 

Po pierwsze: instrukcja GMER wyraźnie mówi o użyciu opcji kopiowania do Notatnika a nie bezpośredniego zapisu pliku (to ma określony cel, a przy okazji eliminuje widoczny tu "problem"). Po drugie: nie doczytane zasady działu, tam jest napisane, że załączniki forum akceptują tylko format *.TXT, a Ty próbujesz dodawać *.LOG. Wystarczy zmiana nazwy pliku.

 

 

2. Daemon i YTdownloader niewidoczne na obu kontach - ani w panelu sterowania ani w ashampoo uninstaler - nieusunąłem, same chyba zniknęły;

 

Nie wiem jakim cudem "same zniknęły", skoro były widoczne w logu (wpisy na liście Dodaj / Usuń + obiekty w starcie i konfiguru przeglądarek), a nie podejmowano jawnych działań z nimi + AdwCleaner ich nie kasował w szerszym zakresie (tzn. nie widać usuwania wpisów które wcześniej były). Wnioski: ktoś musiał się ich pozbyć ręcznie, samoczynny zanik jest niemożliwy technicznie.

 

 

Mamy tu jeszcze do usunięcia infekcję. Na tym koncie są dodatkowe zapisy.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No CLSID value found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:62970
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKCU..\Run: [MS Defender] C:\Documents and Settings\Właściciel\Dane aplikacji\lrfapntosop.exe File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 7-Zip = C:\Documents and Settings\Właściciel\Dane aplikacji\CA2D91.exe (TeamViewer GmbH)
[2012-06-28 22:15:49 | 000,001,322 | ---- | M] () -- C:\Documents and Settings\Właściciel\Pulpit\Live Security Platinum.lnk
[2012-06-28 22:15:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Właściciel\Menu Start\Programy\Live Security Platinum
[2012-06-28 20:47:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Właściciel\Dane aplikacji\Search Settings
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Znajoma sekwencja z restartem systemu i logiem z wynikami usuwania.

 

2. Dodaj zaległy GMER oraz log z wynikami usuwania z punktu 1. Ponadto, w związku z widocznością fragmentów Live Security Platinum (chodzi w parze z trojanem ZeroAccess) na wszelki wypadek dodaj skan na klucze atakowane przez ZeroAccess, czyli uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Dodałeś mi dwa logi ze skanowania OTL (usuwam duplikat), natomiast konsekwentnie omijasz pokazanie całkiem innego loga z usuwania - generowany automatycznie i otwiera się samoczynnie po usuwaniu, a jeśli nie to należy go szukać w katalogu I:\_OTL. Proszę o ten log z usuwania co dopiero prowadzonego, bo jest tu jakiś problem. Skrypt nie usunął tego wpisu infekcji:

 

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 7-Zip = C:\Documents and Settings\Właściciel\Dane aplikacji\CA2D91.exe

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

OTL wysyła sprzeczne komunikaty, jakoby ten wpis infekcji kasował:

 

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\7-Zip deleted successfully.
File move failed. C:\Documents and Settings\Właściciel\Dane aplikacji\CA2D91.exe scheduled to be moved on reboot.
 
Files\Folders moved on Reboot...
C:\Documents and Settings\Właściciel\Dane aplikacji\CA2D91.exe moved successfully.
 
PendingFileRenameOperations files...
File C:\Documents and Settings\Właściciel\Dane aplikacji\CA2D91.exe not found!
 
Registry entries deleted on Reboot...

 

Wpis nadal jest plus nowy obiekt fałszywego antywirusa. Powtórka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3B01BE38FE00227C970CDF10C2
C:\Documents and Settings\Właściciel\Dane aplikacji\CA2D91.exe
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System będzie restartował i pojawi się kolejny log z wynikami usuwania.

 

2. Wygeneruj nowy log OTL z opcji Skanuj. Dołącz log z wynikami usuwania.

 

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano

Zadanie w końcu wykonane. Przejdź do tej porcji czynności:

 

1. Przez SHIFT+DEL skasuj folder:

 

C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto

 

2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

6. Wykonaj podstawowe aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych co wymaga interwencji:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 13
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

 

 

Uwaga poboczna apropos Nowe Gadu-Gadu. Może zainteresują Cię alternatywy, takie jak WTW, Kadu, Miranda czy AQQ. Opisy zlokalizowane w artykule Darmowe komunikatory

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ale ... po co mi nowe logi z OTL? Nie prosiłam, usuwam. Co do wyników:

 

1. Ten od infekcji:

 

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe (Spyware.Zeus) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

I nie wiem jakim cudem, skoro wcześniej w OTL był "not found":

 

O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe File not found

 

Przez SHIFT+DEL skasuj cały katalog:

 

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812

 

2. Wynik w C:\Program Files\FreeTrack\FSModule\FSUIPC.exe określony jako "Adware.Onlinegames" to możliwe, że fałszywy alarm.

 

3. Reszta to prawie same cracki. Głowy za to nie dam. Ale nie ruszaj żadnych wyników relatywnych do cukierka aktywacji antiwpa.dll krakersie, bo po tym się już nie zalogujesz do Windows.

 

 

 

Kroki końcowe zadane. Sygnał do zamknięcia tematu daj.

 

 

 

.

Odnośnik do komentarza
miskowski

miskowski

Opublikowano
  • Autor
Opublikowano

\812 skasowane.

 

Po usunięciu antiwpa przez antimalware rzeczywiście miałem kłopot:

system chciał się aktywować, po czym stwierdzał, że się już aktywował, OK= logout. I tak w kółko.

W trybie awaryjnym znalazłem plik "AntiWPA3.cmd" , po użyciu tegoż wszystko O.K.

 

Mam od dłuższego czasu do dyspozycji XP Professional na płycie+naklejka , chętnie bym się przesiadł ale to insza inszość. I nikt by mnie od krakersów nie wyzywał... :)

 

Serdeczne dzięki, wszystko działa.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...