Oliver91 Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Logi OTL dla Państwa . http://www.wklej.org/id/788159/ http://www.wklej.org/id/788160/ Dziękuje z góry. Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Logi zrobione z poziomu nieprawidłowego konta, czyli wbudowanego w system serwisowego Administratora: Computer Name: PPP-FCB5EC59A6E | User Name: Administrator | Logged in as Administrator. To konto nawet nie było czynne przed akcją, nastąpiła jego świeża inicjacja i zrzucanie folderu na dysk (widać to w logu). Rejestry kont się różnią = logi są inne. Log musi być zrobiony z poziomu właściwego konta. Na teraz mogę usunąć tylko to co łączy wszystkie konta (wpis infekcji widoczny), ale logi z konta właściwego muszą być sprawdzone. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [secproc_isv] C:\Documents and Settings\ppp\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2888\secproc_isv.exe () O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\ppp\Menu Start\Programy\IMVU\Run IMVU.lnk File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) :Files C:\Documents and Settings\ppp\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2888 C:\Documents and Settings\All Users\Dane aplikacji\529C5327000033306557826F8DB91C90 C:\Documents and Settings\ppp\Dane aplikacji\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Loguj się na właściwe konto 2. Wygeneruj nowy log OTL z opcji Skanuj. Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
Oliver91 Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 http://www.wklej.org/id/788231/ http://www.wklej.org/id/788233/ http://www.wklej.org/id/788234/ Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Coś się nie zgadza przy przetwarzaniu skryptu, wpis infekcji został oznaczony jako "not found" (definitywnie wcześniej był w systemie). Coś (Avast?) więc musiało to skasować między Twoją prośbą o pomoc, a wykonaniem skryptu. Skrypt usunął jednak pozostałe elementy infekcji i zadane wpisy. Log z konta właściwego ujawnia dodatkowe ślady infekcji Live Security Platinum. Przejdź do wykończeń: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-220523388-113007714-725345543-1003\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669" [2012-07-09 22:09:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\ppp\Menu Start\Programy\Live Security Platinum [2012-07-09 22:09:26 | 000,001,322 | ---- | C] () -- C:\Documents and Settings\ppp\Pulpit\Live Security Platinum.lnk :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z jego kwarantanną. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 5. Wykonaj aktualizacje: KLIK. Tutaj wykaz wersji z Twojej listy zainstalowanych: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Gadu-Gadu" = Gadu-Gadu 7.7 Punkt zapalny: kompletnie nieaktualizowany silnik Windows. Stoi tu SP2, to sito z 2004, i jesteś odcięty od wszystkich bieżących krytycznych łat. MS blokuje systemy poniżej progu SP3. GG7 też tu wyliczam, gdyż to kolejne słabe zabezpieczenia, tzn. brak szyfrowanego łączenia (możliwość podsłuchu), a przy okazji to jeszcze nikła zgodność z siecią własną (liczne zmiany w protokole nastąpiły). Jeśli szukasz chudej alternatywy, to zainteresuj się WTW. Pełny opis komunikatora znajdziesz w: Darmowe komunikatory. . Odnośnik do komentarza
Rekomendowane odpowiedzi