neter Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Witam Problem dotyczy laptopa znajomego został zablokowany przez nowszą wersję trojana wpisywanie przypadkowego kodu już na niego nie pomaga więc kieruję się z prośbą o sprawdzenie loga. Jest jeszcze jeden problemik OTL przed końcem wywala błąd "Win32 Error. Code: 23. Błąd danych (CRC)" dlatego niema pliku Extras.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Nie wiem jaka jest przyczyna dla błędu CRC, widziałam tu już w kilku tematach, wspólny mianownik trudny do określenia. Subtelne znaki stosowania ComboFix są widoczne. Przechodząc do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [sMBHelper] C:\Users\User\AppData\Local\Microsoft\Windows\4481\SMBHelper.exe () O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Files C:\Users\User\AppData\Local\Microsoft\Windows\4481 C:\Users\User\AppData\Roaming\hellomoto :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj śmieci SweetIM / SweetPacks Toolbar for Internet Explorer. 3. Uruchom AdwCleaner i zastosuj opcję Delete. Powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
neter Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Winows już się ładuje "normalnie" 07122012_103320.txt AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 1. Wymagana drobna poprawka na świństwo SweetIM. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.03010003&st=12&barid={B0AB5687-4409-4BD4-9194-6ACC108BD57B}" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.03010003&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-07-08 13:53:19 | 000,004,118 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\clg295as.default\searchplugins\sweetim.xml Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 5. Wykonaj podstawowe aktualizacje: KLIK. . Odnośnik do komentarza
neter Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Porządki zrobione, foldery wyczyszczone, zaktualizowany, Malwarebytes nic nie znalazł. Dziękuję za pomoc. Pozdrawiam. Odnośnik do komentarza
neter Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Niektórzy nie uczą się na błędach i ponownie wrócił do mnie laptop ponownie zainfekowany trojanem. OTL przed końcem wywala błąd "Win32 Error. Code: 23. Błąd danych (CRC)" dlatego niema pliku Extras.txt Proszę o możliwie najszybszą pomoc. Wykonany skrypt :OTL O4 - HKCU..\Run: [unitnxlitguyoow] C:\ProgramData\unitnxli.exe () :Files C:\ProgramData\pacbvktmtfnxvkr :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] laptop wstaje ale nie wiem czy są jakieś pozostałości dlatego załączam OTL_new.txt oraz log z wykonania skryptu OTL OTL.Txt OTL_new.Txt 07202012_103820.txt Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 (edytowane) Tematy połączyłam. Na dysku są widoczne dwa pliki po tej infekcji. Przy okazji wyłączenie usługi SessionLauncher od Roxio (idzie z Temp i prawdopodobnie generuje błędy w Dzienniku zdarzeń) + usunięcie mikro odpadków Symantec. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2012-07-19 22:40:35 | 000,000,051 | ---- | M] () -- C:\ProgramData\wsysoprrlsscqlz [2012-07-19 22:39:54 | 000,049,152 | ---- | M] () -- C:\Users\User\ms.exe DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SessionLauncher] "Start"=dword:00000004 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Do oceny wystarczy tylko log z wynikami usuwania. . Edytowane 21 Sierpnia 2012 przez picasso 21.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi