Arnate Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Witam. Do chwili obecnej udało mi się tyle zdziałać, że po pokombinowaniu w msconfig udało mi się odpalić komputer w normalnym trybie (przy wyłączonym internecie). Jednak nie chcę czekać na powrót trojana i chciałbym się go całkowicie pozbyć. Byłbym bardzo wdzięczny za pomoc. Wrzucam logi z OTL'a. Zorientowałem się, że miałem zainstalowanego Daemon Tools'a. Usunę wszystko i wrzucę świeże logi. Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Cytat Do chwili obecnej udało mi się tyle zdziałać, że po pokombinowaniu w msconfig udało mi się odpalić komputer w normalnym trybie (przy wyłączonym internecie). OTL domyślnie nie skanuje msconfig. Poproszę o dodatkowy skan. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig /s Kliknij w Look i czekaj na raport. . Odnośnik do komentarza
Arnate Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Przepraszam za to małe zamieszanie. Wrzucam poprawne logi z OTL i dodatkowo skan z SystemLook, o który zostałem poproszony: OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... SystemLook.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Cytat Zorientowałem się, że miałem zainstalowanego Daemon Tools'a. Usunę wszystko i wrzucę świeże logi. To było zbędne. System x64 i nie jest tu uruchamiany żaden rootkit detektor. Nie wpłynęło to na zawartość logów. Skan z SystemLook pokazuje dokładnie co wyłączyłeś: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cienzhoznalanwm]"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run""item"="cienzhoznalanwm""hkey"="HKCU""command"="C:\ProgramData\cienzhoz.exe""inimapping"="0""YEAR"= 0x00000007dc (2012)"MONTH"= 0x0000000007 (7)"DAY"= 0x000000000d (13)"HOUR"= 0x0000000012 (18)"MINUTE"= 0x000000002f (47)"SECOND"= 0x000000001a (26) Wszystkie obiekty infekcji są na dysku. Plus śmieci / podejrzane "aplikacje" ("PC Cleaners"). Przechodzimy do usuwania: 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz: HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cienzhoznalanwm 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\anuqwzumfijetpp C:\ProgramData\cienzhoz.exe C:\ProgramData\xvyvhuwhnvedysh C:\ProgramData\PC1Data C:\Users\Arnate\AppData\Roaming\PC Cleaners C:\Users\Arnate\AppData\Roaming\PCPro C:\Users\Arnate\0.20666296071644508.exe C:\Users\Arnate\AppData\Roaming\Mozilla\Firefox\Profiles\vnyytme3.default\searchplugins\web-search.xml :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" O4 - HKLM..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 4. Do oceny wystarczy tylko log z usuwania OTL z punktu 2. Nowy skan OTL nie jest potrzebny. . Odnośnik do komentarza
Arnate Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Postąpiłem zgodnie z instrukcją. Załączam logi z usuwania: 07132012_195203.txtPobieranie informacji ... Na chwilę obecną wszystko wygląda ok. Dziękuję bardzo na pomoc i czekam na ewentualne dalsze instrukcje. Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Zadanie pomyślnie przetworzone. Możemy przejść do wykończenia: 1. W OTL uruchom Sprzątanie, które skasuje z dysku kwarantannę OTL z trojanami oraz OTL. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Przeprowadź skanowanie w Malwarebytes Anti-Malware. W razie wykrycia czegoś przedstaw raport. 4. Podstawowe aktualizacje: KLIK. Wyciąg z Twojej listy zainstalowanych: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin ---> wersja dla FF już najnowsza 11.3.300.265, ale sprawdź w/w dla IE"Gadu-Gadu" = Gadu-Gadu 7.7"Microsoft SQL Server 2005" = Microsoft SQL Server 2005 ----> brak pakietu SP"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1 + Service Pack dla Microsoft SQL Server 2005: KB913089 Gadu-Gadu 7.7 też tu zakreślam, z następujących powodów: wersja o niskim stopniu bezpieczeństwa ze względu na brak szyfrowania (możliwość podsłuchu), niezgodna z własną siecią (sic!), stara a taki nowoczesny Windows 7 x64. Proponuję alternatywę WTW. Program cechuje: natywna wersja x64, tryb portable, brak reklam, dobra obsługa sieci Gadu i protokołu GG10 (a więc większa zgodność niż ... GG7), możliwość rozszerzenia przez wtyczki i modyfikacja wyglądu. Pełny opis w artykule Darmowe komunikatory. Ogólnie na dziś alternatywy z obsługą GG, które się liczą, to tylko: WTW, Kadu, Miranda, AQQ. Reszta niezdatna. . Odnośnik do komentarza
Arnate Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Na pewno skorzystam z udzielonych rad. Dziękuję serdecznie za pomoc i wskazówki. Odnośnik do komentarza
Rekomendowane odpowiedzi