klocuch12 Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Sprawa dotyczy ukasha z godłem PRL. Spotkałem się z tym wirusem wcześniej, lecz comob+malwarebyte dał sobie z nim radę, tym razem się nie udało. Proszę o pomoc OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [schedcli] C:\Users\Zią\AppData\Local\Microsoft\Windows\3792\schedcli.exe () IE - HKCU\..\SearchScopes\{76193506-1F37-4508-B099-80A1AF7C2A96}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{AFA4322D-0C2D-42F5-BEF8-1E35753BC2E8}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=A4D9688D-0B99-47BF-ACD6-4FAEA9E04623&apn_sauid=FF94F207-EC89-482E-ADFC-8A1EAE0B9A48" :Files C:\Users\Zią\AppData\Local\Microsoft\Windows\3792 C:\Users\Zią\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Zią\AppData\Roaming\hellomoto C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony wtedy przez ComboFix (nie uruchamiaj narzędzia ponownie!). . Odnośnik do komentarza
klocuch12 Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 http://wklej.org/id/791242/ log po czyszczeniu. Co najciekawsze komputer uruchomił się normalnie (przed czyszczeniem, przez nieuwage nie wcisnąłem f8) ComboFix2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Co najciekawsze komputer uruchomił się normalnie (przed czyszczeniem, przez nieuwage nie wcisnąłem f8) Coś usunęło wpis startowy, wskazuje na to wynik przetwarzania skryptu do OTL, ale i tak foldery i pliki infekcji nadal były na dysku i skrypt to wykończył. Sumarycznie: zadanie wykonane. Przejdź do wykończeń: 1. Przez Panel sterowania odinstaluj adware V9 HomeTool. 2. Odinstaluj skaner Kasperskiego + skasuj z dysku te obiekty używanych skanerów: O4 - Startup: C:\Users\Zią\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup_9.0.0.722_15.07.2012_16-19.lnk = C:\Users\Zią\Desktop\Virus Removal Tool\setup_9.0.0.722_15.07.2012_16-19\startup.exe () [2012-07-15 16:03:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab[2012-07-15 16:03:13 | 000,352,784 | ---- | C] (Kaspersky Lab) -- C:\Windows\SysNative\drivers\0716373.sys[2012-07-15 16:03:13 | 000,157,712 | ---- | C] (Kaspersky Lab) -- C:\Windows\SysNative\drivers\07163731.sys[2012-07-15 16:03:13 | 000,040,464 | ---- | C] (Kaspersky Lab) -- C:\Windows\SysNative\drivers\07163732.sys[2012-07-15 16:03:13 | 000,000,000 | ---D | C] -- C:\Users\Zią\Desktop\Virus Removal Tool[2012-07-15 14:51:51 | 000,000,000 | ---D | C] -- C:\Users\Zią\Documents\ArcaVirMicroScan[2012-07-15 14:51:43 | 000,000,000 | ---D | C] -- C:\Users\Zią\AppData\Roaming\ArcaVirMicroScan[2012-07-15 14:51:40 | 000,258,640 | ---- | C] (ArcaBit) -- C:\Users\Zią\Documents\arcavirmicroscan.exe[2012-07-15 14:42:30 | 008,834,304 | ---- | C] (SurfRight B.V.) -- C:\Users\Zią\Documents\HitmanPro36_x64.exe[2012-07-11 23:55:51 | 000,000,000 | ---D | C] -- C:\Windows\erdnt 3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Zią\Desktop\ComboFix.exe /uninstall Gdy komenda ukończy działanie, w OTL zastosuj Sprzątanie. 4. Napraw błąd WMI numer 10 za pomocą narzędzia z KB2545227. 5. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF) ----> już jest najnowsza"Adobe Shockwave Player" = Adobe Shockwave Player 11.6 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 20.0.1132.47 . Odnośnik do komentarza
Rekomendowane odpowiedzi