piotr321 Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Witam. Wczoraj mój laptop został zaatakowany. Próbowałem zawalczyć z tym czymś - pomysł podsunął znajomy, żeby poprzez CCleaner ( Narzędzia - Autostart ) usunać programy z autostartu. Tak też zrobiłem i o dziwo system ( WIN 7 ) uruchomił się w normalnym trybie - działa. Jednak mam świadomość, że to tylko działania doraźne, dlatego zwracam się z prośbą o pomoc. Wczoraj zrobiłem skanowanie ( przed uruchomieniem CCleanera ), które jednak znikło po wykonaniu kolejnego dziś, którego efekty załączam. Jestem w tym zielony, więc proszę o wyrozumiałość. Pozdrawim i z góry dziękuję za pomoc :-) ! OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Próbowałem zawalczyć z tym czymś - pomysł podsunął znajomy, żeby poprzez CCleaner ( Narzędzia - Autostart ) usunać programy z autostartu. Tak też zrobiłem i o dziwo system ( WIN 7 ) uruchomił się w normalnym trybie - działa. W starcie nie widzę wpisu infekcji, co odpowiada akcji w CCleaner. Po infekcji został katalog poboczny C:\Users\Piotr\AppData\Roaming\hellomoto i przez SHIFT+DEL skasuj go. Niemniej w CCleaner było tylko usuwanie wpisu, powinien na dysku być jeszcze drugi główny katalog infekcji. Podaj skan pod tym kątem. Uruchom SystemLook x64 i w oknie wklej: :dir C:\Users\Piotr\AppData\Local\Microsoft\Windows /s Klik w Look. Przedstaw log wynikowy. . Odnośnik do komentarza
piotr321 Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Przesyłam nowy log zgodnie z instrukcją SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Tak, skan wykazuje na dysku cały folder infekcji, nie jest nawet zdekompletowany: C:\Users\Piotr\AppData\Local\Microsoft\Windows\4862 d------ [08:45 17/07/2012]95ccc49e --a---- 20052 bytes [08:45 17/07/2012] [08:45 17/07/2012]taskbarcpl.exe --a---- 50688 bytes [08:45 17/07/2012] [08:45 17/07/2012] 1. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE. To chyba już jakiś pusty wpis. Popraw w AdwCleaner opcją Delete. Wynikowo powstanie log na dysku C. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Piotr\AppData\Local\Microsoft\Windows\4862 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Do oceny wystarczy tylko log z AdwCleaner + log z usuwania z punktu 2, nie ma potrzeby robić nowego skanu OTL. A że krótki = wklej go wprost do posta. . Odnośnik do komentarza
piotr321 Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 kolejne operacje wykonane AdwCleanerS1.txt All processes killed ========== FILES ========== C:\Users\Piotr\AppData\Local\Microsoft\Windows\4862 folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 56475 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Piotr ->Temp folder emptied: 12347112 bytes ->Temporary Internet Files folder emptied: 1844915 bytes ->Java cache emptied: 1486119 bytes ->FireFox cache emptied: 65430921 bytes ->Flash cache emptied: 78517 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 19502 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes RecycleBin emptied: 972687607 bytes Total Files Cleaned = 1,005.00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07182012_171537 Files\Folders moved on Reboot... C:\Users\Piotr\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... File C:\Users\Piotr\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Wszystko zrobione. Możemy kończyć: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj skanowanie w Malwarebytes Anti-Malware. W razie wykrycia czegoś przeklej raport. 4. Do przeprowadzenia podstawowe aktualizacje: KLIK. Wyciąg z OTL wykazuje nieaktualizowany Windows (brak SP1+IE9) oraz następujące wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 ----> brak pakietu SP1"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF) ----> już jest najnowsza"Mozilla Firefox 14.0 (x86 pl)" = Mozilla Firefox 14.0 (x86 pl)"Mozilla Thunderbird 13.0.1 (x86 pl)" = Mozilla Thunderbird 13.0.1 (x86 pl) . Odnośnik do komentarza
piotr321 Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Wszyskie operacje wykonane. Skanowanie Malwarebytes Anti-Malware niczego nie wykryło. Bardzo dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi