Stanziu Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Witam, Komputer po blokadzie Ukash, wyczyszczony ręcznie z większości śmieci (a przynajmniej mam taką nadzieję). Proszę o sprawdzenie, czy czegoś nie pominąłem. Logi w załączeniu. OTL.Txt Extras.Txt gmer.txt checkup.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Po infekcji pozostał poboczny folder hellomoto. Nie opisałeś w jaki sposób czyściłeś ręcznie, tzn. nie mam danych czy główny katalog infekcji został usunięty w całości. Podaj skan dodatkowy. Uruchom SystemLook i w oknie wklej: :dir C:\Users\Ryś\AppData\Local\Microsoft\Windows /s Kliknij w Look. Przedstaw raport. . Odnośnik do komentarza
Stanziu Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Czyszczenie ręczne czyli wg mnie: - z poziomu administratora zabicie wszystkich podejżanych procesów - odinstalowanie z poziomu Dodat/Usuń wszystkich rzeczy, które są oczywiście niepotrzebne - wyrzucenie z poziomu msconfig nierozpoznanych rzeczy z uruchamiania - wycięcie podejrzanych katalogów - aktualizacja systemu i antywirusa - przeskanowanie systemu antywirusem Na koniec całej operacji przypomniałem sobie o tym forum... SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Nie do końca wyczyściłeś katalogi infekcji, główny nadal jest: C:\Users\Ryś\AppData\Local\Microsoft\Windows\4048 d------ [18:21 06/07/2012]c8fb5340 --a---- 19028 bytes [18:21 06/07/2012] [18:21 06/07/2012] Poza tym, interesuje mnie co oznacza "wyrzucenie" (usunięcie permanentne z rejestru czy tylko wyłączenie): - wyrzucenie z poziomu msconfig nierozpoznanych rzeczy z uruchamiania Jedziemy z poprawką, przy okazji inne szczątki, w tym od LogMeIn, które zdaje się być odinstalowane. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Ryś\AppData\Local\Microsoft\Windows\4048 C:\Users\Ryś\AppData\Roaming\hellomoto :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1227696705-3821862916-1512790210-500..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate) SRV - File not found [Auto | Stopped] -- C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe -- (LMIGuardianSvc) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\LogMeIn\x86\RaInfo.sys -- (LMIInfo) DRV - [2012-05-26 05:34:41 | 000,083,360 | ---- | M] (LogMeIn, Inc.) [File_System | Disabled | Stopped] -- C:\Windows\System32\LMIRfsClientNP.dll -- (LMIRfsClientNP) DRV - [2008-07-24 19:46:10 | 000,047,640 | ---- | M] (LogMeIn, Inc.) [File_System | Auto | Running] -- C:\Windows\System32\drivers\LMIRfsDriver.sys -- (LMIRfsDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\eabfiltr.sys -- (eabfiltr) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Wystarczy do oceny tylko log z wynikami usuwania. Nie potrzebuję już nowego skanu OTL. . Odnośnik do komentarza
Stanziu Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Wyłączenie, nie usuwałem wpisów w rejestrze. w załączeniu log z wykonania skryptu 07192012_183321.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Skrypt pomyślnie wykonany. Wyłączenie, nie usuwałem wpisów w rejestrze. To i potrzebny nowy skan na msconfig. W SystemLook wklej do skanu: :reg HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Msconfig /s . Odnośnik do komentarza
Stanziu Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 log w załączeniu SystemLook2.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Na pewno wpis infekcji był wyłączany w msconfig? Nic związanego z infekcją w tym kluczu, tylko wpisy LogMeIn i kamery (snpstd3 + tsnpstd3) ... 1. Skoro LogMeIn już usunięte, to dokończ martwy klucz w msconfig. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Msconfig\startupreg\LogMeIn GUI 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i kwarantannę. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych (to m.in. stara Java jest furtką dla tej infekcji): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216018F0}" = Java 6 Update 18"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Google Chrome" = Google Chrome 20.0.1132.47"Microsoft SQL Server 2005" = Microsoft SQL Server 2005 + Service Pack dla Microsoft SQL Server 2005: KB913089 . Odnośnik do komentarza
Rekomendowane odpowiedzi