Stanziu Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Witam, Komputer po blokadzie Ukash, wyczyszczony ręcznie z większości śmieci (a przynajmniej mam taką nadzieję). Proszę o sprawdzenie, czy czegoś nie pominąłem. Logi w załączeniu. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... checkup.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Po infekcji pozostał poboczny folder hellomoto. Nie opisałeś w jaki sposób czyściłeś ręcznie, tzn. nie mam danych czy główny katalog infekcji został usunięty w całości. Podaj skan dodatkowy. Uruchom SystemLook i w oknie wklej: :dir C:\Users\Ryś\AppData\Local\Microsoft\Windows /s Kliknij w Look. Przedstaw raport. . Odnośnik do komentarza
Stanziu Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Czyszczenie ręczne czyli wg mnie: - z poziomu administratora zabicie wszystkich podejżanych procesów - odinstalowanie z poziomu Dodat/Usuń wszystkich rzeczy, które są oczywiście niepotrzebne - wyrzucenie z poziomu msconfig nierozpoznanych rzeczy z uruchamiania - wycięcie podejrzanych katalogów - aktualizacja systemu i antywirusa - przeskanowanie systemu antywirusem Na koniec całej operacji przypomniałem sobie o tym forum... SystemLook.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Nie do końca wyczyściłeś katalogi infekcji, główny nadal jest: C:\Users\Ryś\AppData\Local\Microsoft\Windows\4048 d------ [18:21 06/07/2012]c8fb5340 --a---- 19028 bytes [18:21 06/07/2012] [18:21 06/07/2012] Poza tym, interesuje mnie co oznacza "wyrzucenie" (usunięcie permanentne z rejestru czy tylko wyłączenie): Cytat - wyrzucenie z poziomu msconfig nierozpoznanych rzeczy z uruchamiania Jedziemy z poprawką, przy okazji inne szczątki, w tym od LogMeIn, które zdaje się być odinstalowane. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Ryś\AppData\Local\Microsoft\Windows\4048 C:\Users\Ryś\AppData\Roaming\hellomoto :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1227696705-3821862916-1512790210-500..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate) SRV - File not found [Auto | Stopped] -- C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe -- (LMIGuardianSvc) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\LogMeIn\x86\RaInfo.sys -- (LMIInfo) DRV - [2012-05-26 05:34:41 | 000,083,360 | ---- | M] (LogMeIn, Inc.) [File_System | Disabled | Stopped] -- C:\Windows\System32\LMIRfsClientNP.dll -- (LMIRfsClientNP) DRV - [2008-07-24 19:46:10 | 000,047,640 | ---- | M] (LogMeIn, Inc.) [File_System | Auto | Running] -- C:\Windows\System32\drivers\LMIRfsDriver.sys -- (LMIRfsDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\eabfiltr.sys -- (eabfiltr) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Wystarczy do oceny tylko log z wynikami usuwania. Nie potrzebuję już nowego skanu OTL. . Odnośnik do komentarza
Stanziu Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Wyłączenie, nie usuwałem wpisów w rejestrze. w załączeniu log z wykonania skryptu 07192012_183321.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Skrypt pomyślnie wykonany. Cytat Wyłączenie, nie usuwałem wpisów w rejestrze. To i potrzebny nowy skan na msconfig. W SystemLook wklej do skanu: :reg HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Msconfig /s . Odnośnik do komentarza
Stanziu Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 log w załączeniu SystemLook2.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Na pewno wpis infekcji był wyłączany w msconfig? Nic związanego z infekcją w tym kluczu, tylko wpisy LogMeIn i kamery (snpstd3 + tsnpstd3) ... 1. Skoro LogMeIn już usunięte, to dokończ martwy klucz w msconfig. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Msconfig\startupreg\LogMeIn GUI 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i kwarantannę. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych (to m.in. stara Java jest furtką dla tej infekcji): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216018F0}" = Java 6 Update 18"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Google Chrome" = Google Chrome 20.0.1132.47"Microsoft SQL Server 2005" = Microsoft SQL Server 2005 + Service Pack dla Microsoft SQL Server 2005: KB913089 . Odnośnik do komentarza
Rekomendowane odpowiedzi