Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zablokowany komputer pomocy

potaki

Przez potaki
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Na dysku widoczne ślady aż trzech wariantów tej infekcji. Poza tym, jest tu podejrzany sterownik 32-bit rzekomo od Microsoftu:

 

DRV - [2001-05-24 12:42:40 | 000,021,504 | R--- | M] (Microsoft Corporation) [Adapter | On_Demand | Unknown] -- C:\Windows\SysWow64\WINSOCK.DLL -- (Winsock)

 

Na systemie 64-bit nie ma tego pliku w katalogu SysWOW64, nie wspominając już o jego dacie 2001. Na początek zadam usuwanie tylko pliku, asekuracja na wypadek gdyby OTL wywalił prawidłową usługę o nazwie "Winsock" z części stricte 64-bitowej.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1081769291-796108983-1126474800-1000\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb"
O3 - HKU\S-1-5-21-1081769291-796108983-1126474800-1000\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O4 - HKLM..\Run: [TaskTray]  File not found
O4 - HKU\S-1-5-21-1081769291-796108983-1126474800-1000..\Run: [TapiSysprep] C:\Users\potaki\AppData\Local\Microsoft\Windows\2663\TapiSysprep.exe ()
 
:Files
C:\BOS
C:\Users\potaki\AppData\Local\Microsoft\Windows\2663
C:\Users\potaki\AppData\Roaming\hellomoto
C:\ProgramData\hqlaqsoqhaizrql
C:\ProgramData\ngllrslhtouided
C:\Windows\SysNative\drivers\ynognzln.sys
C:\Windows\SysWow64\WINSOCK.DLL
C:\Users\potaki\AppData\Roaming\ProgSense
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Edytowane przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...