meloow Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Witajcie dziś rano zaliczyłem ucash'a ręcznie pousuwałem co nie co i komp się uruchomił bez problemu. Następnie użyłem Combofix a kolejny to malwarebytes który nic nie wykazał oraz NOD32 też nic nie wykazał. Co najdziwniejsze to to że właśnie NOD32 nie odnotował tego ataku. (system aktualny, baza noda też) teraz puściłem otl'a poniżej log, czy ktoś może go przeanalizować i potwierdzić że sprzęt jest czysty ? z góry dzięki. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Na temat używania ComboFix: KLIK. A zasady działu wyraźnie mówią, by pokazać co robił, czyli przedstawić log z tamtego uruchomienia (nie uruchamiać narzędzia ponownie). I opisz jak wyglądało "ręczne usuwanie" = co i skąd. . Odnośnik do komentarza
meloow Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 A więc tak w trybie awaryjnym usunąłem C:\Documents and Settings\........\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\ (katalog z cyframi) C:\Documents and Settings\.............\Dane aplikacji\hellomoto poniżej log z combofixa (pierwszego odpalenia po infekcji) ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 ComboFix był tu użyty niepotrzebnie. Jedyne co zrobił to usunięcie już pustego (wynik Twoich operacji) wpisu infekcji z rejestru: - - - - USUNIĘTO PUSTE WPISY - - - -.HKLM-Run-WSDPrintProxy - c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813\WSDPrintProxy.exe Nie było to warte uruchamiania tak potężnej procedury. To mały wpis usuwany na wiele mniej inwazyjnych sposobów. OK, po obejrzeniu logów nie zostało tu nic więcej do roboty poza podstawami wykończeniowymi: 1. Minimalna korekta na odpadki i szczątki adware "Yahoo-Zugo". Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110822&user_guid=3D06E91258CF486C86A1175A77F63A42&machine_id=c400078befacbb6e957f092358b487a3&browser=FF&os=win&os_version=5.1-x86-SP3&q=" FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll File not found FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll File not found [2011-08-22 22:01:22 | 000,001,390 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\4ivf0tdf.default\searchplugins\yahoo-zugo.xml DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\CSN5PDTS82x64.sys -- (CSN5PDTS82x64) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\catchme.sys -- (catchme) Klik w Wykonaj skrypt. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\admin\Pulpit\ComboFix.exe" /uninstall Gdy komenda ukończy, użyj Sprzątanie w OTL. 3. Do aktualizacji (KLIK) poniższe pozycje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX ----> wtyczka dla IE do sprawdzenia"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin ----> wtyczka dla Firefox/Opera już jest najnowsza"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) . Odnośnik do komentarza
Rekomendowane odpowiedzi