wojtekkk Opublikowano 30 Lipca 2012 Zgłoś Udostępnij Opublikowano 30 Lipca 2012 Mam problem z tym paskudstwem. Na początku blokowało mi wszystkie programy i przestawiło ikony na pulpicie, po restarcie nie widać powiadomień jednak widzę, że wirus ciągle siedzi na komputerze. Z góry dzięki za pomoc EDIT: Na własną rękę usunąłem podejżane wpisy z rejestru, poniżej nowe logi pozostał problem zmieniających się ikon na pulpicie na duże po restarcie oraz ich automatyczne rozmieszczenie pomimo wyłączenia autorozmieszczenia Extras.Txt OTL.Txt gmerr.txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Niestety tutaj jest infekcja ZeroAccess a więc z wyższej półki. Potrzebny raport uzupełniający. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport. Odnośnik do komentarza
wojtekkk Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Poniżej raporcik SystemLook 30.07.11 by jpshortstuff Log created at 09:03 on 31/07/2012 by Wojtek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Wojtek\AppData\Local\{648c7366-661d-8c7c-a2b5-bfc01b210a94}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [11:33 30/07/2012] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-07-19 18:55:30 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Wojtek\AppData\Roaming\mozilla\Firefox\Profiles\rc7j4662.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\Windows\Installer\{648c7366-661d-8c7c-a2b5-bfc01b210a94} C:\Users\Wojtek\AppData\Local\{648c7366-661d-8c7c-a2b5-bfc01b210a94} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
wojtekkk Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 systemlook wywala błąd "sript requided"(w trybie awaryjnym również) ikony na pulpicie wróciły na swoje miejsce OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu dajesz nowy log z FSS Odnośnik do komentarza
wojtekkk Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 raport w załączniku ps można Was jakoś "wspomóc"? FSS.txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. ps można Was jakoś "wspomóc"? Zobacz tutaj: https://www.fixitpc.pl/topic/2595-przycisk-dotacji-wsparcie-finansowe-dla-forum/ Odnośnik do komentarza
wojtekkk Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Dziękuję za pomoc - kawał dobrej roboty. Przelewik wysłany - pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi