Rearus Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Witam! Wczoraj wieczorem na komputerze mojej dziewczyny zagościł ten niepożądany gość. Ze względu na to, że nie poradziłaby sobie z robieniem wszystkich logów etc. poinstruowałem ją tylko żeby zamknęła LSP processkillerem i usunęła pliki. Jak pewnie się domyślacie, półtorej minuty później malware dalej hulał. Załączam więc logi i proszę o jak najszybszą pomoc. Pozdrawiam . Extras.Txt GMER.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3072253" IE - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" [2012-07-30 13:36:50 | 000,000,000 | ---D | M] (uTorrentControl2) -- C:\Users\Dagmarka\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\Run: [kriyfhm] C:\Users\Dagmarka\AppData\Local\jfuqnq.exe () O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\Run: [Microsoft Windows System] C:\Users\Dagmarka\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\RunOnce: [036DFF98CDD109F09B3267724F147C45] C:\ProgramData\036DFF98CDD109F09B3267724F147C45\036DFF98CDD109F09B3267724F147C45.exe () O4 - Startup: C:\Users\Dagmarka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hskib.exe () :Files C:\Users\Dagmarka\P-7-78-8964-9648-3874 C:\ProgramData\036DFF98CDD109F09B3267724F147C45 C:\Users\Dagmarka\Desktop\Live Security Platinum.lnk C:\Users\Dagmarka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Rearus Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 załączam logi OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Jakoś tak nie do końca wykonane. Kolejny skrypt: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) [2012-07-30 13:36:50 | 000,000,000 | ---D | M] (uTorrentControl2) -- C:\Users\Dagmarka\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O3 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\Run: [kriyfhm] C:\Users\Dagmarka\AppData\Local\jfuqnq.exe () O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\Run: [Microsoft Windows System] C:\Users\Dagmarka\P-7-78-8964-9648-3874\windll.exe File not found O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\RunOnce: [036DFF98CDD109F09B3267724F147C45] C:\ProgramData\036DFF98CDD109F09B3267724F147C45\036DFF98CDD109F09B3267724F147C45.exe File not found O4 - Startup: C:\Users\Dagmarka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hskib.exe () :Commands [emptytemp] Klik w Wykonaj skrypt. Nowy log do oceny. Odnośnik do komentarza
Rearus Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 zał OTL1.Txt Odnośnik do komentarza
Landuss Opublikowano 1 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 (edytowane) Nadal nie wykonane. Powtórz to z trybu awaryjnego. Edytowane 31 Sierpnia 2012 przez picasso 1.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi