Live Security Platinum - POMOCY

[hetmn82]

Witam,

mam problem z powyzszym paskudztwem.

 

OTL wygenerował pliki:

 

 

Proszę o pomoc .

OTL.Txt

Extras.Txt

[picasso]

Log z OTL zrobiony z poziomu wbudowanego w system konta Administrator a nie konta użytkownika:

 

Computer Name: LEPLLTC0053 | User Name: Administrator | Logged in as Administrator.

 

Konta mają różne rejestry i foldery. Logi muszą pochodzić z konta na którym jest problem.

 

 

 

.

[hetmn82]

Tylko OTL działa , gdy otwieram go "uruchom jako" i daje hasło admin.. Nak koncie Admin jest wszytsko ok jedynie na uzytkowniku wystepuje problem, niestety nie jestem wstanie nic odpalić bez hasła admin.

[picasso]

Czy konto użytkownika jest kontem limitowanym? Poza tym, logi utwórz z poziomu Trybu awaryjnego, w którym infekcja się nie ładuje.

[hetmn82]

konto jest limitowane, nowe pliki z trybu awaryjnego

OTL.Txt

Extras.Txt

[picasso]

Na tym koncie widać odpowiednie wpisy infekcji. Konto nie ma uprawnień administracyjnych, toteż zadaję tylko wpisy HKCU na usuwanie i mam nadzieję, że da radę. W przeciwnym wypadku dokończymy z poziomu innego konta.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [Clock Widget (HTC Home)] "C:\Documents and Settings\mhetmanc\Desktop\HTC\HTC3\Clock.exe" File not found
O4 - HKCU..\RunOnce: [036DFF6138F97E8DD1FB8E087B07D287] C:\Documents and Settings\All Users\Application Data\036DFF6138F97E8DD1FB8E087B07D287\036DFF6138F97E8DD1FB8E087B07D287.exe ()
 
:Files
C:\Documents and Settings\All Users\Application Data\036DFF6138F97E8DD1FB8E087B07D287
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[hetmn82]

dalej w tryie awayjnm restart??

[picasso]

Skrypt uruchamiasz w Trybie awaryjnym, ale po restarcie system loguj do Trybu normalnego.

[hetmn82]

Załączam jescze nowy OTL.

Wszystko działa jak powinno .

dzieki serdeczne. Zapraszam w Krakowie na Piwo.

Maciek

OTL.Txt

[picasso]

Zadanie wykonane. Ale wkleiłeś do nowego skanu skrypt, skanowanie to co innego. I mam pytanie, czy konfiguracja Przywracania systemu była blokowana celowo:

 

========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableConfig" = 1

 

 

Kolejne czynności do przeprowadzenia:

 

1. Przeloguj się na Administratora i doczyść odpadki innych obiektów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] -- system32\DRIVERS\nwusbser.sys -- (NWUSBPort)
DRV - File not found [Kernel | On_Demand | Unknown] -- system32\DRIVERS\nwusbmdm.sys -- (NWUSBModem)
DRV - File not found [Kernel | Boot | Unknown] --  -- (cerc6)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

 

Klik w Wykonaj skrypt. Gdy program ukończy, użyj w nim opcję Sprzątanie, która skasuje z dysku OTL wraz z kwarantanną.

 

2. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

[hetmn82]

po skanowaniu w Malwerbytes

[picasso]

Zamiast obrazka proszę o raport tekstowy (opcja "Zapisz log"). Podmień w poście powyżej i na PW zawiadom mnie o edycji posta. Wtedy tu zmodyfikuję z kolei swój post.

Edytowane 29 Września 2012 przez picasso
29.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso