calupus Opublikowano 1 Września 2012 Zgłoś Udostępnij Opublikowano 1 Września 2012 Witam, Padłem ofiarą trojana z komunikatem: "Tu Policja zapłać ..., UKASH .." Logi z OTL z załącznikach. Proszę o pomoc. Z góry dziękuję. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Września 2012 Zgłoś Udostępnij Opublikowano 1 Września 2012 Stosowałeś ComboFix, na ten temat: KLIK. Log z OTL zrobiony z poziomu niewłaściwego konta, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: ICOM-97A402F8D5 | User Name: Administrator | Logged in as Administrator. Konta mają różne foldery i rejestry. Widać owszem infekcję w podanym OTL, ale tylko dlatego, że jest dopisana w kluczu HKLM = wspólny dla wszystkich kont. I tak jednak nie jest sprawdzony obszar konta użytkownika. System także zabrudzony adware, ale tym się zajmę mając już właściwe logi z OTL. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [spoolss] C:\Documents and Settings\HP\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4578\spoolss.exe () O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- I:\CDriver.sys -- (MSICDSetup) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Stopped] -- I:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1.ICO\USTAWI~1\Temp\catchme.sys -- (catchme) :Files C:\Documents and Settings\HP\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4578 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) z właściwego konta użytkownika. Dołącz też log z usuwania OTL z punktu 1. . Odnośnik do komentarza
calupus Opublikowano 1 Września 2012 Autor Zgłoś Udostępnij Opublikowano 1 Września 2012 Dzięki za odpowiedź. ComboFix'em tylko skanowałem. Nie odpalałem w nim żadnych skryptów. W załączniku skan z konta użytkownika. logUsuwania_OTL.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Września 2012 Zgłoś Udostępnij Opublikowano 1 Września 2012 (edytowane) ComboFix'em tylko skanowałem. Nie odpalałem w nim żadnych skryptów. To nie ma znaczenia. Podany link wszystko wyjaśnia. Uruchomienie ComboFix jest równoznaczne z wdrożeniem automatycznych procedur narzędzia. Narzędzie nigdy nie działa w trybie tylko do odczytu. Niezależnie od tego czy coś usunie czy nie i tak modyfikuje system ... To nie jest normalny skaner, nie da się wybrać operacji robionych przez narzędzie, i nie stosuje się tego w domu. Zadanie wykonane. Przechodzimy do czyszczenia adware: 1. Deinstalacje adware: - Otwórz Google Chrome i w Rozszerzeniach odmontuj: RelevantKnowledge, uTorrentBar, vshare plugin. Ponadto, z listy stron startowych wymaż startsear.ch. - Przez Panel sterowania odinstaluj: Ask Toolbar (jeszcze powinien być Ask Toolbar Updater), Babylon toolbar on IE, SweetIM for Messenger 3.6, SweetIM Toolbar for Internet Explorer 4.2, uTorrentBar Toolbar, vShare.tv plugin. 2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\HP\Dane aplikacji\hellomoto :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania AdwCleaner z punktu 2. . Edytowane 29 Września 2012 przez picasso 29.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi