ciemak666 Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Infekacja przez facebooka Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Wg OTL próbowałeś uruchamiać GMER - jakąś potwornie starą wersję, która operowała przez pliki DLL/INI: [2012-09-09 08:41:03 | 000,000,250 | ---- | M] () -- C:\WINDOWS\gmer.ini[2012-09-09 08:24:34 | 000,573,503 | ---- | M] () -- C:\WINDOWS\gmer.dll[2012-09-09 08:24:34 | 000,069,905 | ---- | M] (GMER) -- C:\WINDOWS\System32\drivers\gmer.sys[2012-09-09 08:24:34 | 000,000,080 | ---- | M] () -- C:\WINDOWS\gmer_uninstall.cmd Poza tym, by uruchomić GMER, należy usunąć sterownik emulacyjny SPTD (KLIK): DRV - [2011-11-13 19:50:10 | 000,682,232 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKLM..\Run: [Windows Media Protocal] C:\WINDOWS\system32\wmptb64.exe () :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\wmptb64.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\wmptb64.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + GMER. Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
ciemak666 Opublikowano 9 Września 2012 Autor Zgłoś Udostępnij Opublikowano 9 Września 2012 log z wynikami usuwania: http://wklej.to/JCpjy OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 A co ze skanem GMER? I konsekwentnie sterownik SPTD nie usunięty przed skanem: DRV - [2011-11-13 19:50:10 | 000,682,232 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) . Odnośnik do komentarza
ciemak666 Opublikowano 9 Września 2012 Autor Zgłoś Udostępnij Opublikowano 9 Września 2012 edit gmer log gmer-1.txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Jak mówię, złe środowisko uruchomienia GMER = czynny sterownik SPTD. Podawałam przecież instrukcje jak go uziemić. Ale zostaw to już. Przejdź do tych czynności: 1. Mini poprawka, został pusty wpis po infekcji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [Windows Media Protocal] C:\WINDOWS\system32\wmptb64.exe File not found Klik w Wykonaj skrypt. 2. W OTL zastosuj Sprzątanie, które skasuje z dysku kwarantannę z trojanem. Uruchom plik C:\WINDOWS\gmer_uninstall.cmd. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. O ile coś wykryje, przedstaw raport (pustego nie załączaj). Potwierdź czy problem samorozsyłania na Facebooku ustąpił. . Odnośnik do komentarza
ciemak666 Opublikowano 9 Września 2012 Autor Zgłoś Udostępnij Opublikowano 9 Września 2012 Dzieki, wygląda na wszystko okej Odnośnik do komentarza
picasso Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Na zakończenie zaktualizuj poniższe aplikacje. Szczegóły aktualizacyjne: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{31BFEC6C-1F27-45B5-839C-BCBAE327993A}" = OpenOffice.org 3.0"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 ----> tę pozycję odinstaluj"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 4.1.10329.0"ENTERPRISE" = Microsoft Office Enterprise 2007 -----> brak pakietu SP3"Foxit Reader_is1" = Foxit Reader 5.0"HijackThis" = HijackThis 1.99.1"KLiteCodecPack_is1" = K-Lite Codec Pack 2.71 Standard"Mozilla Firefox 16.0 (x86 pl)" = Mozilla Firefox 16.0 (x86 pl)"Mozilla Thunderbird 13.0.1 (x86 pl)" = Mozilla Thunderbird 13.0.1 (x86 pl)"Opera 12.01.1532" = Opera 12.01 Mam również uwagę na temat Konnekt. To próchno ledwo działa. Obsługa Gadu przedstawia wiele do życzenia. Zainteresuj się nowoczesnym WTW opisanym w moim artykule Darmowe komunikatory. Konnekta już dawno prześcignął. Lepsza obsługa Gadu, lepsza obsługa innych sieci. Są dostępne wtyczki i style. . Odnośnik do komentarza
ciemak666 Opublikowano 9 Września 2012 Autor Zgłoś Udostępnij Opublikowano 9 Września 2012 dobra, dzieki za rady zaraz sprawdze tego wtw Odnośnik do komentarza
Rekomendowane odpowiedzi