AkuAP Opublikowano 30 Września 2012 Zgłoś Udostępnij Opublikowano 30 Września 2012 Jak w tytule wklejam logi OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Używałeś ComboFix, a brak tu o tym wzmianki i brak raportu z jego działania. Na temat używania ComboFix: KLIK. Logi OTL zrobione z poziomu konta Administrator wbudowanego w system a nie konta użytkownika: Computer Name: XXX-CE393F76420 | User Name: Administrator | Logged in as Administrator. Czy konto Administrator na pewno tu jest równoważne z kontem użytkownika? Konto Administrator jest specjalne i jego używanie jako konta głównego sprzecza się z rolą tego konta. Owszem, widzę infekcję na tym koncie, ale pewności tu brak które konto jest właściwym i czy aby nie ma większej liczby kont. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2012-09-29 18:46:30 | 000,616,160 | ---- | M] () [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService\ibsvc.exe -- (IBUpdaterService) O4 - HKU\S-1-5-21-839522115-963894560-1417001333-500..\Run: [taxtzajxugwmbds] C:\WINDOWS\taxtzajx.exe () [2012-09-29 19:36:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\mnjbhfhxudrtshj [2012-09-29 18:47:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService [2012-09-29 19:36:32 | 000,078,021 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\nfhgiejkkouadob O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie i działasz już w Trybie normalnym Windows: 2. Przez Panel sterowania odinstaluj adware Winamp Toolbar for Internet Explorer, Winamp Toolbar for Firefox. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
AkuAP Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 Najpierw znalazłem w necie info o combofixie, później na tej stronie przeczytałem, że jest zbyt mocny, a po za tym nie usunął problemu. Dołącze teraz log z niego tak na wszelki wypadek i nowy z OTL. To komputer szwagra i konto administrator jest jedynym kontem. Problem chyba usunięty. Zastosowałem się do zaleceń. Wielkie dzięki za pomoc. OTL.Txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 ComboFix tylko lizał temat tej infekcji, usuwał połowę i nie zainteresował się głównym wpisem w starcie. Jego użycie było bezproduktywne i miało też skutki uboczne w postaci usunięcia tych prawidłowych obiektów Fakturki i 100 najsłynniejszych budowli: ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..c:\documents and settings\All Users\Menu Start\Programy\Fakturkac:\documents and settings\All Users\Menu Start\Programy\Fakturka\Fakturka.lnkc:\windows\IsUn0415.exe - - - - USUNIĘTO PUSTE WPISY - - - -.AddRemove-100 najsłynniejszych budowli - c:\windows\IsUn0415.exe Moje działania usunęły infekcję i możemy już kończyć temat: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę: "C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe" /uninstall Gdy komenda ukończy działanie, w OTL zastosuj Sprzątanie. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 2. Do aktualizacji cały Windows (krytyczny poziom aktualizacji) i poniżej wymienione aplikacje. Podstawowe szczegóły: KLIK. Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish"{DBC3FDEC-D5F4-439C-9A18-EF454A74E3DE}_is1" = NOD32 FiX"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX"Gadu-Gadu" = Gadu-Gadu 7.7"KLiteCodecPack_is1" = K-Lite Codec Pack 3.8.0 Full"Mozilla Firefox 14.0.1 (x86 en-US)" = Mozilla Firefox 14.0.1 (x86 en-US)"NOD32" = System Antywirusowy NOD32 W podsumowaniu: - Pełna aktualizacja Windows. Stare Adobe, Java i kodeki do deinstalacji (zastąp najnowszymi wersjami). Firefox do aktualizacji. - Antywirus całkowicie do wymiany, stasznie stary ESET, czteroletni i na dodatek crackowany. Usunięcie go wg kroków: deinstalacja przez Panel sterowania antywirusa i NOD32 FiX, po tym z poziomu Trybu awaryjnego poprawka specjalizowanym usuwaczem ESET Uninstaller . - Gadu-Gadu 7.7 też tu zakreślam. Jest to wersja przestarzała, niepełnosprawna i słabo zabezpieczona. Do wglądu artykuł Darmowe komunikatory i alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi