Wladys11 Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 Witam! Walczę parę godzin ale nie udało mi się go usunąć. Proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 Niestety to nie jedyna infekcja, masz również infekcję z dysków przenośnych USB i resztki robaka Brontok (zablokowane Opcje folderów i regedit). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O4 - HKLM..\Run: [XpsPrint] C:\Documents and Settings\a\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2401\XpsPrint.exe (Opera Software) O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\a\Ustawienia lokalne\Temp\herss.exe () O4 - HKCU..\Run: [Tok-Cirrhatus] File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/msaudio.cab" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) :Files autorun.inf /alldrives mranjm.exe /alldrives C:\Documents and Settings\a\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2401 C:\Documents and Settings\a\Dane aplikacji\hellomoto :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz USBFix z opcji Listing. . Odnośnik do komentarza
Wladys11 Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 GMER nic nie znalazł UsbFix.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 Zadania pomyślnie wykonane. Kolejne zadania: 1. Prewencyjne usunięcie katalogów Koszy z wszystkich dysków oraz szczątków po checkdisk. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files RECYCLER /alldrives Recycled /alldrives H:\FOUND.000 Klik w Wykonaj skrypt. 2. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Wladys11 Opublikowano 19 Października 2012 Autor Zgłoś Udostępnij Opublikowano 19 Października 2012 Wykonano mbam-log-2012-10-19 (19-38-37).txt Odnośnik do komentarza
picasso Opublikowano 20 Października 2012 Zgłoś Udostępnij Opublikowano 20 Października 2012 1. Wyniki MBAM: do usunięcia PUP.MyWebSearch, Worm.Magania, Malware.Trace. Natomiast Trojan.Dropper w laurce wygląda na fałszywy alarm, a PUM.Disabled.SecurityCenter to tylko wyłączone powiadomienia Centrum zabezpieczeń. Po usuwaniu w MBAM ponownie wyczyść foldery Przywracania systemu. 2. Zabezpiecz system przed infekcjami z mediów przenośnych uruchamianych techniką autorun.inf. Skorzystaj z Panda USB vaccine i opcji Computer Vaccination. 3. Obowiązkowe aktualizacje do wykonania: KLIK. W logu widać krytyczny poziom zabezpieczeń Windows (brak SP3+IE8) oraz wersje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) ----> odinstaluj"Gadu-Gadu" = Gadu-Gadu 6.1"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Gadu-Gadu 6.1 też zakreślam, wersja równie krytyczna co stan zabezpieczeń systemu, brak pełnej obsługi własnej sieci i brak zabezpieczeń (nieszyfrowane łączenia, łatwy hack profilu). Do wglądu materiał o komunikatorach i alternatywach dla Gadu: KLIK. Komunikatory, które się liczą: WTW, Kadu, Miranda, AQQ. 4. Nie posiadasz żadnego oprogramowania zabezpieczającego / antywirusa ... . Odnośnik do komentarza
Rekomendowane odpowiedzi