Donio8 Opublikowano 9 Listopada 2012 Zgłoś Udostępnij Opublikowano 9 Listopada 2012 Witam Wczoraj zainfekowany został mój laptop HP Comaq 6710b wirusem gdzie pojawiła się plansza "Polska Policja Departament Cyberprzestępczości". Poprzez skanowanie z poziomu USB Kaspersky Rescue Disk udało się zniwelować planszę, lecz pozostał problem braku sieci, internetu, zablokowany kosz, wolne załączanie się pulpitu po napisie "Zapraszamy" Skanowałem kompa przy pomocy ESET, znalazł 18 zagrożeń, poprzez ccleanera usunąłem z autostartu aplikację o długiej nazwie o rozszerzeniu exe, lecz problem dalej istnieje. Logi z OTL-a i GMER-a robiłem z poziomu dysku USB gdyż nie mogę skopiować danych z USB na dysk, log z GMER-a robiłem ponadto z poziomu trybu awaryjnego, gdyż w normalnym trybie następował Blue screen i reset. Z góry dziękuję i pozdrawiam. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2012 Zgłoś Udostępnij Opublikowano 9 Listopada 2012 Brak oznak czynnej infekcji. Na dysku pozostał po infekcji fałszywy plik lsass.exe, ale nie jest uruchamiany. Są tu też ślady adware v9 + po wtyczkach vShare/LiveVDO oraz szczątki paska AVG. Doczyść to: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1332514889_276198" IE - HKU\S-1-5-21-1085031214-1500820517-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1332514889_276198" FF - HKEY_CURRENT_USER\software\mozilla\SeaMonkey\Extensions\\mozilla_cc@internetdownloadmanager.com: C:\Documents and Settings\Laptop\Dane aplikacji\IDM\idmmzcc5 O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [NPSStartup] File not found SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0) DRV - [2012-10-22 17:20:08 | 000,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp) [2012-11-08 18:14:35 | 000,033,280 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe [2012-03-23 16:01:29 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml [2012-11-04 20:13:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\McAfee [2012-10-28 20:12:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee [2012-11-09 12:10:22 | 000,000,000 | -HSD | C] -- C:\found.000 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Start Page"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Poprzez skanowanie z poziomu USB Kaspersky Rescue Disk udało się zniwelować planszę, lecz pozostał problem braku sieci, internetu, zablokowany kosz, wolne załączanie się pulpitu po napisie "Zapraszamy" Opisz dokładnie co robiłeś w Kasperskym, bo wyniki mi się nie podobają. To nie są objawy tej infekcji, a wyliczone powyżej komponenty nie mogą tworzyć tych usterek, bo to w ogóle nie ten zakres modyfikacji. Brak sieci i wolne włączanie na ekranie Zapraszamy: pierwszy podejrzany to ESET. Opisz dokładniej o co chodzi z Koszem. . Odnośnik do komentarza
Donio8 Opublikowano 9 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2012 Wykonywanie skryptu w OTL-u jakby się zawiesiło. klepsydra, na dolnym pasku Processing DRV - [2012-10-22 17:20:08| 00,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] . trwa to już kilkanaście minut W Kasperskym robiłem skanowanie w poszukiwaniu wirusów odpalonym na boocie z usb - kaspersky rescue disk - zeskanował tam kilka wirusów, wyleczyłem je, niektóre usunąłem i restart . Przy restarcie pojawił się problem blue screenu przy ładowaniu windowsa, z konsoli odzyskiwanie chkdsk naprawiłem to. Z koszem widze teraz jest chyba w porządku, było coś takiego, że kosz nie może być teraz opróżniony czy chcesz go opróżnić? teraz widzę problem w kopiowaniu plików z folderu do folderu i zwykłym przenoszeniu nawet. A ESETA nie mogę usunąć bo wyskakuje, że instalator windows nie może być uruchomiony (dokładnego tekstu komunikatu nie znam, bo ten OTL jakby się zawiesił przy wykonywaniu skryptu). Teraz jeszcze zauważyłem, że coś nie tak jest z paskiem startu, otóż jest on dziwnie przycięty i jak zminimalizuje jakieś okno to nie wyświetla się na nim. Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2012 Zgłoś Udostępnij Opublikowano 10 Listopada 2012 A ESETA nie mogę usunąć bo wyskakuje, że instalator windows nie może być uruchomiony (dokładnego tekstu komunikatu nie znam, bo ten OTL jakby się zawiesił przy wykonywaniu skryptu). Zaraz ... Próbowałeś odinstalować ESET podczas uruchamiania skryptu!? Tak nie wolno. Skrypt zabija procesy i wtedy mało co działa oraz jest autoreset systemu na widoku. Jeśli jednak źle odczytuję Twoją wypowiedź, to wejdź w Tryb awaryjny Windows i zastosuj dedykowany ESET Uninstaller. Dopiero po tym: Wykonywanie skryptu w OTL-u jakby się zawiesiło. klepsydra, na dolnym pasku Processing DRV - [2012-10-22 17:20:08| 00,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] . trwa to już kilkanaście minut Ponów wykonanie skryptu, ale z poziomu Trybu awaryjnego. . Odnośnik do komentarza
Donio8 Opublikowano 10 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Witam. Nie ESETa próbowałem odinstalować wcześniej nie podczas wykonywania skryptu. Przez tryb awaryjny przez ten program co podałaś też nie idzie wyświetla: Error ! RegisterServer: StartService failed! 0x42C Error! Registry support initialization failed: 0x42C już na samym początku i tylko wyjście możliwe. Wykonanie skryptu w trybie awaryjnym to samo zawiecha przy Processing DRV. Problemy chyba są przez to wykonanie chkdsk.. Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 (edytowane) Wykonanie skryptu w trybie awaryjnym to samo zawiecha przy Processing DRV. Wytnij ze skryptu linię: DRV - [2012-10-22 17:20:08 | 000,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp) Pozwól się skryptowi przetworzyć. Gdy ukończy, Start > Uruchom > cmd i wpisz komendy: sc stop avgtp sc delete avgtp Po tym ręcznie skasuj z dysku plik C:\WINDOWS\system32\drivers\avgtpx86.sys. Przez tryb awaryjny przez ten program co podałaś też nie idzie wyświetla: Error ! RegisterServer: StartService failed! 0x42C Error! Registry support initialization failed: 0x42C Czy narzędzie zdołało stworzyć log z działania? . Edytowane 14 Grudnia 2012 przez picasso 14.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi