Polska Policja Departament

[adam81o]

Mam problem z drugim kompem, znów ten syf.

Przy wykonywaniu ComboFixa zawiesza się cały komp, więc zrobiłem OTL, w załączeniu pliki

NIe wiem co dalej, proszę o pomoc

Z góry dzięki

OTL.Txt

Extras.Txt

[picasso]

Na temat używania ComboFix: KLIK. Z daleka. Tę infekcję można usunąć w mniej inwazyjny sposób ...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Jerzy\Menu Start\Programy\Autostart\ctfmon.lnk 
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\FOUND.*
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
O3 - HKU\S-1-5-21-3796122636-3712522860-3240545613-1005\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-3796122636-3712522860-3240545613-1005\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKU\S-1-5-21-3796122636-3712522860-3240545613-1005..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20051208.051\symidsco.sys -- (SYMIDSCO)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[adam81o]

Wykonałem skrypt, w załączeniu OTL.

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta. Ale ... pojawił się tu jakiś nowy dziwny odczyt, czyli plik związany z infekcjąi z USB oznaczony jako "not found" i nie wiem cóż to ma oznaczać:

 

========== Files Created - No Company Name ==========
 
File not found -- C:\WINDOWS\System32\nmdfgds1.dll

 

Poza tym, przejdź do wykończeń:

 

1. W OTL uruchom Sprzątanie, które usunie OTL wraz z kwarantanną oraz szczątki ComboFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj stare aplikacje Adobe i zastąp najnowszymi wersjami, usuń stary Silverlight i zainstaluj pakiet SP3 dla Office 2003: KLIK. Wg raportu posiadasz obecnie karygodnie stare zwłaszcza Adobe:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-000000000001}" = Adobe Reader 6.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Również do wymiany stara Avira AntiVir Personal (z roku 2009).

 

 

 

.

[adam81o]

Podłączonego miałem pendriva więc możliwe że jeszcze na nim coś mam (ale to go sformatuje i będzie spokój).

Sprzątanie zrobiłem, wyczyściłem folder przywracania za pomocą TFC a teraz zabieram się za usuwanie oprogramowania i wgrywanie aktualnego.

Dziękuję za pomoc.

a co sądzisz o antywirusie: ESET NOD?

[picasso]

wyczyściłem folder przywracania za pomocą TFC

 

Nie! To nie ta instrukcja. TFC służy do czyszczenia Temp a nie folderów Przywracania systemu .... Temp już dawno wyczyszczone komendą [emptytemp] w skrypcie (komenda robi to samo co TFC = ten sam autor obu narzędzi). Wracaj do instrukcji ponownie i wykonaj czyszczenie folderów Przywracania systemu.

 

 

a co sądzisz o antywirusie: ESET NOD?

 

To samo co o każdym innym darmowym jak i komercyjnym wiodących marek (a nie z Koziej Wólki podrzędne rozwiązania). Czy to będzie Kaspersky czy ESET czy Avast = będzie OK. I darmowe nie ustępują komercyjnym. Poza tym, jak widać antywirus to nie wszystko.

 

 

 

.

[adam81o]

Folder System Volume Information miałem pusty, żadnych plików nawet ukrytych, wtedy dopiero użyłem TFC.

Usunąłem stare rzeczy i aktualizuję.

Dzięki za pomoc

[picasso]

Folder System Volume Information miałem pusty, żadnych plików nawet ukrytych, wtedy dopiero użyłem TFC.

 

Nie. Ten folder nie jest pusty. Jest zablokowany przez uprawnienia, dlatego wyświetla się pozorne zero. Poza tym, odnoszę wrażenie, że .... Ty chcesz go ręcznie opróżniać?! Jest podane jak się czyści te foldery: w opcjach Windows przez przełączenie statusu Przywracania systemu. Wykonaj.

 

 

 

.

[adam81o]

zrobiłem zgodnie z instrukcją oczyszczania folderów System Volume Information, tzn:

"Skasowanie zawartości folderów odbywa się za pomocą wyłączenia tej funkcji. Po wyłączeniu można ją ponownie włączyć - wtedy jest tworzony pierwszy punkt przywracania z aktualnego (czystego po dezynfekcji) stanu systemu".