miirage Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Hej. Mialem wirusa z departamentu policji i zablokowany komp. Użylem skryptu, ktory kiedyś mi tu został wygenrowany Wirusa nie ma, ale pojawia sie błąd przy uruchamianiu kompa Błąd Rundll i brak możliwości odczytu pliku o nazwie wlsidten.dll Prosze o pomoc jak to naprawić? W załączeniu aktualny log z OLT OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Mialem wirusa z departamentu policji i zablokowany komp.Użylem skryptu, ktory kiedyś mi tu został wygenrowany Poprzedni temat: KLIK. Nie wolno takich rzeczy robić. Skrypty są unikatowe i jednorazowe, aktualne tylko dla konkretnego momentu z którego stworzono logi na podstawie których robiono skrypt. W ogóle nie pasują do kolejnych postaci problemu. Za każdym razem analiza raportów odbywa się od zera na podstawie nowych danych. Jeśli nie masz dostatecznej wiedzy o systemie, nie jesteś w stanie zrobić prawidłowego skryptu w oparciu o raporty. Wirusa nie ma, ale pojawia sie błąd przy uruchamianiu kompa Błąd Rundll i brak możliwości odczytu pliku o nazwie wlsidten.dll Masz błąd, bo nieprawidłowe usuwanie, tylko czyszczenie Temp się wykonało (bo to jedyna rzecz, która w skrypcie zadziała na dowolnym systemie i w dowolnym momencie, reszta niepowtarzalna). Infekcja w ogóle nie jest usunięta, policja w starcie: O4 - Startup: C:\Documents and Settings\Kamil\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation) To całkowicie inny wariant blokady niż w Twoim poprzednim temacie. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Kamil\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\netdislw.pad C:\Documents and Settings\All Users\Dane aplikacji\qfxgnlajxxtvbvh :OTL O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Kamil\Dane aplikacji\gnja.exe) - File not found FF - HKCU\Software\MozillaPlugins\Firefox: File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DEDD72D6-D1A9-4d3a-83B4-E34BFAB288B6}] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Wyczyść Firefox ze starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
miirage Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Wykonalem prawidlowy skrypy. W zalaczeniu ponowny log z OLT OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Wszystko wykonane. 1. Drobna poprawka na szczątki po Google Chrome (nie wygląda na zainstalowane). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Kamil\Ustawienia lokalne\Dane aplikacji\Google :Reg [-HKEY_CURRENT_USER\Software\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz obecnie zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{32A3A4F4-B792-11D6-A78A-00B0D0170050}" = Java SE Development Kit 7 Update 5"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish"{D5A6D02F-3CBB-4FBF-8F65-C3A6D721E8A4}" = OpenOffice.org 3.2"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Czyli: odinstaluj wszystkie zakreślone tu pozycje Adobe / Java / Silverlight i zastąp najnowszymi wersjami, zaktualizuj OpenOffice.org. PS. I jeszcze widzę Gadu-Gadu 10. Program zasobożerny, reklamodawczy i wycofywany (spółka Gadu zamknęła ostatnio kilka serwisów, które były integrowane w GG10). Sprawdź GG11, a jeszcze lepiej alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
miirage Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 dzieki za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi