kazinski Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 witam. złapałem wirusa ukash który zablokował mi komputer a dokladnie profil administratora. Moge korzystać z profilu uzytkownika o uprawnieniach administratora. I na tym profilu zrobiłem poniższe logi. Nie wiem czy nie lepiej by było zrobic je w trybie awaryjnym. Prosze o pomocw usunięciu tego wirusa. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 złapałem wirusa ukash który zablokował mi komputer a dokladnie profil administratora. Moge korzystać z profilu uzytkownika o uprawnieniach administratora. I na tym profilu zrobiłem poniższe logi. Nie wiem czy nie lepiej by było zrobic je w trybie awaryjnym. Logi muszą być zrobione z poziomu konta na którym jest problem. Konta mają inne rejestry i foldery, infekcja działająca na konkretnym koncie nie jest widziana na innym. Tu tak jest: tylko plik na dysku widoczny, ale nie skrót uruchamiający infekcję (on jest na innym koncie). Zastartuj do Trybu awaryjnego na właściwe konto i zrób nowe logi. . Odnośnik do komentarza
kazinski Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Witam. Załączam logi zrobione z poziomu z którego złapałem wirusa. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Na tym koncie też nie widać wpisu startowego ctfmon.lnk. Czy na pewno to już nie czymś usuwane? Przy okazji będę usuwać szczątki Firefox. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\netdislw.pad C:\Documents and Settings\rob\Dane aplikacji\Media Finder C:\Documents and Settings\rob\Dane aplikacji\Mozilla C:\Program Files\Mozilla Firefox C:\WINDOWS\hlktmp :Reg [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_1_&babsrc=SP_ss&mntrId=c0fe5921000000000000b0487a82cdaa" IE - HKCU\..\SearchScopes\{C280E7F0-229B-4A6E-AD78-10795D8686D5}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Documents and Settings\rob\Dane aplikacji\Media Finder\Extensions\gencrawler_gc.dll () O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKCU..\Run: [Media Finder] "C:\Program Files\Media Finder\Media Finder.exe" /opentotray File not found O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found O9 - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\nqprkji.dll -- (qznkwm) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\nqprkji.dll -- (eapzftjdz) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\01.tmp -- (tliinzbw) DRV - File not found [Kernel | Auto | Stopped] -- System32\DRIVERS\NVxbar.sys -- (NVXBAR) DRV - File not found [Kernel | Auto | Stopped] -- System32\DRIVERS\nvtvsnd.sys -- (nvtvSND) DRV - File not found [Kernel | Auto | Stopped] -- System32\DRIVERS\nvtunep.sys -- (nvTUNEP) DRV - File not found [Kernel | Auto | Stopped] -- System32\DRIVERS\nvcap.sys -- (nvcap) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Opuszczasz Tryb awaryjny. 2. Przez Panel sterowania odinstaluj adware RewardsArcadeSuite. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
kazinski Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 korzystałem z antywirusów oraz recznie usuwałem ostatnio pojawione pliki z katalogu temp na profilu uzytkownika. Kaspersky znalazł mi wirusy i dodał do kwarantanny. Są to pliki sfc_os.dll oraz wlsidten.dll. załączam logi OTL1.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Kaspersky znalazł mi wirusy i dodał do kwarantanny. Są to pliki sfc_os.dll oraz wlsidten.dll. To inne obiekty. Jakimś sposobem tutaj został usunięty skrót ctfmon.lnk. A zadania pomyślnie wykonane i możemy kończyć: 1. Drobna poprawka na domyślnie wyszukiwarki IE po użyciu AdwCleaner oraz szczątki po skanerach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Files C:\Documents and Settings\rob\Ustawienia lokalne\Dane aplikacji\ESET C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\Documents and Settings\All Users\Dane aplikacji\Panda Software C:\Documents and Settings\rob\PAV_FOG.OPC C:\WINDOWS\hlktmp netsh firewall reset /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj Windows i wyliczone poniżej aplikacje: KLIK. Wg raportu masz krytyczny poziom aktualizacji XP (i system zablokowany, wsparcie mają tylko XP SP3) oraz zainstalowane wersje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003"{90510415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Visio Professional 2003"{90A10415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office OneNote 2003"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)"Foxit Reader" = Foxit Reader"ShockwaveFlash" = Macromedia Flash Player 8 Czyli: odinstaluj podane tu pozycje Adobe i Macromedia i zastąp najnowszymi wersjami (o ile potrzebne), upewnij się w kwestii aktualności Foxit Reader, zaktualizuj produkty Office (Service Packi) oraz XP jako taki (instalacja SP3 i reszty łat, a będzie tego sporo od roku 2008, czyli daty wydania SP3!). . Odnośnik do komentarza
kazinski Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Wielkie dzieki za pomoc. pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi