smenkare Opublikowano 25 Grudnia 2012 Zgłoś Udostępnij Opublikowano 25 Grudnia 2012 zle zrobilem robiac sie za to sam. Na poczatku startowal normalnie tryb awaryjny, uruchomilem zwykla avire i przeskanowalem system, znalezione wirusy zostaly przemieszczone do kwarantanny, pogrzebalem troche w rejestrze i usunalem kilka podejrzanych rzeczy. Po wlaczeniu normalnego trybu wirus wciaz tam byl wiec zresetowalem kompa aby znow wejsc w tryb awaryjny. System zaczal sie pozniej sypac, za nic nie moglem uruchomic zadnego trybu awaryjnego. Po 10 resetach przy wlaczaniu pc zaznaczylem opcje aby system naprawil uszkodzone pliki. O dziwo system awaryjny nadal nie startuje ale zalogowalem sie na swoje konto i poki co wirus policyjny sie nie odzywa. Niestety wciaz mam dziwne przeczucie ze mam go lub jakies pozostalosci. Srednio znam sie na komputerach, co powinienem zrobic? Dziekuje za pomoc zalaczam jeszcze screen z msconfig poniewaz mam tam jakis ruski program czy cos ktory wydaje mi sie podejrzany edit. wlasnie zrobilem restart,wirus wciaz aktywny, nie rozumiem dlaczego ten jeden raz system uruchomil sie normalnie. Tryb awaryjny za to znow dziala... edit. moje przypuszczenia okazaly sie chyba trafione, wylaczylem ten podejrzany ruski program w msconfig, windows wydaje sie dzialac normalnie aczkolwiek wirus wciaz tu jest. Prosze o pomoc w usunieciu Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Grudnia 2012 Zgłoś Udostępnij Opublikowano 26 Grudnia 2012 Warto odnotować, że wyłączenie w msconfig to nie jest usunięcie wirusa z dysku. To tylko chwilowe obejście. A infekcja jak była tak jest nadal aktywna według logów. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1485770423-532772460-667618788-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110823&tt=120912_pcp_3812_7&babsrc=HP_ss&mntrId=a4c588cb000000000000e069953bb12a" IE - HKU\S-1-5-21-1485770423-532772460-667618788-1000\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = "http://search.babylon.com/?affID=110823&tt=120912_pcp_3812_7&babsrc=HP_ss&mntrId=a4c588cb000000000000e069953bb12a" IE - HKU\S-1-5-21-1485770423-532772460-667618788-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110823&tt=120912_pcp_3812_7&babsrc=HP_ss&mntrId=a4c588cb000000000000e069953bb12a" IE - HKU\S-1-5-21-1485770423-532772460-667618788-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_pcp_3812_7&babsrc=SP_ss&mntrId=a4c588cb000000000000e069953bb12a" O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O4:64bit: - HKLM..\Run: [Virtual PDF Printer] C:\Program Files\Virtual PDF Printer\VirtualPDFPrinter.exe File not found O4 - HKU\S-1-5-21-1485770423-532772460-667618788-1000..\Run: [phx] C:\Users\Tobiaryna\AppData\Roaming\phx\lm32.exe () O4 - HKU\S-1-5-21-1485770423-532772460-667618788-1000..\Run: [syshost32] C:\Users\Tobiaryna\AppData\Local\{A2794852-2C07-35D7-BF79-59C89DDDB1CB}\syshost.exe File not found O4 - HKU\S-1-5-21-1485770423-532772460-667618788-1000..\RunOnce: [CPUM] C:\Users\Tobiaryna\AppData\Roaming\cpum\conhost.exe () :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\dsgsdgdsgdsgw.js C:\Users\Tobiaryna\wgsdgsdgdsgsd.dll C:\Users\Tobiaryna\AppData\Roaming\phx C:\Users\Tobiaryna\AppData\Roaming\cpum C:\Users\Tobiaryna\AppData\Roaming\sqlite.jar C:\Users\Tobiaryna\AppData\Local\{A2794852-2C07-35D7-BF79-59C89DDDB1CB} C:\Users\Tobiaryna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :Reg [HKEY_USERS\S-1-5-21-1485770423-532772460-667618788-1000\Software\Microsoft\Windows\CurrentVersion\Run] "Oracle Java"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
smenkare Opublikowano 26 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 26 Grudnia 2012 Dziekuje za ta szybko i profesjonalna pomoc. Zalaczam nowy skan. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 Infekcja została poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416030FF}" = Java 6 Update 30 (64-bit) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi