damek6 Opublikowano 31 Grudnia 2012 Zgłoś Udostępnij Opublikowano 31 Grudnia 2012 Dzień Dobry Pomocy!!! Zostałem zaatakowany przez departamet policji. Udało mi się odblokować komputer, ale nie jestem pewien, czy usunięte zostały wszystkie zarażone pliki i czy problem nie wróci za chwilę. Proszę o pomoc. W załaczeniu logi z OTL. Widows XP home edition . Extras.Txt OTL.Txt Odnośnik do komentarza
jessica Opublikowano 31 Grudnia 2012 Zgłoś Udostępnij Opublikowano 31 Grudnia 2012 C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js Na pewno jest jeszcze 1 plik infekcji. SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\Damian\wgsdgsdgdsgsd.dll -- (winmgmt) Poza tym Rejestr. Do SystemLook wklej: :regfindwgsdgsdgdsgsd Naciśnij Look i pokaż raport. Odnośnik do komentarza
damek6 Opublikowano 9 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 Witam Zrobiłem w między czasie czyszczenie narzędziami z forum i nie wiem czy wszystko jest ok. Dziwne bo OTL generuje mi tylko jeden log otl.txt. W załaczeniu. Z systemlook wyskakuje tylko takie coś: SystemLook 30.07.11 by jpshortstuff Log created at 15:36 on 09/01/2013 by Damian Administrator - Elevation successful ========== regfind ========== Searching for "wgsdgsdgdsgsd" No data found. -= EOF =- Czy jeszcze coś tam w rejstrach u mnie siedzi OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 Używałeś ComboFix (nie został zadany) i na ten temat: KLIK. To nie było potrzebne, bo korekty były banalne. W aktualnym OTL nie widać już punktowanego wcześniej uszkodzenia usługi WMI, pewnie ComboFix naprawiał usługę WMI, ale nadal na dysku plik C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js. Poza tym, do czyszczenia będzie i adware. Na razie jednak pokaż co w ogóle wtedy ComboFix robił, czyli zaprezentuj raport C:\ComboFix.txt. . Odnośnik do komentarza
damek6 Opublikowano 9 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 Wiem, po poczytaniu dokładniej forum, że z tym combofixem to trochę dałem ciała a czy to ma znaczenie że w otl nie generuje się ten jeden log? w załaczeniu log z combo ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 a czy to ma znaczenie że w otl nie generuje się ten jeden log? To przecież jest wyjaśnione w opisie OTL dlaczego brak raportu Extras: KLIK. 1. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Program Files\mozilla firefox\searchplugins\Web Search.xml :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={FB5A2B08-5D5E-11E1-8BC4-001FD0443EBA}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1330704485_797789" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=3412_6&babsrc=SP_ss&mntrId=fcab8d5a000000000000001fd0443eba" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=F-ET&o=14466&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FT&apn_dtid=YYYYYYYYPL&apn_uid=B1EACB7D-DAA0-4AA0-A7AA-964DD6C3DA7A&apn_sauid=BCBBBA30-93ED-4E3D-9E70-BC3599A0C0ED" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={FB5A2B08-5D5E-11E1-8BC4-001FD0443EBA}" FF - HKCU\Software\MozillaPlugins\@macromedia.com/FlashPlayer9: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab" (Reg Error: Value error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
damek6 Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 No tak czytać czytać, uczyć się....... Wszystko zrobione zgodnie z poleceniami. W załaczeniu logi. Jest jakiś mądry sposób uruchomienia komputera jakby znowu zdażyła się taka infekcja, bo u mnie zablokowany był też tryb awaryjny i tryb awaryjny z dostepem do sieci, działał tylko tryb awaryjny z wierszem poleceń W sieci jest wiele śmieciowych opisów jak sobie poradzić jakoś żaden tak naprawdę nie bardzo działał. Ciekawe czy PS Tools Internet Securirty, bedzie sobie z tą infekcją radził tzn czy bedzie przed nią chronił AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Zrobione. Poprawki i możemy zakończyć sprawy: 1. Drobna korekta. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL FF - HKLM\Software\MozillaPlugins\@macromedia.com/FlashPlayer9: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found Klik w Wykonaj skrypt. Tym raze nie będzie restartu. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio był uruchamiany ze ścieżki e:\ComboFix.exe. Dysk E nie jest aktualnie dostępny. W związku z tym pobierz ponownie ComboFix (KLIK) i zapisz na Pulpicie. Start > Uruchom > wklej komendę: "C:\Documents and Settings\Damian\Pulpit\ComboFix.exe" /uninstall Następnie: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie posiadasz wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24) Jest jakiś mądry sposób uruchomienia komputera jakby znowu zdażyła się taka infekcja, bo u mnie zablokowany był też tryb awaryjny i tryb awaryjny z dostepem do sieci, działał tylko tryb awaryjny z wierszem poleceń Nie. U Ciebie działał tylko ten jeden tryb, ponieważ występowała tu infekcja uniemożliwiająca inne typy startu. W sieci jest wiele śmieciowych opisów jak sobie poradzić jakoś żaden tak naprawdę nie bardzo działał. Ale takich infekcji "policyjnych" jest mnóstwo, nie ma przepisu uniwersalnego, rodzaj usuwania zależy od rodzaju infekcji. . Odnośnik do komentarza
damek6 Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Wszystko zrobione wg. zaleceń. Czy załączac jeszcze jakieś logi? Bardzo dziękuję za pomoc..... Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Nie, o logi już nie proszę. W przeciwnym wypadku wyraźnie bym to zaznaczyła. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi