truwer Opublikowano 13 Stycznia 2013 Zgłoś Udostępnij Opublikowano 13 Stycznia 2013 Proszę o pomoc, komputer się blokuje, działa tylko jeśli nie klikam komendy "RunDLL: Wystąpił błąd podczas ładowania C:......\wgsdgsdgdsgsd.exe" Po zainfekowaniu systemu jedynie przeskanowałem komputer antywirusem "BitDefenderRescueCD_v2.0.0_5_10_2010" z poziomu systemu linux uruchamianego z USB. Dwa zagrożenia zostały usunięte, ale oczywiście nic to nie pomogło. Przeskanowałem system programem OTL wg zaleceń. Co mam dalej robić? Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2013 Zgłoś Udostępnij Opublikowano 13 Stycznia 2013 Nie tylko BitDefender używałeś, ComboFix również. I czy na pewno system jest nadal zablokowany? Na dysku widać tylko jeden plik infekcji... 1. Usuń szczątki Avast. Przejdź w Tryb awaryjny i użyj Avast Uninstall Utility. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Kuba\AppData\Roaming\OpenCandy :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm047YYPL&ptb=OBBGhrtF6_21EoiRkAAmMw&ind=2010092205&ptnrS=GRxdm047YYPL&si=&n=77cf92ad&psa=&st=sb&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" IE - HKU\S-1-5-21-1080152283-609734007-2048292793-1000\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm047YYPL&ptb=OBBGhrtF6_21EoiRkAAmMw&ind=2010092205&ptnrS=GRxdm047YYPL&si=&n=77cf92ad&psa=&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-1080152283-609734007-2048292793-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" FF - HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin: C:\Program Files\FunWebProducts\Installr\2.bin\NPFunWeb.dll File not found FF - HKLM\Software\MozillaPlugins\@mywebsearch.com/Plugin: C:\Program Files\MyWebSearch\bar\1.bin\NPMyWebS.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin [2013-01-11 19:56:38 | 000,000,000 | ---D | M] IE - HKU\S-1-5-21-1080152283-609734007-2048292793-1000\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - No CLSID value found O3 - HKU\S-1-5-21-1080152283-609734007-2048292793-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Przez Panel sterowania odinstaluj adware Complitly, uTorrentControl_v2 Toolbar. Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację tych śmieci. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
truwer Opublikowano 13 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2013 Wielkie dzięki za odpowiedź. Zadania wykonane. Komputer się blokował, po starcie systemu miałem kilka sekund normalny pulpit, potem wyskakiwał wymieniony wcześniej komunikat o błędzie podczas ładowania. Po kliknięciu "ok" lub zamknięciu pojawiała się ta zabawna strona informująca mnie że mogłem popełnić przestępstwo itp. Wcześniej jednak udało mi się jakoś raz uruchomić komputer bez blokowania..nie wiem jak. A następnym razem znów się blokował. Tym razem w Menadżerze Zadań zakończyłem działanie "RunDLL" i komunikat zniknął, więc może to coś zmieniło. Teraz już jest ok, komunikat nie wyłazi ComboFixa świadomie nie użyłem, ale był za to CCleaner. Mam nadzieję, że kolejność nie była aż tak istotna, bo zacząłem od AdwCleaner, plik ze skanowania w załączniku. Z Avastem poszło gładko. Skrypt się wykonał bez problemów, potem restart. W panelu jednak już nie było programów które wymieniłeś (usunął je już pewnie Adw Cleaner), to samo w Chromie, brak było rozszerzeń. OTL3.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 ComboFixa świadomie nie użyłem, ale był za to CCleaner. Ale w logu nie budzące wątpliwości składniki ComboFix. Na pewno był uruchamiany. Mam nadzieję, że kolejność nie była aż tak istotna, bo zacząłem od AdwCleaner, plik ze skanowania w załączniku. Zasady działu i ustęp o istotności kolejności. Wszystkie operacje mają określone konsekwencje i kolejność jest celowa. Nie wolno sobie "przestawiać" punktów. M.in. stało się to: W panelu jednak już nie było programów które wymieniłeś (usunął je już pewnie Adw Cleaner), to samo w Chromie, brak było rozszerzeń. AdwCleaner nie jest zastępstwem dla normalnej deinstalacji, tylko poprawką po normalnej deinstalacji. Usuwa na chama wpisy. Również w ogóle nie tykałby preferencji, bo reset Firefox zmienia zupełnie środowisko i AdwCleaner nie miałby nic do roboty. Ogólnie zadania wykonane. Kończymy: 1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj zakreślone poniżej foldery. C:\bd_logs C:\Users\Kuba\Desktop\Stare dane programu Firefox C:\Windows\erdnt 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie są tu wersje: Internet Explorer (Version = 7.0.6002.18005) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 29"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Foxit Reader" = Foxit Reader"Google Chrome" = Google Chrome 23.0.1271.97 PS. Gadu-Gadu 10 też się pozbądź, reklamodawczy potwór zjadający zasoby systemowe. Masz już widzę Miranda IM. Jeszcze możesz obejrzeć WTW, Kadu. Opisy: KLIK. . Odnośnik do komentarza
truwer Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Zadania wykonane. Od razu przepraszam za brak subordynacji, następnym razem się poprawie, obiecuję! Odnośnie ComboFixa, z ciekawości nawet sprawdziłem czy mam cuś takiego na dysku i nie widzę. Ale nie twierdzę, że nie był użyty kiedyś przez kogoś u mnie, bądź nieświadomie, a może zadziałał w ramach mojego USB ratunkowego? W sumie to nieistotne. Jestem zwykłym userem i nie dyskutuję, tylko wykonuje polecenia Programy zaktualizowane, dzięki za przypomnienie, jakoś na co dzień się o tym nie myśli. A z GG nie korzystam od lat, nawet Mirande zarzuciłem. Komuś był pewnie potrzebny, dzięki za przypomnienie I w ogóle olbrzymie podziękowania za pomoc. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Odnośnie ComboFixa, z ciekawości nawet sprawdziłem czy mam cuś takiego na dysku i nie widzę. Ale nie twierdzę, że nie był użyty kiedyś przez kogoś u mnie, bądź nieświadomie, a może zadziałał w ramach mojego USB ratunkowego? Od niego pochodziły te składniki: ========== Files/Folders - Created Within 30 Days ========== [2013-01-11 20:32:02 | 000,000,000 | ---D | C] -- C:\Qoobox[2013-01-11 20:31:32 | 000,000,000 | ---D | C] -- C:\Windows\erdnt Pierwszy folder powinien zniknąć przez Sprzątanie w OTL, a drugi poleciłam dokasować ręcznie. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi