dut Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 prosze o pomoc w usunieciu wirusa OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Infekcja wygląda na przetrzebioną, widzę tylko jeden plik na dysku + pusty wpis w starcie. Co konkretnie i w jaki sposób już robiłeś? 1. Przez Dodaj/Usuń programy odinstaluj adware AutocompletePro, DAEMON Tools Toolbar, Internet Explorer Toolbar 4.6 by SweetPacks. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={A9DC3F1A-2C97-494D-8FFE-6598A51F91E9}" O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0 O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found O4 - HKCU..\Run: [sService] C:\Documents and Settings\dut\77992.exe File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati8ywxx.sys -- (ati8ywxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati7wexx.sys -- (ati7wexx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati6agxx.sys -- (ati6agxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati5vcxx.sys -- (ati5vcxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati5grxx.sys -- (ati5grxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati5byxx.sys -- (ati5byxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati4ixxx.sys -- (ati4ixxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati4dbxx.sys -- (ati4dbxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati3psxx.sys -- (ati3psxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati3omxx.sys -- (ati3omxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati3gvxx.sys -- (ati3gvxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati2fdxx.sys -- (ati2fdxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati2crxx.sys -- (ati2crxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati1caxx.sys -- (ati1caxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati1bqxx.sys -- (ati1bqxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati0fuxx.sys -- (ati0fuxx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ati0etxx.sys -- (ati0etxx) :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
dut Opublikowano 17 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 odpalilem komp przez f8 otworzyl sie chyba bios nastepnie uruchom-msconfig-odznaczylem runctf-zastosuj Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Wykonaj akcje, o których mówię i przedstaw wymagane dane. A skoro manipulowałeś w msconfig, podaj skan dodatkowy na wpisy wyłączone via msconfig. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s Klik w Look. . Odnośnik do komentarza
dut Opublikowano 18 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2013 chyba to to jest wpis z system look: SystemLook 30.07.11 by jpshortstuff Log created at 09:07 on 18/01/2013 by dut Administrator - Elevation successful ========== reg ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services] "WMPNetworkSvc"= 0x0000000003 (3) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state] "system.ini"= 0x0000000000 (0) "win.ini"= 0x0000000000 (0) "bootini"= 0x0000000000 (0) "services"= 0x0000000002 (2) "startup"= 0x0000000000 (0) -= EOF =- mam teraz taki komunikat OTL.Txt AdwCleanerR2.txt Odnośnik do komentarza
picasso Opublikowano 19 Stycznia 2013 Zgłoś Udostępnij Opublikowano 19 Stycznia 2013 (edytowane) Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam. Ostatni log z OTL źle zrobiony, Ty w oknie do skanu ... wkleiłeś skrypt! Następnie: odwrotna kolejność działań, to jest log z OTL zrobiony przed uruchomieniem AdwCleaner i nie widać zmian, które czyni AdwCleaner. Będę musiała na oko dostosować korekty. Na przyszłość: kolejność działań jest ścisła. mam teraz taki komunikat Teraz widać na dysku skrót infekcji. Poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\dut\Menu Start\Programy\Autostart\runctf.lnk :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). Nic do okna nie wklejaj. To jest skanowanie a nie wykonywanie skryptu. . Edytowane 18 Lutego 2013 przez picasso 18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi