Całkowite zawieszenie komputera

[artus72]

Lapek córki odmówił posłuszeństwa - po włączeniu i zalogowaniu na konto jedyną czynnością, którą można wykonać było poruszanie strzałką kursora.

 

Logi tworzyłem z trybu awaryjnego.

 

Klucz SPTD usuwałem z rejestru ale GMER coś od niego pokazuje... Czy taki "szybki" skan z GMER wystarczy?

Extras.txt

GMER.txt

OTL.txt

[picasso]

Owszem, mamy tu infekcję.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1229272821-796845957-839522115-1003..\Run: [uhtoobyzyt] C:\Documents and Settings\Ola\Dane aplikacji\Bies\zoas.exe (?????????? ??????????)
[2013-01-10 18:19:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Ola\Dane aplikacji\Queszu
[2013-01-10 18:19:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Ola\Dane aplikacji\Peuxde
[2013-01-10 18:19:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Ola\Dane aplikacji\Bies
[2011-06-03 12:34:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\G DATA
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{7AC3D930-FD9D-4EF7-8F99-1A56B95FB9B9}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Sprawdź czy system potrafi pracować w Trybie normalnym.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

Klucz SPTD usuwałem z rejestru ale GMER coś od niego pokazuje...

 

Log wygląda jakbyś nie zresetował systemu po usuwaniu. Sterownik w pamięci.

 

 

.

[artus72]

Komputer uruchamia się już normalnie.

OTL.txt

[picasso]

Obiekty pomyślnie usunięte. Kolejne czynności:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób na wszelki wypadek skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[artus72]

1., 2., 3. - done. W punkcie trzecim domyślne było szybkie skanowanie, ale nic nie znalazło. Teraz zapuściłem pełne.

 

Jeśli wyniki szybkiego skanowania są wystarczająco miarodajne, temat można zamknąć.

 

Dziękuję za pomoc i pozdrawiam

 

Artur

 

[EDYTA]

 

pełne skanowanie znalazło jak do tej pory 4 podejrzane obiekty...

MBAM-log-2013-01-22 (11-28-44).txt

[picasso]

1. Wyniki MBAM: Trojan.Zbot.ACgen w cache Java do usunięcia, pozostałe wyniki to instalator + dokonana instalacja programu PDF Reader, do którego MBAM ma zastrzeżenie, że jest typem adware. No to odinstaluj.

 

2. Do aktualizacji kwalifikują się te pozycje na liście zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)
"Opera 11.62.1347" = Opera 11.62

 

Przy czym:

- Z Java niewesoło, najnowsza wersja 11 i tak dziurawa i blokowana przez przeglądarki.

- Gadu-Gadu 7.7 punktuję pod kątem zamiany czymś w rodzaju WTW.

 

 

 

.

[artus72]

... czyli można zamknąć

 

Aktualizacje oczywiście uskutecznię, GG raczej zostanie (to nie mój komputer, a właścicielka podeszła do proponowanej zmiany bez entuzjazmu) a co do dżawy... Zaktualizuję ale lepiej, żeby orakl wypuścił jakąś stabilniejszą wersję... Za czasów Sun-a chyba nie było takich przebojów.

 

Jeszcze raz dziękuję za pomoc.

 

Pozdrawiam

 

Artur