Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Pozostałości po wirusie "policjancie"

Horbini

Przez Horbini
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Horbini

Horbini

Opublikowano
Opublikowano

Dzień doberek.

 

Pod koniec zeszłego roku dostałem prawie zawału, bo wyskoczył mi na ekranie "policjant". Jakoś sobie z nim poradziłem ale niestety, pozostał(y?) śmieć po nim -> podczas startu win7 pojawia się komunikat: " Wystąpił problem podczas uruchamiania pliku

c:\Users\Agusia\AppData\Local\Temp\wgsdgsdgdsgsd.exe

Nie można odnaleźć określonego modułu."

 

Próbowałem wyczyścić Ccleanerem, ale nie pomogło...

 

Wyczytałem, nie wiem o ile w tym prawdy, że można go złapać przez brak aktualizacji javy -> tu kolejny problem. Nie mogę zainstalować ani aktualizować javy - podczas instalacji wyskakuje komunikat o "nieznanym wykonawcy i że nie ma prawidłowego podpisu cyfrowego ble ble ble" - dziwna sprawa, bo na koncie administratora pracuję i tylko przy, wałśnie, javie mam taki problem. Inne programy ładują się bez problemu.

 

zamieszczam skany:

 

Jestem ciekaw, co jeszcze owa pskuda namieszała.

 

Podziękował

Horbini

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Wystąpił problem podczas uruchamiania pliku

c:\Users\Agusia\AppData\Local\Temp\wgsdgsdgdsgsd.exe

Nie można odnaleźć określonego modułu."

 

Infekcja wcale nie jest wyczyszczona, próbuje się uruchamiać jej skrót:

 

O4 - Startup: C:\Users\Agusia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)

 

Przeprowadź następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Agusia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\Users\Agusia\AppData\Local\Google
C:\Users\Agusia\AppData\Local\Sunbelt Software
C:\ProgramData\AVG Security Toolbar
C:\Windows\SysNative\drivers\SBREDrv.sys
C:\Windows\SysWow64\rp_stats.dat
C:\Windows\SysWow64\rp_rules.dat
 
:OTL
O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {EA582743-9076-4178-9AA6-7393FDF4D5CE} - No CLSID value found.
O3 - HKU\S-1-5-21-2521691925-758985662-764614565-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-2521691925-758985662-764614565-1000..\Run: []  File not found
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Błąd powinien ustąpić.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Powiedz mi co widzisz w tych folderach:

 

C:\Windows\System\system32

C:\Windows\System32\system32

C:\Windows\SysWow64\system32

 

 

Wyczytałem, nie wiem o ile w tym prawdy, że można go złapać przez brak aktualizacji javy -> tu kolejny problem. Nie mogę zainstalować ani aktualizować javy - podczas instalacji wyskakuje komunikat o "nieznanym wykonawcy i że nie ma prawidłowego podpisu cyfrowego ble ble ble" - dziwna sprawa, bo na koncie administratora pracuję i tylko przy, wałśnie, javie mam taki problem. Inne programy ładują się bez problemu.

 

Nawet najnowsza Java jest dziurawa i blokowana przez przeglądarki: KLIK.

 

 

 

.

Odnośnik do komentarza
Horbini

Horbini

Opublikowano
  • Autor
Opublikowano

Błąd przy powitaniu usunięty :)

co do plików

 

C:\Windows\System\system32 -> tutaj jest podłolder system32\drivers (pusty) oraz plik o nazwie vm332avs.rsf

C:\Windows\System32\system32 -> tu jest jakaś masakra! ponad 14k plików o wadze 4GB

C:\Windows\SysWow64\system32 -> tu jest podobnie 5k plików i ponad 1GB pojemnosci.

 

 

Skan :

 

Co dalej Pani Admin? wszystko oki? Bo jakoś wyczuwam coś podejrzanego, czy słusznie?

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
co do plików

 

C:\Windows\System\system32 -> tutaj jest podłolder system32\drivers (pusty) oraz plik o nazwie vm332avs.rsf

C:\Windows\System32\system32 -> tu jest jakaś masakra! ponad 14k plików o wadze 4GB

C:\Windows\SysWow64\system32 -> tu jest podobnie 5k plików i ponad 1GB pojemnosci.

 

Bardzo dziwna sprawa. Te powielone katalogi system32 są nienormalne, ale nie wiadomo co je utworzyło. Profilaktycznie ich nie usuwaj jeszcze, tylko przenieś na dysk D do jakiegoś tymczasowego folderu. Zresetuj system i sprawdź czy nie ma jakiś skutków ubocznych.

 

 

 

.

Edytowane przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...