Biały ekran z ustawami policyjnymi itd.

[fryta]

Witam serdecznie,

 

Wczoraj tj 15,04,2013 o godzinie okolo 20.30 dostąpiłem zaszczytu zainfekowania tym wirusem.

Pojawił mi się biały ekran z ustawami policyjnymi itd z wymuszeniem zaplaty 500 zł za przestępstwo.

Jako iż jestem kompletnym laikiem, wszedlem na laptopa i zaczalem szukac co to jest.

Wpisujac w google wyskakuje mnóstwo, stron gdzie mozna uzyskac pomoc, wiec w pierwszej lepszej pisali o combofixie.

Zrobiłem co kazali,jak sie okazuje nie potrzebnie, oczywiscie nie pomogło. wiec po przeglądnieciu paru stron natrafilem na fixitpc.pl gdzie odrazu po przeczytaniu paru postow zrozumialem ze jestem w dobrych rekach .

Przesledzilem dokładnie czego wymagacie i oto załączam pliki

combofix log

OTL

Extras

defogger_disable

gmer log

usunąłem też wszystkie napędy wirtualne przed zrobieniem spt i defoggera

 

 

niestety defoggera nie moze dodac do zalacznika "nie masz uprawnien do wysylania tego rodzaju plikłów wiec skopiuje zawartosc tutaj

 

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 09:12 on 16/04/2013 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-

 

 

Dodam ze wszystko wykonalem w trybie awaryjnym z dostepem do sieci, win xp pro 32 bit,

 

combofix log.txt

Extras.Txt

gmer.txt

OTL.Txt

[Anonim8]

Powtórz log z OTL bo wykonałeś go z konta Administrator. A potrzebne z konta fryta

[fryta]

Hej niestety nie moge zrobic tego OTLa ponieważ, gdy probuje zalogowac sie na konto fryta to pojawia sie charakterysytczny dzwiek pojedynczy jak np przy uszkodzonej karcie grafiki i system sie wyłącza.

[Anonim8]

W trybie awaryjnym tak jest?

[fryta]

tak dokladnie w trybie awaryjnym + network, i w zwyklym trybie awaryjnym bez sieci

[Anonim8]

Umieść instalator OTL.exe bezpośrednio na dysku C (z konta administrator. Następnie spróbuj uruchomić tryb awaryjny z wierszem polecenia logując sie na konto fryta)

 

Jak się uda wpisujesz w konsoli C:\OTL.exe  > klik enter

 

robisz skan > kopiujesz logi na pendraka i podajesz.

[fryta]

tak zrobilem OTL z konsoli na uzytkowniku fryta. scans complete, ale jak mam to zgrac ? jest do tego jakas komenda albvo cos? albo komenda do uruchomienia komputera? na uzytkowniku fryta zeby dostac sie na pulpit? czy po prostu te logi pojawiaja sie na koncie administratora?
 

[Anonim8]

Logi bedą na C > wejdź w konto Administrator i je skopiuj na dysk wymienny, potem podaj do posta.

[fryta]

zrobione

Extras.Txt

OTL.Txt

[Anonim8]

Na pendrawie zapisujesz skrypt pod nazwą skrypt.txt (w notatniku).

Uruchamiasz system awaryjny z wierszem polecenia > OTL.exe już znasz

 

:OTL
O20 - HKU\S-1-5-21-1715567821-688789844-1801674531-1003 Winlogon: Shell - (C:\Documents and Settings\fryta\xach.exe) - File not found
O20 - HKU\S-1-5-21-1715567821-688789844-1801674531-1003 Winlogon: Shell - (C:\Documents and Settings\fryta\Application Data\skype.dat) - C:\Documents and Settings\fryta\Application Data\skype.dat ()


:Files
C:\Documents and Settings\fryta\Application Data\OpenCandy
C:\Documents and Settings\fryta\Application Data\skype.ini

:Commands
[emptytempt]

 

uruchamisz notatnik z zainfekowanego konta fryta > komenda notepad.exe > kopiujesz zawartość pliku skrypt.txt i wklejasz w okno OTL > klikasz w Wykonaj skrypt. Scieżka do pliku to X:\skrypt.txt > gdzie X to literka pendraka.

 

Powino pójść OK i system uruchomi się w trybie normalnym.

[fryta]

oto Log z OTLa po wykonaniu powyzszych czynnosci

 

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-1715567821-688789844-1801674531-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\fryta\xach.exe deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1715567821-688789844-1801674531-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\fryta\Application Data\skype.dat deleted successfully.

C:\Documents and Settings\fryta\Application Data\skype.dat moved successfully.

========== FILES ==========

C:\Documents and Settings\fryta\Application Data\OpenCandy\A2B3BEAC3B6E4614B298036093B4B53F folder moved successfully.

C:\Documents and Settings\fryta\Application Data\OpenCandy folder moved successfully.

C:\Documents and Settings\fryta\Application Data\skype.ini moved successfully.

========== COMMANDS ==========

Error: Unable to interpret <[emptytempt]> in the current context!

 

OTL by OldTimer - Version 3.2.69.0 log created on 04162013_220914

 

 

System uruchomil sie z profilu fryta. Przydałoby sie teraz wiedziec jak sie ustrzegac przed takim draństwem na przyszłość.

Trzeba cos jeszcze wykonać?

co zrobic zeby omijac podobne zdarzenia? jakis antywirus albo cos w tym rodzaju?

Dziekuje serdecznie za pomoc :)

OTL.Txt

[Anonim8]

1. Odinstaluj w prawidłowy sposób Combofix. Zaloguj się na konto Administrator

 

start > polecenie uruchom i wklej komendę

 

C:\Documents and Settings\Administrator\Desktop\ComboFix.exe /uninstall

 

2. Zaloguj się na konto fryta i uruchom OTL. W oknie Własne opcje skanowania/ skrypt wklej

 

:OTL
O4 - HKU\S-1-5-21-1715567821-688789844-1801674531-1003..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun File not found
O4 - HKU\S-1-5-21-1715567821-688789844-1801674531-1003..\Run: [mukfacomqypo] C:\Documents and Settings\fryta\mukfacomqypo.exe File not found
IE - HKU\S-1-5-21-1715567821-688789844-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=889E6CF04949D51D
IE - HKU\S-1-5-21-1715567821-688789844-1801674531-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q=%7BsearchTerms%7D&affID=119816&babsrc=SP_ss&mntrId=889E6CF04949D51D
IE - HKU\S-1-5-21-1715567821-688789844-1801674531-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q=%7BsearchTerms%7D&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=27EDBC34-0296-4647-B38B-132FB98CF797&apn_sauid=ABCF8E84-28C7-4153-ADB0-8435B44601C8
O20 - HKU\S-1-5-21-1715567821-688789844-1801674531-1003 Winlogon: Shell - (C:\Documents and Settings\fryta\xach.exe) - File not found
O20 - HKU\S-1-5-21-1715567821-688789844-1801674531-1003 Winlogon: Shell - (C:\Documents and Settings\fryta\Application Data\skype.dat) - File not found

:Files
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Documents and Settings\fryta\Application Data\Mozilla\Firefox\Profiles\heyuxwft.default\searchplugins\askcom.xml
C:\Documents and Settings\fryta\Application Data\Mozilla\Firefox\Profiles\heyuxwft.default\searchplugins\delta.xml
C:\Documents and Settings\fryta\Application Data\Babylon

:Commands
[reboot]

 

Kliknij w Wykonaj skrypt

 

 

Usuń sterownik sptd >pozostałość po DeamonTools > skorzystaj z instrukcji i zastosuj narzedzie SPTDinst

https://www.fixitpc.pl/forum-38/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/

 

 

po zastosowaniu opcji Uninstall  wykonaj restart

 

 

3. Przy zamknietych przeglądarkach uruchom AdwCleaner > wykonaj nim skan a następnie zastosuj opcję Usuń.

http://www.bleepingcomputer.com/download/adwcleaner/

 

4. Z panelu programów odinstaluj McAfee Security Scan Plus

 

5. Zainstaluj obowiązkowo Internet Explorer8 http://www.microsoft.com/downloads/pl-pl/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b

 

6. Zrób nowy skan OTL i przedstaw raport > Extras nie potrzebny

[fryta]

witam

zabralem sie do pracy, ledwie zacząłęm i juz napotkalem problem

wylogowalem sie i chcialem sie zalogowac jako administrator w trybie normalnym, okazalo sie ze nie mam takiego dostepnego profilu w trybie normalnym jest tylko fryta.

wiec zalogowalem sie w trybie awaryjnym na administratora, zabralem sie za usuwanie combofixa start/run...  wpisalem dokladnie ta komendę "C:\Documents and Settings\Administrator\Desktop\ComboFix.exe /uninstall" i wyskoczyl mi komunikat "windows cannot find 'c:\documents'. make sure you typed the name correctly, and then try again. To search for a file, click start button, and then click search" probowalem znalesc w searchu combofix.exe /uninstall ale niestety.

[Anonim8]

dostęp do konta administrator tylko z trybu awaryjnego > powtarzaj

[picasso]

Pierwszy skrypt nie wykonany kompletnie, bo błąd w komendzie:

========== COMMANDS ==========
Error: Unable to interpret in the current context!

 

 

wpisalem dokladnie ta komendę "C:\Documents and Settings\Administrator\Desktop\ComboFix.exe /uninstall" i wyskoczyl mi komunikat "windows cannot find 'c:\documents'. make sure you typed the name correctly, and then try again. To search for a file, click start button, and then click search" probowalem znalesc w searchu combofix.exe /uninstall ale niestety.

 
Tak, bo komenda nieprawidłowa podana. Ścieżka ma spacje w nazwie, więc musi być zamknięcie przez cudzysłów:
 
"C:\Documents and Settings\Administrator\Desktop\ComboFix.exe" /uninstall
 
Zostaw to na razie. To się robi na samym końcu, gdyż deinstalacja ComboFix czyści też Przywracanie systemu, a to nie ten etap jeszcze.

 

wylogowalem sie i chcialem sie zalogowac jako administrator w trybie normalnym, okazalo sie ze nie mam takiego dostepnego profilu w trybie normalnym jest tylko fryta.

 
To normalne, wbudowane konto Administrator przy obecności innego konta administratorskiego jest ukrywane na ekranie logowania Trybu normalnego, dostępne tylko w Trybie awaryjnym.
 

 

 

.

[fryta]

Rozumiem, wkleilem skrypt w OTL po pomyslnej opreracji komp domagal sie reseta wiec uruchomilem go ponownie, zapoznalem sie z SPT juz wczoraj gdy probowalem go 1 raz robic, ale nie dalo sie poniewaz button do uninstall byl nieaktywny teraz mam to samo, rozumiem ze wszystkie pliki Deamona sa usuniete i moge przejsc do kroku 3,4,5,6 ? czy jednak to ze nie moge przycisnac uninstall w SPT jest problemem?

[Anonim8]

zapoznalem sie z SPT juz wczoraj gdy probowalem go 1 raz robic, ale nie dalo sie poniewaz button do uninstall byl nieaktywny teraz mam to samo, rozumiem ze wszystkie pliki Deamona sa usuniete i moge przejsc do kroku 3,4,5,6 ? czy jednak to ze nie moge przycisnac uninstall w SPT jest problemem?

 

Stosowałeś Defoger , więc teraz należy odkręcić za jego pomocą > Re-enable > restart

 

dopiero potem całkowita deinstalacja sterownika

[fryta]

tak uzylem wczoraj defogera, ale dopiero po tym jak w SPT nie mialem mozliwosci klikniecia uninstall.

Wlasnie sciagnalem defoggera na profil fryta uruchomilem nacisnalem re-enable migneła tylko jakas wiadomość ktorej nawet nie zdazylem przeczytac.

załączylem wiec SPTdinst i button uninstall jest wciaż nieaktywny... Zastanawia mnie tylko fakt dlaczego robie to na frycie a nie na administratorze skoro cala operacje z SPT i Defoggerem tam wlasnie robilem wczoraj, ale pewnie ma to jakies uzasanienie

[Anonim8]

Zastanawia mnie tylko fakt dlaczego robie to na frycie a nie na administratorze skoro cala operacje z SPT i Defoggerem

 

Mnie też zastanawia dlaczego nie robisz tego z konta Administratora w awaryjnym

Czynności z Combofixem i sterownikiem SPTD mają być wykonane z konta admina. Reszta już z konta fryta

[picasso]

Mnie też zastanawia dlaczego nie robisz tego z konta Administratora w awaryjnym

 

Jeśli sterownik SPTD nie załaduje się w awaryjnym, SPTDinst go nie wykryje.

 

 

załączylem wiec SPTdinst i button uninstall jest wciaż nieaktywny... Zastanawia mnie tylko fakt dlaczego robie to na frycie a nie na administratorze skoro cala operacje z SPT i Defoggerem tam wlasnie robilem wczoraj, ale pewnie ma to jakies uzasanienie

 

Przy sterownikach nie ma to żadnego znaczenia z poziomu którego konta to robisz (pod warunkiem, że konto ma uprawnienia administracyjne), sterowniki są zdefiniowane w części wspólnej dla wszystkich kont, czyli rejestrze globalnym SYSTEM. Fryta to konto o uprawnieniach administracyjnych i tylko tyle Ci potrzeba, by zająć się sterownikiem.

 

 

usunąłem też wszystkie napędy wirtualne przed zrobieniem spt i defoggera

 

Usunięcie napędów to nie to samo co usunięcie programu który je tworzy, nam chodzi o to drugie. Skoro korzystałeś z Defoggera, to dla mnie znak, że programu zasadniczego nie deinstalowałeś i to ma duże znaczenie dla bieżącej sytuacji, o czym zaraz będzie. W starcie miałeś wpis DAEMON Tools Lite, który usuwano skryptem. Notabene, ten wpis to nie jest prawdziwe "not found" i nie powinien być usuwany (jeśli nie ma informacji i potwierdzenia, że DAEMON Tools był odinstalowany a nie użyty tylko Defogger), to jest nadinterpretacja OTL, który szuka złej nazwy pliku, jeśli plik miał /parametr lub -parametr po ścieżce dostępu:

 

O4 - HKU\S-1-5-21-1715567821-688789844-1801674531-1003..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun File not found

 

Ten wpis sugeruje, że program DAEMON Tools był zainstalowany i próbował się uruchamiać. I w takiej sytuacji, niezależnie od tego że wpisu w starcie już nie ma: jeśli DAEMON jest zainstalowany (czy masz skróty w Menu Start?), to nie możesz odinstalować SPTD, ponieważ kolejność jest nieprawidłowa i DAEMON Tools odmówi deinstalacji. Deinstalacja programu wymaga obecności czynnego sterownika SPTD, w przeciwnym wypadku otrzymasz błąd o "naruszeniu integralności" instalacji. Kolejność musi być taka: deinstalacja programu > dopiero po tym deinstalacja SPTD.

 

Kondensując: po akcji z Defogger tu właśnie wdrożonej (Enable) tylko zresetuj system i zrób inne czynności z pominięciem usuwania SPTD. Podaj wynikowe logi z konta fryta a nie Administratora.

 

 

 

.

[fryta]

wykonalem pozostale kroki tj adw, usunalem mcafee i zainstalowalem explo 8. dołączam OTL

OTL.Txt

[picasso]

Przed nami jeszcze robota. Infekcje wcale tu nie zostały usunięte, ominięte wpisy trojanów w O6 i O29 (SecurityProviders) , a wpis Shell po infekcji Ukash nieprawidłowo potraktowany (ma być usuwany w całości).
 
1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 38839 = C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\msvouuaqq.exe
O29 - HKLM SecurityProviders - (OstizxePmawm.dll) - C:\WINDOWS\System32\OstizxePmawm.dll ()
O4 - HKLM..\Run: [bCU] "C:\Program Files\DeviceVM\Browser Configuration Utility\BCU.exe" File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
IE - HKU\S-1-5-21-1715567821-688789844-1801674531-1003\..\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - SOFTWARE\Classes\CLSID\{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A}\InprocServer32 File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\DeviceVM\Browser Configuration Utility\BCUService.exe -- (BCUService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys -- (catchme)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\apcups.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{D68302CC-C9F7-40f5-91D2-515974E1E698}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\WINDOWS\System32\apcups.exe
C:\Documents and Settings\fryt\Application Data\OpenCandy
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee
C:\Documents and Settings\All Users.WINDOWS\Local Settings

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Zrób nowy log OTL z opcji Skanuj, zaznacz opcję Pomiń pliki Microsoftu, bo tak obszerny log nie jest już potrzebny. Dołącz też log z usuwania OTL powstały w punkcie 1.



.

[fryta]

gotowe.

 

nie moglem wkleic załącznika ze skryptu wiec wklejam ponizej:

 

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\38839 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\\SecurityProviders:OstizxePmawm.dll deleted successfully.
C:\WINDOWS\system32\OstizxePmawm.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\BCU not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1715567821-688789844-1801674531-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A}\ deleted successfully.
Service BCUService stopped successfully!
Service BCUService deleted successfully!
File C:\Program Files\DeviceVM\Browser Configuration Utility\BCUService.exe not found.
Service catchme stopped successfully!
Service catchme deleted successfully!
File C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\system32\apcups.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{D68302CC-C9F7-40f5-91D2-515974E1E698}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D68302CC-C9F7-40f5-91D2-515974E1E698}\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.
Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.
Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.
========== FILES ==========
C:\WINDOWS\System32\apcups.exe moved successfully.
C:\Documents and Settings\fryt\Application Data\OpenCandy\056211E5D4BB45E79A3271285FEFCB28 folder moved successfully.
C:\Documents and Settings\fryt\Application Data\OpenCandy folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\SecurityScanner\McUicnt folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\SecurityScanner folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\PartnerCustom\SSScheduler folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\PartnerCustom\SecurityScan_Release folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\PartnerCustom\SecurityScan_Inner folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\PartnerCustom\McUicnt folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\PartnerCustom\McCHSvc folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\PartnerCustom\Au_ folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\PartnerCustom folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\McUICnt\mcuicnt folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\McUICnt folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\McLightInstaller\McUICnt folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\McLightInstaller folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\Common\McUicnt folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\Common\McCHSvc folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS\Common folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee\MCLOGS folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Local Settings\Temp folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Local Settings folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 393222 bytes
->Temporary Internet Files folder emptied: 10629174 bytes
->Flash cache emptied: 456 bytes
 
User: All Users
->Temp folder emptied: 68608 bytes
 
User: All Users.WINDOWS
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: fryt
->Temp folder emptied: 1344720039 bytes
->Temporary Internet Files folder emptied: 128075443 bytes
->FireFox cache emptied: 159614290 bytes
->Flash cache emptied: 8283321 bytes
 
User: fryta
->Temp folder emptied: 100922129 bytes
->Temporary Internet Files folder emptied: 23664611 bytes
->FireFox cache emptied: 358359722 bytes
->Flash cache emptied: 26814 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: LocalService.NT AUTHORITY
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1474128 bytes
 
User: NetworkService.NT AUTHORITY
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2402044 bytes
%systemroot%\System32 .tmp files removed: 2577 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 1284908 bytes
 
Total Files Cleaned = 2 041,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 04182013_175802

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\fryt\Local Settings\Temp\Temporary Internet Files\Content.IE5\W561M5GF\FX.01631157E753D6514DD1EC8F1153B153C7D84252&algorithm=throttle-factor&range=5345280-7127039&sparams=algorithm%2Cburst%2Ccp%2Cfactor%2Cid%2Cip%2Cipbits%2Citag%2Csource%2Cexpire&cm2=0 not found!
File\Folder C:\Documents and Settings\fryt\Local Settings\Temp\Temporary Internet Files\Content.IE5\83UZ6PAL\1EC8F1153B153C7D84252&algorithm=throttle-factor&sparams=algorithm%2Cburst%2Ccp%2Cfactor%2Cid%2Cip%2Cipbits%2Citag%2Csource%2Cexpire&cp=U0hSR1hUV19MTkNOMl9QTkFCOnJseDVVblpDd09j&cm2=0 not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

 

OTL.Txt

[picasso]

Wszystko zrobione, przechodzimy do kolejnego etapu:
 
1. Odinstaluj w prawidłowy sposób ComboFix. Plik leży w ścieżce konta Administrator, ale można sobie darować jego uruchamianie stamtąd. Pobierz ComboFix ponownie tym razem zapisując na Pulpicie konta fryta. Start > Uruchom > wklej komendę:

"C:\Documents and Settings\fryta\Desktop\ComboFix.exe" /uninstall
 
2. Odinstaluj pozostałe używane narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.
 
3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

Edytowane 19 Maja 2013 przez picasso
19.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso