kendrix Opublikowano 29 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Witam. Drodzy forumowicze proszę o pomoc w usunięciu tego paskudztwa. Problem jednak na początek jest poważny, w żadnym trybie awaryjnym nie mogę wejść do systemu. Za każdym razem pojawia się od razu plansza z tym wirusem. Co zrobić żeby zalogować się do windowsa żebym mógł uruchomić OTL. Pozdrawiam Poradziłem sobie i przeskanowałem OTLPE. Zamieszczam plik OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Na przyszłość: stosuj narzędzia bardziej dopasowane do systemu. OTLPE to jest stara płyta na silniku XP. Dla Vista odpowiedniejsze narzędzie to FRST. Infekcja zmodyfikowała usługę WMI Windows, stąd problemy z wejściem w jakikolwiek tryb: SRV - [2013/04/29 11:23:08 | 000,127,488 | ---- | M] (Корпорация Майкрософт2) [Auto] -- C:\ProgramData\hrito1.dat -- (Winmgmt) 1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [-HKEY_USERS\Orneta_ON_C\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_USERS\Orneta_ON_C\Software\Microsoft\Internet Explorer\Search] :Files C:\ProgramData\hrito1.dat C:\ProgramData\1otirh.pad C:\ProgramData\1otirh.js C:\ProgramData\rundll32.exe C:\Users\Orneta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig.lnk C:\Users\Orneta\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. 2. System zostanie odblokowany, toteż loguj się normalnie do Windows. Zrób nowy log OTL z opcji Skanuj. Ma powstać także plik Extras. . Odnośnik do komentarza
kendrix Opublikowano 30 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Dziękuję za podpowiedź, będę pamiętał na przyszłość. System już się uruchamia. Przeskanowałem i wrzucam pliki. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Prawie wszystko pomyślnie zrobiuone, dwa klucze (MountPoints2 + Search) nie zostały skasowane. Poprawka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :OTL IE - HKU\S-1-5-21-1910331583-995721130-1152976423-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=5UeFIh-ceZq-zWrCjPqZ-WWQQzQ?q={searchTerms} IE - HKU\S-1-5-21-1910331583-995721130-1152976423-1000\..\SearchScopes\{89FA663F-EC4D-47C5-9FCE-ABC0CCCC2B47}: "URL" = http://isearch.avg.com/search?cid={F9F3C288-F90C-41E3-9E1E-8896C4DF6717}&mid=1a4986d974582b813a496ec850a510e3-106ee64d500ab7c78a0b1047981a080986f51390&lang=pl&ds=AVG&pr=fr&d=2012-06-22 13:50:35&v=11.0.0.9&sap=dsp&q={searchTerms} O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/4908-44618-9400-3/4 File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home File not found [2013-04-30 09:37:20 | 000,000,000 | -HSD | C] -- C:\found.000 Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Do oceny wystarczy tylko log z wynikami usuwania OTL, nowy skan zbędny. Log będzie krótki, więc wklej wprost w poście. . Odnośnik do komentarza
kendrix Opublikowano 30 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Proszę bardzo ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\ deleted successfully. ========== OTL ========== Registry key HKEY_USERS\S-1-5-21-1910331583-995721130-1152976423-1000\Software\Microsoft\Internet Explorer\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{70D46D94-BF1E-45ED-B567-48701376298E}\ not found. Registry key HKEY_USERS\S-1-5-21-1910331583-995721130-1152976423-1000\Software\Microsoft\Internet Explorer\SearchScopes\{89FA663F-EC4D-47C5-9FCE-ABC0CCCC2B47}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89FA663F-EC4D-47C5-9FCE-ABC0CCCC2B47}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{76577871-04EC-495E-A12B-91F7C3600AFA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{76577871-04EC-495E-A12B-91F7C3600AFA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{8A918C1D-E123-4E36-B562-5C1519E434CE}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8A918C1D-E123-4E36-B562-5C1519E434CE}\ not found. C:\found.000 folder moved successfully. OTL by OldTimer - Version 3.2.69.0 log created on 04302013_194527 Odnośnik do komentarza
picasso Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Wszystko zrobione. Kolejna porcja zadań: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Przy instalacji padnie pytanie o wybór wersji, instalujesz darmową bez rezydenta. . Odnośnik do komentarza
kendrix Opublikowano 1 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2013 Wielkie dzięki, wszystko wyczyszczone. Malware nic nie znalazł. Jesteś boska. Miłego weekendu życzę. Odnośnik do komentarza
picasso Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 Na zakończenie aktualizacje: KLIK. To m.in. przez luki Java przedostaje się ta infekcja. Wg Twojej listy zainstalowanych są tu wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java 6 Update 6 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) "HOMESTUDENTR" = Microsoft Office Home and Student 2007 Odinstaluj wszystkie stare wtyczki Adobe i Java oraz zaktualizuj pakiet Office 2007 (instalacja SP3). Dodatkowa uwaga: jest tu Gadu-Gadu 10. Program: starawy już, nieużytkowy, pożerający zasoby, i prawdopodobnie będzie przywracał zdezaktualizowany Adobe Flash. Pozbądź się go. Zamiennie albo najnowsze GG11 (jest nieco lepsze), albo jedna z alaternatyw (WTW, Kadu, Miranda NG, AQQ). Wszystkie opisy tu: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi