edhunter Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 witam, jestem nowy na forum wiec na poczatku sie przywitam, dopisalem sie ale nie bez powodu, od wczoraj jestem "szczesliwym" posiadaczem robala wymienionego w temacie, system XP sp3 32bit, antywirus dr.web+malwarebytes nie dalo rady jak widac , nie mozna uruchomic trybu awaryjnego ani odpalic cokolwiek z usb, tylko cd, dr.web livecd cos tam znalazl (4 szt, dwa pliki exe i dwa zip w folderze tymczasowym)ale efekt jest bez zmian, sciagnalem OTL uruchomilem i mam loga,bede wdzieczny za pomoc OTL.txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Tu powinien działać Tryb awaryjny z Wierszem polecenia, bo jest wariant infekcji ładowany przez graficzną powłokę Shell (wykluczone graficzne Tryby awaryjne). 1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :Files D:\Documents and Settings\XXX\Dane aplikacji\skype.dat D:\Documents and Settings\XXX\Dane aplikacji\skype.ini D:\Documents and Settings\XXX\Dane aplikacji\systweak D:\Documents and Settings\All Users\Dane aplikacji\PageshotsPro D:\FOUND.000 :Reg [HKEY_USERS\XXX_ON_D\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL O2 - BHO: (no name) - {28CF50DA-4A17-4442-BBF9-D916BFDE072C} - No CLSID value found. O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. DRV - File not found [Kernel | Auto] -- -- (ASPI32) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. Windows zostanie odblokowany. Loguj się normalnie. 2. Przez Dodaj/Usuń programy odinstaluj: adware DAEMON Tools Toolbar oraz strasznie archaiczny Norton SystemWorks (z 2002!). 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi z OTL spod Windows (ten w OTLPE jest zbyt stary i wielu rzeczy nie pokazuje). Ma powstać też plik Extras. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
edhunter Opublikowano 2 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 wszytko ok, w zalacznikiu pliki OTL.Txt Extras.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2013 Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Pliki infekcji (podróbki "Skype") nie zostały usunięte.... I zmieniłeś kolejność zadań. Wbrew zaleceniom log z OTL zrobiłeś przed uruchomieniem AdwCleaner, stąd też log OTL ma nieadekwatne dane i pokazuje wpisy które AdwCleaner już usuwał... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files D:\Documents and Settings\XXX\Dane aplikacji\skype.ini D:\Documents and Settings\XXX\Dane aplikacji\skype.dat :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
edhunter Opublikowano 3 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 uruchomilem skrypt i OTL niby pracuje, na pasku info "proces zabijania, nie przerywac", pulpit czysty (tzn. gina wszystkie ikony, pasek windows schowany), ale tak 15-20 minut i nic sie nie dzieje nowego Odnośnik do komentarza
picasso Opublikowano 4 Czerwca 2013 Zgłoś Udostępnij Opublikowano 4 Czerwca 2013 Podejrzewam, że przeszkadza rezydent MBAM (konflikt przy zabijaniu procesów). Wyłącz go na czas wykonywania skryptu OTL. Odnośnik do komentarza
edhunter Opublikowano 4 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Czerwca 2013 teraz poszlo , w zalaczniku raport OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Czerwca 2013 Zgłoś Udostępnij Opublikowano 4 Czerwca 2013 Zrobione. Kończymy: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem bez restartu pójdzie. 2. Na liście zainstalowanych były jeszcze pozycje adware: PageshotsPro, V9 Homepage Uninstaller. Nie widzę, by AdwCleaner to usuwał. Odinstaluj. 3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Teoretycznie teraz powinno być czyszczenie folderów Przywracania systemu: KLIK. Ale Twój Windows pachnie jakimiś modyfikacjami i w OTL Extras w ogóle pewne ustawienia nie są wykryte, tak jakby Przywracanie było wycięte? 5. Odinstaluj stare wtyczki Adobe, Java, Silverlight i zastąp najnowszymi: KLIK. Wersje zanotowane w logu: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) M.in. stara Java jest przyczyną infekcji tego rodzaju. . Odnośnik do komentarza
edhunter Opublikowano 5 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 konkret odszczurzanie dzieki bardzo Odnośnik do komentarza
Rekomendowane odpowiedzi