airness Opublikowano 9 Czerwca 2013 Zgłoś Udostępnij Opublikowano 9 Czerwca 2013 Witam, draństwo znów zaatakowało :/ Będę wdzięczny za przejrzenie logów i wskazówki, jak zwalczyc dziada. Dzięki! Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2013 Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 Raporty z OTL zrobione z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika Ja: Computer Name: KAMIL | User Name: Administrator | Logged in as Administrator. Bezużyteczne, infekcji w nich nie widać. Logi muszą być zrobione z poziomu konta na którym ujawnia się infekcja: - Przenieś OTL ze ścieżki C:\Documents and Settings\Administrator\Pulpit\OTL.exe do ścieżki neutralnej C:\OTL.exe. - Zastartuj do Trybu awaryjnego z Wierszem polecenia, zaloguj się na właściwe konto. - W linii komend wpisz polecenie C:\OTL.exe i ENTER. Zrób skan i podaj wynikowe raporty. . Odnośnik do komentarza
airness Opublikowano 10 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 Dzięki za wskazówki. Załączam raporty jeszcze raz. Pozdr Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2013 Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 1. Zaloguj się na konto Administrator. W Notatniku przygotuj plik o zawartości: :Files C:\Documents and Settings\Ja\Dane aplikacji\skype.dat C:\Documents and Settings\Ja\Dane aplikacji\skype.ini :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :OTL O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-839522115-813497703-725345543-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-839522115-813497703-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz na C:\ a nie w ścieżce konta Administrator. 2. Zastartuj do Trybu awaryjnego z Wierszem polecenia, zaloguj się na konto Ja. W linii komend wklewp polecenie notepad. W Notatniku otwórz plik przygotowany w punkcie 1. Następnie wklep komendę uruchomienia OTL. W OTL w sekcji Własne opcje skanowania / skrypt wklej treść z Notatnika i klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany, loguj się normalnie na konto Ja. 3. Firefox jest zaśmiecony adware, ale nie opłaca się go czyścić, gdyż to archaiczna dziurawa wersja Firefox 3.5.16. Jeśli masz zamiar zrobić kopię zakładek i haseł (tylko tego), to posłuż się MozBackup. Następnie odinstaluj Firefox, a przy pytaniu o usuwanie danych użytkownika potwierdź. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
airness Opublikowano 11 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 Wszystko poszło gładko, załączam logi po czyszczeniu. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2013 Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 Kończymy: 1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń wszystkie stare produkty Adobe i Java (m.in. jedna z przyczyn infekcji), zaktualizuj systemowy IE oraz Office 2007 (instalacja SP3): KLIK. Wersje widziane w systemie: nternet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) "ENTERPRISE" = Microsoft Office Enterprise 2007 (SP2) . Odnośnik do komentarza
Rekomendowane odpowiedzi