proi Opublikowano 25 Czerwca 2013 Zgłoś Udostępnij Opublikowano 25 Czerwca 2013 // proszę o usunięcie tematu Witam Komputer (Windows 7 64) był mocno zawirusowany, ale jakoś udało mi się to posprzątać. Pozostał jeden problem-po zalogowaniu się na główne konto, nie działa explorer.exe, trzeba go odpalać ręcznie z pomocą Menadźera zadań/Uruchom... Próbowałem klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon tak żeby klucz "Shell" wskazywał "explorer.exe", ale bez efektu. Będę wdzięczny za pomoc. Edycja/DODANE kiedy ranne wstają zorze: Nocą dalej z tym walczyłem, więc chyba cały ten temat jest nieaktualny i nadaje się do kosza. Finalnie - Avast pousuwał infekcje, a ja ręcznie zmieniłem wpis w rejestrze konta które było zepsute (nie ten klucz który wszędzie jest opisywany) HKEY_Users\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" było explorer.exe "C:\Windows\nazwakonta\WinLogon" zmieniłem na samo explorer.exe Jak znam życie to pewnie trzeci raz wrócę z tym problemem, ale na razie dziękuję Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2013 Zgłoś Udostępnij Opublikowano 26 Czerwca 2013 Nocą dalej z tym walczyłem, więc chyba cały ten temat jest nieaktualny i nadaje się do kosza. Finalnie - Avast pousuwał infekcje, a ja ręcznie zmieniłem wpis w rejestrze konta które było zepsute (nie ten klucz który wszędzie jest opisywany) HKEY_Users\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" było explorer.exe "C:\Windows\nazwakonta\WinLogon" zmieniłem na samo explorer.exe vs. O20 - HKU\S-1-5-21-3923645508-3675989961-2249486224-1000 Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKU\S-1-5-21-3923645508-3675989961-2249486224-1000 Winlogon: Shell - ("C:\Users\śrubowy\winlogon.exe") - File not found Wpis Shell w HKCU (to link do HKU\SID konta) nie ma być edytowany lecz w całości usunięty. Domyślnie jest tylko Shell w HKLM. Poza tym, w systemie jest adware. Popraw klucz wg wskazówek i podaj nowe raporty z OTL. . Odnośnik do komentarza
proi Opublikowano 29 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2013 W rejestrze już wolę nie grzebać samemu. System "na oko" działa poprawnie, dodatkowo dzisiaj zaktualizowałem co tylko się dało. Proszę o zerknięcie na logi i sprawdzenie czy jeszcze coś się tam czai. Aktualizacja-zauwazylem ze avast oferuje czyszczenie przegladarki z paskow, wykorzystalem to do usuniecia babylona, załączone logi wygenerowane po tym procesie Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2013 Zgłoś Udostępnij Opublikowano 29 Czerwca 2013 Tu jest także niedoczyszczona infekcja rootkitem ZerAccess: [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 "ThreadingModel" = Both "" = C:\$Recycle.Bin\S-1-5-21-3923645508-3675989961-2249486224-1000\$b00521075be000327b22f7b74103fb81\n. 1. Odinstaluj adware FoxTab PDF Converter. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ""=- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\śrubowy\uidsave.dat C:\Users\śrubowy\AppData\Roaming\92ED9 C:\Users\śrubowy\AppData\Roaming\Babylon C:\Users\śrubowy\AppData\Roaming\D9E2B C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dodatkowo, sprawdzanie co jest w Koszu. Uruchom SystemLook x64 i do skanu wklej: :dir C:\$Recycle.Bin /s . Odnośnik do komentarza
proi Opublikowano 29 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2013 1. Dodaj/Usuń stwierdziło: "Wystąpił bład podczas próby deiin stalacji .... Mógł on zostać wcześniej usunięty. Czy chcesz usunąć ... z listy?" Chciałem i usunąłem., znikneło. 2. Zrobione. 3. Zrobione, log po restarcie załączony 4. Zrobione + zrobione. Zrobione. 06292013_202943_porestarcie.txt FSS.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 1 Lipca 2013 Zgłoś Udostępnij Opublikowano 1 Lipca 2013 Wszystkie akcje zrobione. Jeszcze Kosz wymaga interwencji, gdyż siedzą w nim szczątki ZeroAccess. 1. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin /R /A /D T icacls C:\$Recycle.Bin /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. 2. Zrób nowy log z SystemLook na ten sam warunek. . Odnośnik do komentarza
proi Opublikowano 1 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2013 1. 18 obiektów zakończono powodzeniem, 0 niepowodzeń 2. zrobione załączone Wielkie dzięki Picasso! SystemLookNowy.txt Odnośnik do komentarza
picasso Opublikowano 1 Lipca 2013 Zgłoś Udostępnij Opublikowano 1 Lipca 2013 Akcja pomyślnie przeprowadzona. Możesz zakończyć sprawy: 1. Usuń narzędzia: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Kaspersky Rescue Disk 10.0. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji te programy: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla innych przeglądarek) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.5 - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) . Odnośnik do komentarza
Rekomendowane odpowiedzi