kasownik Opublikowano 26 Czerwca 2013 Zgłoś Udostępnij Opublikowano 26 Czerwca 2013 Witam! Komputer nettop z XP. Internet security uruchamia sie przy starcie, cos skanuje, nie pozwala niczego uruchomic pisze, proba konczy sie zamknieciem okna i informacja o infekcji. Logi z OTL wykonane w trybie awaryjnym, w normalnym wszystkie rozszerzenia byly zamykane. Gmer nic nie pokazal moze dlatego, ze w trybie awaryjnym. Logi w zalaczniku. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2013 Zgłoś Udostępnij Opublikowano 26 Czerwca 2013 Sprawa jest bardziej skomplikowana. "Internet Security" to mniejszy problem, tu działa rootkit ZeroAccess uruchamiany z Kosza. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Internet Security" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E3507D7D-512E-4878-8DB0-37984E2CEF31}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {2318C2B1-4965-11D4-9B18-009027A5CD4F} /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f del /q "C:\Documents and Settings\All Users\Dane aplikacji\indefender.exe" del /q D:\dane\appdata\skype.dat rd /s /q D:\dane\lappdata\tuto4pc_pl_1 rd /s /q "C:\Program Files\tuto4pc_pl_7" sc delete supt4pc_pl_1 sc delete yukonwxp sc delete RTL2832UUSB sc delete RTL2832UBDA sc delete RTL2832U_IRHID sc delete hwdatacard sc delete huawei_enumerator sc delete ewusbnet sc delete ew_hwusbdev Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik przez dwuklik i zresetuj system, by infekcja została odładowana z pamięci. 2. Otwórz Notatnik i wklej w nim: cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-21-854245398-1500820517-1801674531-500\$099de40d2d0884e4b4beb9d5e0e3df8f /E /G Wszyscy:F rd /s /q C:\RECYCLER attrib -s -h C:\WINDOWS\assembly\GAC\Desktop.ini del /q C:\WINDOWS\assembly\GAC\Desktop.ini netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik przez dwuklik i zresetuj system, by dokończyć reset Winsock. 3. Odinstaluj adware PCSpeedUp. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Z poziomu Trybu normalnego (nie awaryjnego) zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner oraz potwierdź mi, że Google Chrome i Firefox nie są zainstalowane (w logu widać ich elementy, ale brak wejść na liście zainstalowanych). . Odnośnik do komentarza
kasownik Opublikowano 27 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Witam! Ponieważ na zainfekowanym kompie nie udało mi się uruchomić przeglądarki, pliki bat przygotowałem na penie i uruchomiłem zgodnie z poleceniem. Fix1 przeleciał, nie wiem co zrobił, ale po restarcie IS już się nie uruchomił. Fix2 wyniki uruchomienia w załączniku zrzut ekranu. Help do cacls sugeruje używanie icacls, możne to jest przyczyna komunikatów? Logi z OTL FSS i Adw również w załącznikach. Chrome i FF nie są nigdzie widoczne, choć faktycznie w logach się pojawiają. Z ciekawostek, po fix2, IE się uruchamia, otwiera strony, ale często brakuje niektórych obrazków np. na stronie fixitpl logo, logowanie, rejestracja, "cytuj", "odpowiedz". Zawsze tych samych. AdwCleanerS10.txt FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2013 Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Fix1 przeleciał, nie wiem co zrobił, ale po restarcie IS już się nie uruchomił. Fiks usuwał właśnie wpisy startowe IS i ZeroAccess (plus kilka innych drobniejszych rzeczy). Nie wiem jednak co się stało, ale FIX.BAT nie przetworzył większości wpisów od komendy del w dół... Help do cacls sugeruje używanie icacls, możne to jest przyczyna komunikatów? Nie. Cacls to narzędzie wbudowane w XP, icacls jest narzędziem systemów Vista i nowszych. Przyczyną komunikatu numer 1 jest to, że zgadywałam obecność drugiego komponentu ZeroAccess w Koszu. W logu nie było tej modyfikacji, ale log zbyt ograniczony i na zapas to dałam. Druga komenda cacls odblokowująca komponent ZeroAccess przeszła zgodnie z planem, a wynikowo Kosz został pomyślnie skasowany i zregenerowany. Jest problem z usunięciem pliku ZeroAccess desktop.ini: "Odmowa dostępu" przypuszczalnie z powodu braku uprawnień. Dlatego też nie dało się zjąć atrybutów ani skasować pliku. Chrome i FF nie są nigdzie widoczne, choć faktycznie w logach się pojawiają. Będę usuwać te szczątki. Z ciekawostek, po fix2, IE się uruchamia, otwiera strony, ale często brakuje niektórych obrazków np. na stronie fixitpl logo, logowanie, rejestracja, "cytuj", "odpowiedz". Zawsze tych samych. Tu jeszcze nie były czyszczone pliki tymczasowe i cache przeglądarek. Kolejne akcje: 1. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\assembly\GAC\Desktop.ini Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2012-11-05 12:57:12 | 003,055,976 | ---- | M] () [Auto | Running] -- D:\dane\lappdata\tuto4pc_pl_1\supt4pc_pl_1.exe -- (supt4pc_pl_1) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\yk51x86.sys -- (yukonwxp) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RTL2832UUSB.sys -- (RTL2832UUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTL2832UBDA.sys -- (RTL2832UBDA) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL2832U_IRHID.sys -- (RTL2832U_IRHID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) :Files C:\WINDOWS\assembly\GAC\Desktop.ini C:\Documents and Settings\All Users\Dane aplikacji\indefender.exe D:\dane\lappdata\Google\Chrome D:\dane\lappdata\tuto4pc_pl_1 D:\dane\appdata\Mozilla C:\Program Files\Mozilla Firefox C:\Program Files\AVG C:\$AVG :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome] Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 4. Zresetuj system i zrób nowe logi: OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner. . Odnośnik do komentarza
kasownik Opublikowano 27 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Pkt. 1 wykonany pkt. 2 wykonany, log w zalaczniku pkt. 3 wykonany pkt. 4 logi w zalaczniku 06272013_101307.log.txt FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2013 Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Nic nie wykonane:1. Skrypt OTL w ogóle nie został zinterpretowany, wszystkie linie zostały sklejone. Powtarzaj. Podkreślam: skrypt wklejony do okna ma mieć idealnie identyczne przejścia do nowej linii, nic nie może się "sklejać". Jeśli przeklejanie skleja, w pierwszej kolejności przeklej treść do Notatnika i popraw ENTERy, dopiero po tym przeklej do OTL.2. Żadnych oznak importu pliku REG. Czyżby też coś się "skleiło"? Powtarzaj i jak wyżej: treść w Notatniku ma wyglądać identycznie jak w moim poście.Po powtórce restart i nowe logi.. Odnośnik do komentarza
kasownik Opublikowano 27 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 1. Zgadza sie. Nie zwrocilem na to uwagi, tylko kopiuj/wklej i wykonaj Juz poprawilem, wykonalo sie chyba prawidlowo, log w zalaczniku 2. Moj blad znowu ((( Zapisalem jako plik .bat nie .reg. Juz poprawione i wykonane, logi w zalacznikach. 06272013_133535.log.txt FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2013 Zgłoś Udostępnij Opublikowano 28 Czerwca 2013 Teraz wszystko zrobione jak należy. Działania końcowe: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, a resztę narzędzi/fiksów dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek przeskanuj system Malwarebytes Anti-Malware i zgłoś się tu z wynikami. Pokaż raport, jeśli coś zostanie wykryte. . Odnośnik do komentarza
kasownik Opublikowano 28 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2013 1. zrobione 2. zrobione 3. zrobione, cos wykryl, nic nie usuwalem, log w zalaczniku Mozna cos jeszcze z tym IE zrobic? przyklad w zalaczniku. MBAM-log-2013-06-28 (09-00-42).txt Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2013 Zgłoś Udostępnij Opublikowano 28 Czerwca 2013 Wyniki MBAM: trojany w Temp i instalator adware. Wszystko do usunięcia. Z ciekawostek, po fix2, IE się uruchamia, otwiera strony, ale często brakuje niektórych obrazków np. na stronie fixitpl logo, logowanie, rejestracja, "cytuj", "odpowiedz". Zawsze tych samych. Czy CTRL+F5 na danej zdefektowanej stronie powoduje pojawienie się obrazków? I czy jesteś pewnien, że tu nie bruździ ESET (osłona Web)? . Odnośnik do komentarza
kasownik Opublikowano 28 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2013 Wszystko usuniete. Ctrl+F5 nic nie zmienia, ESET wywalony i niestety dalej to samo Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2013 Zgłoś Udostępnij Opublikowano 28 Czerwca 2013 Spróbuj standardowych kroków w Opcjach internetowych: - Ogólne > w sekcji Historia przeglądania klik klik w Usuń > zaznacz wszystkie rzeczy do czyszczczenia - Zaawansowane > Resetuj . Odnośnik do komentarza
kasownik Opublikowano 28 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2013 Niestety nic sie nie zmienilo Resetowanie robilem juz wczesniej, ale na wszelki wypadek zrobilem raz jeszcze, ale bez efektu. Odnośnik do komentarza
picasso Opublikowano 1 Lipca 2013 Zgłoś Udostępnij Opublikowano 1 Lipca 2013 To może tu jest taka usterka w kluczach MIME: KLIK. Podaj mi te same dane o które prosiłam tamtego użytkownika. . Odnośnik do komentarza
kasownik Opublikowano 1 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2013 HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/X Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/bmp] "AutoplayContentTypeHandler"="PicturesContentHandler" "Extension"=".bmp" "Image Filter CLSID"="{607fd4e8-0a03-11d1-ab1d-00c04fc9b304}" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/bmp\Bits] "0"=hex:02,00,00,00,ff,ff,42,4d [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/gif] "AutoplayContentTypeHandler"="PicturesContentHandler" "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" "Extension"=".gif" "Image Filter CLSID"="{607fd4e8-0a03-11d1-ab1d-00c04fc9b304}" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/gif\Bits] "0"=hex:04,00,00,00,ff,ff,ff,ff,47,49,46,38 [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/jpeg] "AutoplayContentTypeHandler"="PicturesContentHandler" "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" "Extension"=".jpg" "Image Filter CLSID"="{607fd4e8-0a03-11d1-ab1d-00c04fc9b304}" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/jpeg\Bits] "0"=hex:02,00,00,00,ff,ff,ff,d8 [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/pjpeg] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" "Extension"=".jpg" "Image Filter CLSID"="{607fd4e8-0a03-11d1-ab1d-00c04fc9b304}" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/pjpeg\Bits] "0"=hex:02,00,00,00,ff,ff,ff,d8 [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/png] "Extension"=".png" "Image Filter CLSID"="{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750}" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/png\Bits] "0"=hex:08,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,89,50,4e,47,0d,0a,1a,0a [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/tiff] "Extension"=".tif" @="" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/vnd.ms-modi] "Extension"=".mdi" @="" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/x-icon] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" "Extension"=".ico" "Image Filter CLSID"="{607fd4e8-0a03-11d1-ab1d-00c04fc9b304}" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/x-jg] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/x-png] "Extension"=".png" "Image Filter CLSID"="{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750}" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/x-png\Bits] "0"=hex:08,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,89,50,4e,47,0d,0a,1a,0a [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/x-wmf] "Image Filter CLSID"="{607fd4e8-0a03-11d1-ab1d-00c04fc9b304}" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/x-wmf\Bits] "0"=hex:04,00,00,00,ff,ff,ff,ff,d7,cd,c6,9a HKEY_CLASSES_ROOT\.gif Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.gif] "PerceivedType"="image" @="giffile" "Content Type"="image/gif" [HKEY_CLASSES_ROOT\.gif\OpenWithList] [HKEY_CLASSES_ROOT\.gif\OpenWithList\ois.exe] @="" [HKEY_CLASSES_ROOT\.gif\OpenWithProgids] "giffile"=hex(0): [HKEY_CLASSES_ROOT\.gif\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" HKEY_CLASSES_ROOT\.jpg Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.jpg] "PerceivedType"="image" @="jpegfile" "Content Type"="image/jpeg" [HKEY_CLASSES_ROOT\.jpg\OpenWithList] [HKEY_CLASSES_ROOT\.jpg\OpenWithList\ois.exe] @="" [HKEY_CLASSES_ROOT\.jpg\OpenWithProgids] "jpegfile"=hex(0): [HKEY_CLASSES_ROOT\.jpg\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" HKEY_CLASSES_ROOT\.png Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.png] "PerceivedType"="image" @="pngfile" "Content Type"="image/png" [HKEY_CLASSES_ROOT\.png\OpenWithList] [HKEY_CLASSES_ROOT\.png\OpenWithList\ois.exe] @="" [HKEY_CLASSES_ROOT\.png\OpenWithProgids] "pngfile"=hex(0): [HKEY_CLASSES_ROOT\.png\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" Uda sie cos z tym IE zrobic? Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2013 Zgłoś Udostępnij Opublikowano 21 Lipca 2013 Z eksportów nic nie wynika, wszystkie wpisy MIME jawią się jako prawidłowe. Obrazki na forum są w formacie PNG. Podaj mi jeszcze szukanie na klasę filtra PNG, bo nie jest wykluczone, że infekcja coś zmodyfikowała w tym obszarze: Uruchom SystemLook i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PNGFilter.CoPNGFilter /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PNGFilter.CoPNGFilter.1 /s Klik w Look. . Odnośnik do komentarza
picasso Opublikowano 13 Września 2013 Zgłoś Udostępnij Opublikowano 13 Września 2013 Jeśli problem nadal aktualny, podaj zamiast skanu SystemLook raporty z FRST. FRST właśnie otrzymał zgodnie z moją sugestią detekcję malware przejmującego filtr PNG. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się