klimrewop Opublikowano 11 Października 2013 Zgłoś Udostępnij Opublikowano 11 Października 2013 Witam! Mój znajomy miał problem z Internet Security 2013, usunąłem go uruchamiając combofixa w trybie awaryjnym. Chciałem wrzucić logi, ale nie było czasu. Tydzień później do mnie dzwonił i tym razem problem ze dość znanym ekranem blokującym pulpit "Polizja". Za nic nie chciał uruchomić się w trybie awaryjnym, ale jakimś cudem zamknąłem proces, usunąłem plik z autostarta, przeczyściłem combofixem oraz usunąłem plik w C:\Windows\System32. Tym razem mam ten komputer u siebie, więc wrzucam logi. Ale jest taki problem, że OTL się zawiesza i nie odpowiada... (oto screen). Z góry dzięki za pomoc. Wrzucam też SecurityChecka: Results of screen317's Security Check version 0.99.74 Windows XP Service Pack 3 x86 Internet Explorer 6 Out of date!``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update.`````````Anti-malware/Other Utilities Check:````````` CCleaner Java 6 Update 31 Java version out of Date! Adobe Flash Player 9 Flash Player out of Date! Adobe Flash Player 10 Flash Player out of Date! Adobe Flash Player 11.9.900.117 Adobe Reader XI Mozilla Firefox (24.0) Google Chrome 29.0.1547.76 Google Chrome 30.0.1599.69 ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 11 Października 2013 Zgłoś Udostępnij Opublikowano 11 Października 2013 OTL zacina się na monstrualnie wielkiej wartości dodanej przez infekcję. Skan FRST za to gładko przeszedł i ją pokazuje w całości. Infekcja "Polizja" nie jest usunięta w pełni, nadal w starcie skrót oraz kilka innych plików na dysku. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Autostart\lczj2bnlclc.lnk C:\Documents and Settings\All Users\Dane aplikacji\lczj2bnlclc.pff C:\Documents and Settings\All Users\Dane aplikacji\lczj2bnlclc.ctrl HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=67&cf=a950c196-8b57-11e2-8c88-00e04c0736f4 URLSearchHook: (No Name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No File Toolbar: HKLM - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File CHR HKLM\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files\vSharetv plugin\vshareplg.crx S3 catchme; \??\C:\DOCUME~1\Grzegorz\USTAWI~1\Temp\catchme.sys [x] S4 hpt3xx; No ImagePath AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D} Unlock: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 3656936363 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware vSharetv. Wyczyść Google Chrome z adware i pustych wpisów: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres startsear.ch Ustawienia > karta Rozszerzenia > odinstaluj vShare.tv plugin (wpisu może już nie być po ogólnej deinstalacji) Ustawienia > karta Historia > wyczyść 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
klimrewop Opublikowano 12 Października 2013 Autor Zgłoś Udostępnij Opublikowano 12 Października 2013 Hmm... chciałem usunąć tego VShareTV, ale po wejściu w panel sterowania wyskakuje mi informacja, że nie odnaleziono pliku C:\Windows\System32\rundll32.exe Użyłem porady od Microsoftu (http://support.microsoft.com/kb/812340) ale nic nie pomogło :/ Wstrzymałem się ze skanem, bo to krok 3, a usunięcie 2 Odnośnik do komentarza
klimrewop Opublikowano 12 Października 2013 Autor Zgłoś Udostępnij Opublikowano 12 Października 2013 Uff. Jakoś udało mi się. Niestety, mój brat się wtrącił bez mojego nadzoru i Google Chrome i Silverlight zostały usunięte. Również zostały zaktualizowane Adobe Flash i Java (przed skanowanem). Załączam logi. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2013 Zgłoś Udostępnij Opublikowano 13 Października 2013 Kombinowałeś z podstawianiem pliku rundll32, jedna z lokalizacji nieprawidłowa: 2013-10-12 10:15 - 2008-04-14 22:51 - 00033280 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\rundll32.exe 2013-10-12 10:15 - 2008-04-14 22:51 - 00033280 _____ (Microsoft Corporation) C:\WINDOWS\system32\rundll32.exe 2013-10-12 08:23 - 2008-04-14 22:51 - 00033280 _____ (Microsoft Corporation) C:\WINDOWS\rundll32.exe Fixlog wskazuje, że skrypt został użyty dwa razy, co nie ma sensu, gdyż skrypt nie powtórzy usuwania tych samych elementów. Poza tym, Fixlog wygląda na niekompletny, jest odcięta mniej więcej połowa wyników. Powtórka: 1. Otwórz Notatnik i wklej w nim: C:\WINDOWS\rundll32.exe BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File Unlock: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 3656936363 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
klimrewop Opublikowano 16 Października 2013 Autor Zgłoś Udostępnij Opublikowano 16 Października 2013 Właśnie, zapomniałem wcześniej napisać, że przy uruchomieniu wtedy wyskoczył mi jakiś błąd. Teraz wszystko OK. Przepraszam, też za zwłokę, ale już nie mam bezpośredniego dostępu do tego komputera. Załączam te pliki Fixlog.txt FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się