Skocz do zawartości

Po infekcji System Tool


Rekomendowane odpowiedzi

Witam,

to mój debiut na tym forum i jednocześnie prośba o pomoc.

Córka wczoraj zainfekowała komputer (Win XP HomeEd) przez kliknięcie linka na Facebooku.

System Tool informował migającym dymkiem w trayu i niby (?) skanował komputer. Znajdywał też 38 wirusów i robaków.

Monitował o kupno oprogramowania antywirusowego.

 

Uruchomiłam (dało się) skanowanie Avastem ale nic nie znajdował.

HijackThis nie chciał się uruchomić.

Nie można było przywołać Menadżera Zadań bo chciałam zamknąć nieznane mi procesy.

Do trybu awaryjnego nie mogłam wejść bo moja bezprzewodowa klawiatura "odłączyła się" i nie mogłam strzałkami dokonać wyboru uruchomienia kompa.

Komputer raz się sam zrestartował, poczym zmienił tapetę z wielkimi na cały pulpit, ostrzegawczymi napisami.

Ja jeszcze zrobiłam to 2x i zanim System Tool się uruchomił zdążyłam w MZ zabić 2 obce procesy (jeden zdaje się wulxi.exe).

To pomogło.

Zrobiłam skan HijackThisem i zafiksowałam 2 wpisy z nazwami tych procesów (w kluczu HKCU).

Skorzystałam z Przywracania Systemu - miałam tylko jeden punkt z tego samego dnia.

W folderze Documents&Settings/User/Dane Aplikacji znalazłam dwa pliki wykonywalne tego System Tool'a.

Jeden dał się normalnie usunąć, drugi dopiero Unlockerem.

Wyłączyłam Przywracanie Systemu.

 

Bardzo proszę o sprawdzenie logów, bo nie mam pewności, czy coś nie pozostało.

Dziękuję za wszelką pomoc!

gmer 9.02.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Log z OTL nie jest zrobiony według ustawień z naszego forum tylko na cudzych ustawieniach, które nie do końca nam odpowiadają.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\ShellBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {4064EA35-578D-4073-A834-C96D82CBCF40} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {981FE6A8-260C-4930-960F-C3BC82746CB0} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {CCCCCCDB-4DDB-4703-95D4-DD2C526397BF} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - No CLSID value found.
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

3. Wykonaj skan za pomocą Malwarebytes Anti-Malware i zaprezentuj raport.

 

 

 

Odnośnik do komentarza

Wygląda, ze jest dobrze. Wykonaj poniższe czynności:

 

1. Usuń z dysku ten plik:

 

[2011-02-09 20:52:54 | 000,000,304 | ---- | M] () -- C:\WINDOWS\tasks\fbagent.job

2. Użyj opcji Sprzątanie z OTL.

 

3. Obowiązkowo zaktualizuj system instalując Service Pack 3

 

4. Dyski C i D sformatowane w starym systemie plików. Wykonaj konwersje systemu plików FAT32 na NTFS bez utraty danych:

 

Drive C: | 18,70 Gb Total Space | 4,68 Gb Free Space | 25,04% Space Free | Partition Type: FAT32

Drive D: | 18,58 Gb Total Space | 5,93 Gb Free Space | 31,90% Space Free | Partition Type: FAT32

Drive F: | 37,28 Gb Total Space | 8,90 Gb Free Space | 23,87% Space Free | Partition Type: NTFS

Drive G: | 37,27 Gb Total Space | 8,99 Gb Free Space | 24,11% Space Free | Partition Type: NTFS

Start > Uruchom > cmd i w linii komend wpisz polecenie convert C: /fs:ntfs oraz convert D: /fs:ntfs Na pytanie o dezinstalację woluminu odpowiedz twierdząco.

 

5. Wyzeruj stan przywracania systemu: KLIK

 

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...