Malin Opublikowano 9 Maja 2011 Zgłoś Udostępnij Opublikowano 9 Maja 2011 Witam, Mam problem, ściągnąłem przypadkowo jakiś plik, który miał być plikiem mp3 a okazał się jakimś wirusem. Od tej pory nie mogę włączyć MS Forefront (po uruchumomieniu po kilku sekundach sam się wyłącza), przy wyszukiwaniu w google po kliknięciu w wyszukane linki przekierowuję mnie poprzez stronę "goingonearth" na zupełnie inne strony niż spod linku. Uruchomiłem ComboFix (nie wiedziałem, że nie powinno się samodzielnie tego robić) oraz rKill, problem dalej istnieje :-( Bardzo proszę o pomoc. Z góry dziękuję Załączam listę logów w kolejności w jakiej były wykonywane: log rKill log ComboFix Aktualny log OTL Aktualny log OTL Extras Aktualny log GMER Odnośnik do komentarza
picasso Opublikowano 9 Maja 2011 Zgłoś Udostępnij Opublikowano 9 Maja 2011 Nie rozumiem użycia RKill - to tylko program pośredni do zamknięcia procesów szkodników, o ile takie są i zapobiegają uruchomieniu narzędzi, tu narzędzie nic nie robiło. Te pliki wyrzucone przez ComboFix wyglądają mi na pliki Della a nie szkodniki (KLIK): c:\documents and settings\DELL\UWAKEOFF.EXEc:\documents and settings\DELL\UWAKEON.EXE 1. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej: :OTL [2011-05-02 10:58:26 | 000,126,976 | RHS- | M] (Pnlhjydat Nclyeobtiny) -- C:\WINDOWS\System32\dmband1.dll [2011-05-08 17:29:13 | 000,000,328 | -HS- | M] () -- C:\WINDOWS\Tasks\QLJNHSOKLP.job :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany. Otrzymasz log z usuwania. 2. Wygeneruj nowy zestaw logów z OTL + GMER. Przy czym: proszę pobrać nowszą wersję GMER z jego strony domowej. Dołącz log powstały z usuwania OTL. . Odnośnik do komentarza
Malin Opublikowano 9 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2011 Ja też za bardzo nie wiem po co uruchomiłem rKill, chyba nazwa wydała mi się adekwatna do sytuacji :-) Uruchomiłem skrypt, który napisałaś, wydaję się, że problem zniknął, Forefront znowu działa i wyszukane strony również ładują się poprawnie. Oto logi, o które prosiłaś: OTL po czyszczeniu OTL OTL_Extras GMER Zastanawiam czy przejmować się brakiem UWAKEOFF.EXE i UWAKEON.EXE? Bardzo dziękuję za pomoc!!! Odnośnik do komentarza
picasso Opublikowano 9 Maja 2011 Zgłoś Udostępnij Opublikowano 9 Maja 2011 Infekcja została pomyślnie usunięta. Jeszcze mam pytanie czy aby Centrum zabezpieczeń nie jest wyłączone (ten model infekcji atakuje usługi Centrum + MS Security Essentials / Forefront). Przed przejściem do poniższych kroków: zapakuj katalogi C:\_OTL + C:\Qoobox\Quarantine do ZIP i wyślij mi na PW. Po dostarczeniu tych danych: Zastanawiam czy przejmować się brakiem UWAKEOFF.EXE i UWAKEON.EXE? Jeśli w C:\Qoobox\Quarantine oba pliki mają rozmiar większy niż 0 bajtów, skorzystaj z punktu 1 w poniższej instrukcji. Jeśli nie, punkt 1 omiń. 1. Otwórz Notatnik i wklej w nim: DeQuarantine:: C:\Qoobox\Quarantine\c\documents and settings\DELL\UWAKEOFF.EXE.vir C:\Qoobox\Quarantine\c\documents and settings\DELL\UWAKEON.EXE.vir Quit:: Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 2. Odinstaluj w prawidłowy sposób ComboFix. W Start > Uruchom > wklej polecenie: "c:\documents and settings\Administrator\Pulpit\cf.exe" /uninstall 3. W OTL wywołaj funkcję Sprzątanie, co usunie kwarantannę OTL oraz program OTL z dysku. 4. Notuję tu problem z Przywracaniem systemu, w Dzienniku jest nagrany błąd: Error - 2011-05-09 11:52:34 | Computer Name = GM0023454 | Source = Service Control Manager | ID = 7023Description = Usługa Usługa przywracania systemu zakończyła działanie; wystąpił następujący błąd: %%2 W ustawieniach Przywracania systemu sterownik filtru Przywracania (sr.sys) ma status wyłączony: ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]"DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]"Start" = 4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]"Start" = 2 Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr Z dwukliku w wartość Start zmień liczbę 4 na 0. Zresetuj komputer. Następnie sprawdź czy działa włączanie + wyłączanie Przywracania wg tych kroków: KLIK. . Odnośnik do komentarza
Malin Opublikowano 10 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2011 Pliki UWAKEOFF.EXE i UWAKEON.EXE były większe niź 0 bajtów, wykonałem kroki od 1-3. Jeżeli chodzi o punkt 4 to wartość: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr była 0 Odnośnik do komentarza
picasso Opublikowano 10 Maja 2011 Zgłoś Udostępnij Opublikowano 10 Maja 2011 Dzięki za pliki. Jeżeli chodzi o punkt 4 to wartość:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr była 0 Czyli musiała nastąpić zmiana, gdyż ostatni OTL pokazuje liczbę 4. Rozumiem, że nie masz żadnego problemu z Przywracaniem systemu? Jeśli wszystko w porządku, temat będziemy zamykać. . Odnośnik do komentarza
Malin Opublikowano 10 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2011 Tak, wyłączyłem i włączyłem przywracanie systemu bez żadnego problemu. Jeszcze raz wielkie dzięki!!! Oby fixitpc w siłę rosło! :-) Odnośnik do komentarza
Rekomendowane odpowiedzi