Sauron Opublikowano 22 Maja 2011 Zgłoś Udostępnij Opublikowano 22 Maja 2011 Witam Wczoraj mój komputer zainfekował Trojan Win 7 total security. Mam prośbę o podanie skryptów na podst logów z OTL Proszę tez o informacje czy po wykonaniu ww skryptów powinenem zrobić cos jeszcze? OTL: http://wklej.to/llGMr EXTRAS: http://wklej.to/g87Uv Pozdrawiam as Odnośnik do komentarza
picasso Opublikowano 22 Maja 2011 Zgłoś Udostępnij Opublikowano 22 Maja 2011 Mam prośbę o podanie skryptów na podst logów z OTLProszę tez o informacje czy po wykonaniu ww skryptów powinenem zrobić cos jeszcze? Zwracam uwagę, że tu nikt nikogo nie zostawia bez podania "instrukcji po wykonaniu skryptu". 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O35 - HKCU\..exefile [open] -- "C:\Users\Dziubkowo\AppData\Local\nlp.exe" -a "%1" %* () O37 - HKCU\...exe [@ = exefile] -- "C:\Users\Dziubkowo\AppData\Local\nlp.exe" -a "%1" %* () [2011-05-22 10:38:34 | 000,012,754 | -HS- | M] () -- C:\Users\Dziubkowo\AppData\Local\03r40vc28f2051g3w0drp4lv2uc1 [2011-05-22 10:38:34 | 000,012,754 | -HS- | M] () -- C:\ProgramData\03r40vc28f2051g3w0drp4lv2uc1 O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z tego działania. 2. Przejdź do apletu deinstalacji oprogramowania i odinstaluj adware AutocompletePro oraz wątpliwej reputacji Zynga Toolbar (oparte na Conduit). 3. Wygeneruj nowe logi z OTL opcją Skanuj. Dołącz log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
Sauron Opublikowano 22 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2011 Baaaaaardzo dziękuję! Zadziałało idealnie! OTL po zastosowaniu się do porad : http://wklej.to/wKwJ5 Program nie stworzył raportu po zastosowaniu skryptów Odnośnik do komentarza
picasso Opublikowano 22 Maja 2011 Zgłoś Udostępnij Opublikowano 22 Maja 2011 Program nie stworzył raportu po zastosowaniu skryptów Powinien, po restarcie jest zawsze podawany log (otwira się automatycznie), a jest zapisywany w C:\_OTL. Nie mam go, więc nie wiem co tu się stało, że usuwanie było niekompletne. Ale OK, przejdź do tych zadań: 1. Włącz pokazywanie ukrytych w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Przez SHIFT+DEL skasuj te pliki z dysku: [2011-05-21 22:45:57 | 000,012,750 | -HS- | C] () -- C:\Users\Dziubkowo\AppData\Local\03r40vc28f2051g3w0drp4lv2uc1[2011-05-21 22:45:57 | 000,012,750 | -HS- | C] () -- C:\ProgramData\03r40vc28f2051g3w0drp4lv2uc1[2011-05-21 22:45:45 | 000,335,872 | -HS- | C] () -- C:\Users\Dziubkowo\AppData\Local\nlp.exe[2011-05-21 20:00:00 | 000,000,436 | ---- | M] () -- C:\Windows\tasks\Registry Winner Schedule.job 2. W OTL wywołaj funkcję Sprzątanie, co usunie kwarantannę OTL oraz sam program jako taki. 3. Wykonaj pełny skan przez Malwarebytes' Anti-Malware i zaprezentuj wyniki. . Odnośnik do komentarza
Sauron Opublikowano 22 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2011 Z podanych plików udało mi się znaleśc tylko ten [2011-05-21 20:00:00 | 000,000,436 | ---- | M] () -- C:\Windows\tasks\Registry Winner Schedule. (skasowałem go) Reszty system nie pokazuje. A tutaj wynik Malwarebytes' Anti-Malware : http://wklej.to/ja3ly , bylo 5 zainfekowanych plików C:\_OTL - jest taki folder i nawet ma podfoldery ale puste Odnośnik do komentarza
picasso Opublikowano 22 Maja 2011 Zgłoś Udostępnij Opublikowano 22 Maja 2011 Reszty system nie pokazuje. Czy na pewno zrobiłeś to: Włącz pokazywanie ukrytych w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Te pliki mają dwa atrybuty: H (ukryty) + S (systemowy). MBAM skasował tylko jeden z nich: Zainfekowanych plików:c:\Users\dziubkowo\AppData\Local\nlp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. Zostały jeszcze dwa: [2011-05-21 22:45:57 | 000,012,750 | -HS- | C] () -- C:\Users\Dziubkowo\AppData\Local\03r40vc28f2051g3w0drp4lv2uc1[2011-05-21 22:45:57 | 000,012,750 | -HS- | C] () -- C:\ProgramData\03r40vc28f2051g3w0drp4lv2uc1 . Odnośnik do komentarza
Sauron Opublikowano 23 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2011 Zrobione! Odnośnik do komentarza
picasso Opublikowano 24 Maja 2011 Zgłoś Udostępnij Opublikowano 24 Maja 2011 Wykonaj końcowe kroki: 1. W OTL użyj funkcję Sprzątanie, co zlikwiduje kwarantannę OTL oraz OTL. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Aktualizacje oprogramowania: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 24"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish"Gadu-Gadu 10" = Gadu-Gadu 10"PC Tools Firewall Plus" = PC Tools Firewall Plus 6.0 - System uzupełnij o SP1, a także zaktualizuj Java (wersję 32-bit i 64-bit) oraz Adobe. Szczegóły aktualizacyjne: INSTRUKCJE. - Zapora do aktualizacji: PC Tools™ Firewall Plus 7. - GG10 można zamienić lepszym programem z obsługą sieci Gadu 8/10, bez reklam i lepiej zgranym z 64-bitami. W temacie Darmowe komunikatory popatrz na opis WTW. . Odnośnik do komentarza
Sauron Opublikowano 26 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2011 (edytowane) zrobione, ale GG sobie zostawię - siła sentymentu Edytowane 27 Maja 2011 przez picasso Twój wybór. A temat jako ukończony zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi