Frontino Opublikowano 26 Czerwca 2011 Zgłoś Udostępnij Opublikowano 26 Czerwca 2011 Skan Avira Antivir, (poniżej wklejam raport) oraz Windate.exe oraz Pws.Tibia usunięte przy pomocy MBAM oraz UnHackMe. (w raporcie z OTL jest wpis Windate.exe w katalogu Windows oraz pozostałości po Tibia IP Changer, więc wydaje mi się, że dobrze robię, że tu postuję). Avira itd. i spółka już tego nie potrafią wykryć, a ja specem nie jestem, więc.. Oto logi. AVSCAN-20110626-054445-C2489CC4.txt OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 26 Czerwca 2011 Zgłoś Udostępnij Opublikowano 26 Czerwca 2011 Cała ta seria plików jest powiązana z Tibia MULTI-ip changer + keylogger userInit.dll: [2011-04-21 22:09:05 | 000,489,223 | ---- | C] () -- C:\WINDOWS\windate.exe [2011-04-21 22:09:05 | 000,105,760 | ---- | C] () -- C:\WINDOWS\os4.exe [2011-04-21 22:09:04 | 000,059,904 | ---- | C] () -- C:\WINDOWS\zlib1.dll [2011-04-21 22:09:04 | 000,000,324 | ---- | C] () -- C:\WINDOWS\Last.dat [2011-04-21 22:09:04 | 000,000,057 | ---- | C] () -- C:\WINDOWS\memlist.dat [2011-04-21 22:09:04 | 000,000,009 | ---- | C] () -- C:\WINDOWS\Language.dat [2011-04-21 22:09:04 | 000,000,004 | ---- | C] () -- C:\WINDOWS\test.dat [2011-03-19 15:26:46 | 000,005,029 | ---- | C] () -- C:\Program Files\Common Files\userInit.dll Mieliśmy już ten przypadek na forum i nie wygląda to dobrze. Całość będziemy usuwać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\windate.exe C:\WINDOWS\os4.exe C:\WINDOWS\zlib1.dll C:\WINDOWS\Last.dat C:\WINDOWS\memlist.dat C:\WINDOWS\Language.dat C:\WINDOWS\test.dat C:\Program Files\Common Files\userInit.dll C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe :OTL SRV - File not found [Auto | Stopped] -- -- (LocalCpa) O3 - HKU\S-1-5-21-839522115-1303643608-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found O4 - HKLM..\RunOnceEx: [Title] File not found O20 - Winlogon\Notify\LogonInit: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędny pobieracz Adobe - Akamai NetSession Interface 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
Frontino Opublikowano 26 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2011 1. Polecenie wykonane. Poniżej skan wygenerowany po restarcie komputera. 2. Program usunięty. 3. Nowe logi poniżej. otl po wykonaniu skrypta.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 27 Czerwca 2011 Zgłoś Udostępnij Opublikowano 27 Czerwca 2011 Skrypt wykonany prawidłowo. Teraz sprawy końcowe. 1. Wklej do Notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1033:TCP"=- "5000:UDP"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL oraz usuń z dysku ten folder: C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla\Firefox\Profiles\59wha9oc.default\extensions\engine@conduit.com 3. Opróżnij folder Przywracania systemu: KLIK . Odnośnik do komentarza
Frontino Opublikowano 27 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2011 Wszystkie czynności zostały wykonane. Rozumiem że to koniec, zatem dziękuję za fachową i szybką pomoc (tak fachową, że żałuję że tak szybko ). Odnośnik do komentarza
Rekomendowane odpowiedzi