LeoBonhart Opublikowano 8 Lipca 2011 Zgłoś Udostępnij Opublikowano 8 Lipca 2011 Problem jak w temacie, laptop z systemem Windows 7 32-bit. Z relacji właściciela wywnioskowałem że wszystko się zaczęło prawdopodobnie od jakiegoś rogue security software, ale laptop dotarł do mnie już w obecnym stanie, czyli brak możliwości uruchomienia jakichkolwiek plików exe. Przy każdej probie pojawia się okno z wyborem programu do otwarcia pliku. Prawdopodobnie właściciel "przez przypadek" pozbył się płytek z System Recovery więc zależy mi żeby to jednak naprawić. Logi z OTL: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2011 Zgłoś Udostępnij Opublikowano 8 Lipca 2011 Problem stanowią te zapiski otwierania EXE przez plik malware, po usunięciu rogue objawia się efekt z wyborem "programu do otwierania": O35 - HKU\S-1-5-21-3485257981-137355879-1672897492-1005..exefile [open] -- "C:\Users\shannon\AppData\Local\teg.exe" -a "%1" %*O37 - HKU\S-1-5-21-3485257981-137355879-1672897492-1005\...exe [@ = exefile] -- "C:\Users\shannon\AppData\Local\teg.exe" -a "%1" %* Używany przez Ciebie unhook.inf (stary plik naprawczy stworzony przez Symantec) nie pomoże wcale na to, gdyż obrabia nie ten klucz. Ten INF interesuje się tylko resetem do domyślnych wartości w HKLM, nie w HKCU (normalnie w HKCU nie ma żadnych asocjacji EXE). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O35 - HKU\S-1-5-21-3485257981-137355879-1672897492-1005..exefile [open] -- "C:\Users\shannon\AppData\Local\teg.exe" -a "%1" %* O37 - HKU\S-1-5-21-3485257981-137355879-1672897492-1005\...exe [@ = exefile] -- "C:\Users\shannon\AppData\Local\teg.exe" -a "%1" %* [2011/07/01 14:20:35 | 000,010,944 | -HS- | M] () -- C:\Users\shannon\AppData\Local\wjyj7l673vh84f2ra13a2543nc82t06128w4cg [2011/07/01 14:20:35 | 000,010,944 | -HS- | M] () -- C:\ProgramData\wjyj7l673vh84f2ra13a2543nc82t06128w4cg [2011/06/30 18:20:33 | 000,212,992 | -HS- | M] () -- C:\Users\shannon\AppData\Local\158k3.dll :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Po restarcie powinien się otworzyć log z wynikami (jeśli nie, szukaj go w C:\_OTL). 2. Po restarcie EXE będą działać i możesz się zainteresować deinstalacją śmieci, tzn. paska sponsoringowego Ask Toolbar (brandowany jako "FrostWire Toolbar"). Przy okazji można odinstalować i inne paski narzędziowe (powątpiewam bowiem, że użytkownik miał tu cel instalacyjny, mogły wejść przypadkowo): Yahoo & Google Toolbar. Popraw usuwanie Ask przez AD-Remover uruchomiony w trybie usuwania. 3. Do oceny: log uzyskany z usuwania w punkcie 1, nowy log z OTL z opcji Skanuj, wyniki z AD-Remover. . Odnośnik do komentarza
LeoBonhart Opublikowano 8 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2011 Zadziałało. Loga z OTL fix nie jestem w stanie dodac - 'Nie masz uprawnien by wgrywać ten rodzaj pliku'??? Podziękowania i pozdrowienia Log z OTL fix: All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7} C:\Windows\Downloaded Program Files\gp.inf not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found. Registry value HKEY_USERS\S-1-5-21-3485257981-137355879-1672897492-1005_Classes\exefile\shell\open\command\\'' updated successfully. File "C:\Users\shannon\AppData\Local\teg.exe" -a "%1" %* not found. Registry key HKEY_USERS\S-1-5-21-3485257981-137355879-1672897492-1005_Classes\.exe\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-3485257981-137355879-1672897492-1005_Classes\exefile\ deleted successfully. HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully! C:\Users\shannon\AppData\Local\wjyj7l673vh84f2ra13a2543nc82t06128w4cg moved successfully. C:\ProgramData\wjyj7l673vh84f2ra13a2543nc82t06128w4cg moved successfully. C:\Users\shannon\AppData\Local\158k3.dll moved successfully. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User: Default User User: Public User: shannon ->Flash cache emptied: 258863 bytes User: TEMP User: TEMP.shannon-PC Total Flash Files Cleaned = 0.00 mb [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: shannon ->Temp folder emptied: 655532543 bytes ->Temporary Internet Files folder emptied: 801574829 bytes ->Java cache emptied: 969591 bytes ->Google Chrome cache emptied: 110161278 bytes ->Apple Safari cache emptied: 6576128 bytes ->Flash cache emptied: 0 bytes User: TEMP ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes User: TEMP.shannon-PC ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 52663709 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 3264286861 bytes Total Files Cleaned = 4,665.00 mb OTL by OldTimer - Version 3.2.26.1 log created on 07082011_130459 Files\Folders moved on Reboot... Registry entries deleted on Reboot... OTL.Txt Ad-Report-SCAN1.txt Ad-Report-CLEAN1.txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2011 Zgłoś Udostępnij Opublikowano 8 Lipca 2011 Loga z OTL fix nie jestem w stanie dodac - 'Nie masz uprawnien by wgrywać ten rodzaj pliku'??? Jak powiedziane w zasadach działu, w Załącznikach dopuszczam tylko rozszerzenie *.TXT a nie *.LOG. Wystarczyło zmienić nazwę pliku. Ponadto, log jest krótki i mógł wejść do posta.... Doklej go pro forma powyżej w poście. Ten log z OTL to robiony przez deinstalacją paska i poprawką AD-Remover (a miał być zrobiony po, jak wynika z sekwencji), gdyż widzę w nim nienaruszony Ask Toolbar. I mamy jeszcze od infekcji przekonfigurowany skrót przeglądarki w Menu Start: **** Internet Explorer Version [8.0.7600.16385] **** IEXPLORE.EXE\Shell\Open\Command - C:\Users\shannon\AppData\Local\teg.exe -a C:\Program Files\Internet Explorer\iexplore.exe 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files\Internet Explorer\iexplore.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Do oceny: log z usuwania OTL + nowy log trybu skanu z AD-Remover. . Odnośnik do komentarza
LeoBonhart Opublikowano 8 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2011 Tym razem staralem trzymac sie sekwencji, oto co z tego wyszlo: 07082011_212011.txt Ad-Report-SCAN3.txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2011 Zgłoś Udostępnij Opublikowano 9 Lipca 2011 Zadanie wykonane i będziemy już finiszować. 1. AD-Remover obudził się w kwestii jeszcze jednego klucza w gałęzi TaskCache. Użyj program ponownie, niech ten drobny wpis usunie. 2. Usuń używane narzędzia: Sprzątanie w OTL + deinstalacja AD-Remover. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Aktualizacje: Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 23"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.1"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"ffdshow_is1" = ffdshow [rev 2527] [2008-12-19] - Obowiązkowa aktualizacja Windows (SP1 + IE9) oraz aktualizacja Java, Adobe Reader i Adobe Flash (w wersji Internet Explorer): INSTRUKCJE. - Relatywnie stary ffdshow i to także można skorygować. . Odnośnik do komentarza
LeoBonhart Opublikowano 11 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2011 Wszystko zrobione, dziękuję za naprawdę profesjonalną pomoc. Temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi