Radecki Opublikowano 11 Lipca 2011 Zgłoś Udostępnij Opublikowano 11 Lipca 2011 Witam, padłem ofiarą tego trojana MBAM usunęło 9 podejrzanych wpisów, jednak problem pozostał i centrum zabezpieczeń nadal milczy, nawet jeśli antispy-jem aktywuję usługę, to po kilku sekundach znowu jest wyłączana. Załączam plik OTL, czy moglibyście mnie wesprzeć ? PLIZZZZZ Z góry bardzo dziękuję... Radecki OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2011 Zgłoś Udostępnij Opublikowano 11 Lipca 2011 MBAM usunęło 9 podejrzanych wpisów Nie podałeś raportu z MBAM, by było jasnym co widział i usuwał. Załączam plik OTL Log niepełny, nie ma Extras. Opcja "Rejestr - skan dodatkowy" musi być ustawiona na "Użyj filtrowania", by log Extras został wygenerowany. Posiłkujesz się także starą wersją 3.2.25.0. Aktualna to 3.2.26.1 1. Pobierz najnowszy OTL z przyklejonego tematu na forum. Uruchom program i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011/07/11 22:51:26 | 000,115,712 | RHS- | C] () -- C:\Windows\SysWow64\shfolderw.dll [2011/07/11 22:51:26 | 000,000,306 | -HS- | C] () -- C:\Windows\tasks\NAGF.job O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [AdobeBridge] File not found :Commands [emptyflash] [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System powinien zostać zrestartowany, a po restarcie ma się automatycznie otworzyć log z wynikami usuwania. Jeśli to nie nastąpi, szukaj raportu w katalogu C:\_OTL. 2. Włącz usługę Centrum zabezpieczeń: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie) + usługę zastartuj przyciskiem. 3. Sprawdź czy Ochrona systemu nie została też wyłączona przez infekcję: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i klik w Konfiguruj > powinno być zaznaczone "Przywróć ustawienia systemu oraz poprzednie wersje plików". 4. Wygeneruj nowy log z OTL opcją Skanuj, ale nie jest mi już potrzebna tak rozbudowana treść, toteż w konfiguracji zaznacz Pomiń pliki Microsoftu. Za to Extras ma być podane. Ponadto, dołącz też log z wynikami usuwania z punktu 1. I wypowiedz się wyraźnie, czy Ochrona systemu była wyłączona, gdyż ma to znaczenie dla zadania kroków końcowych. . Odnośnik do komentarza
Radecki Opublikowano 12 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2011 już zaciągam nowszą wersję i działam w załączeniu log z usuwaniem trojana EDIT co do wersji OTL, mimo że ściągam najświeższą i tak startuje mi 3.2.25... Logu z czyszczenia nie mogę załaczyć, więc kopiuję treść: Od razu się przyznaję, że dwóch pierwszych nie znalazł, ponieważ studiując wcześniejsze Twoje wpisy, jeden skrypt już wykonałem wpisują plik dll i job i dalsze kroki z postu: https://www.fixitpc.pl/topic/4617-nie-moge-uruchomic-centrum-zabezpieczen-systemu-windows-oraz-ms-essentials/ Co do pytania "czy Ochrona systemu była wyłączona, gdyż ma to znaczenie dla zadania kroków końcowych." Tak, ochrona była wyłączona. W tej chwili system działa poprawnie, nie robiłem jeszcze drugiego czyszczenia po poniższym OTLu Bardzo dziękuję za pomoc. R All processes killed ========== OTL ========== File C:\Windows\SysWow64\shfolderw.dll not found. File C:\Windows\tasks\NAGF.job not found. 64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default ->Flash cache emptied: 0 bytes User: Default User ->Flash cache emptied: 0 bytes User: Public User: Radek ->Flash cache emptied: 456 bytes Total Flash Files Cleaned = 0.00 mb [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: Radek ->Temp folder emptied: 409797 bytes ->Temporary Internet Files folder emptied: 38417 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 27648425 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 7028 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 406425 bytes Total Files Cleaned = 27.00 mb OTL by OldTimer - Version 3.2.25.0 log created on 07122011_020757 Files\Folders moved on Reboot... C:\Users\Radek\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... mbam-log-2011-07-12 (00-28-13).txt OTL2.Txt Extras2.Txt Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2011 Zgłoś Udostępnij Opublikowano 12 Lipca 2011 co do wersji OTL, mimo że ściągam najświeższą i tak startuje mi 3.2.25... Skąd ją pobierasz i gdzie zapisujesz? Od razu się przyznaję, że dwóch pierwszych nie znalazł, ponieważ studiując wcześniejsze Twoje wpisy, jeden skrypt już wykonałem wpisują plik dll i job i dalsze kroki z postu Jakiż więc sens było wykonywać po raz drugi skrypt zawierający te same odnośniki? Natomiast usuwane malware prześlij, a podam dalej do bazy MBAM. Zapakuj cały katalog C:\_OTL do ZIP i prześlij mi paczkę na PW. Po wykonaniu tego możesz przejść do instrukcji podanych poniżej. Tak, ochrona była wyłączona. Toteż czyszczenie folderów Przywracania systemów tu nie będzie zadanego. Wyłączona Ochrona = brak kopii gdzie mogło się zapisywać malware. 1. Uruchom Sprzątanie w OTL, co właśnie zlikwiduje kwarantannę OTL oraz program z dysku. 2. Następujące programy są do aktualizacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Gadu-Gadu" = Gadu-Gadu 7.7"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18) - Firefox, Adobe Reader i Skype zaktualizuj: INSTRUKCJE. - GG7 to katorga, ani nie jest szczególnie bezpieczne (brak szyfrowania), ani nie obsługuje w pełni własnej sieci. Proponuję wymianę na nowoczesny program alternatywny. Propozycja dopasowana dobrze do systemu 64-bit (natywna wersja) to WTW, opisany w temacie Darmowe komunikatory. Program: obsługuje wszystkie ważne cechy nowych edycji GG8/10, pozwoli zaimportować archiwum obecnego tu GG7, nie ma reklam, jest portable. W temacie są też inne programy, które wchodzą w zakres tego co się liczy jako alternatywa: AQQ, Kadu i Miranda. Moja serce jest jednak przy WTW. . Odnośnik do komentarza
Radecki Opublikowano 12 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2011 Skąd ją pobierasz i gdzie zapisujesz? z tego forum i zapisuję na pulpicie. Po odpalaniu mam starszą wersję. Zapakuj cały katalog C:\_OTL do ZIP i prześlij mi paczkę na PW. Po wykonaniu tego możesz przejść do instrukcji podanych poniżej. już wysłałem prv, również info o kwarantannie Firefox, Adobe Reader i Skype zaktualizuj: INSTRUKCJE. FF 5.0 działa mi zdecydowanie gorzej niż ta wersja, czasami dochodziło do sytuacji jakby lap się zawieszał i musiałem dłuuuugo czekać aż pozamykam wszystkie karty i całego FF. Po odpaleniu chwile bylo dobrze, po czym znowu to samo, stąd powrót do tej wersji. resztę zrobię GG7 to katorga (...). Używam tego sporadycznie, ale faktycznie warto się tym również zająć Bardzo bardzo dziękuję za pomoc szkoda, że IT w mojej firmie nie jest tak zorientowane w systemie jak Ty ) Pozdrawiam, Radek Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2011 Zgłoś Udostępnij Opublikowano 13 Lipca 2011 (edytowane) z tego forum i zapisuję na pulpicie. Po odpalaniu mam starszą wersję. To bardzo dziwne. Mimo wszystko ja sądzę, że plik się zapisał gdzie indziej ... U mnie i innych tu obecnych użytkowników pobieranie z podanych w przypiętym linków daje najnowszą wersję. Czy teraz po wykonaniu opcji Sprzątanie w OTL ponownie pobrany program także się uruchamia w starej wersji? już wysłałem prv, również info o kwarantannie Niestety kwarantanna wyzerowana, brak tych plików i nie mogę nigdzie dostarczyć. Ale dziękuję za próbę pomocy. FF 5.0 działa mi zdecydowanie gorzej niż ta wersja, czasami dochodziło do sytuacji jakby lap się zawieszał i musiałem dłuuuugo czekać aż pozamykam wszystkie karty i całego FF. Po odpaleniu chwile bylo dobrze, po czym znowu to samo, stąd powrót do tej wersji] Czy próbowałeś uruchamiać wtedy Firefox w trybie bez dodatków, by zdiagnozować czy aby problemu nie tworzą po prostu wsady do Liska? . Edytowane 13 Sierpnia 2011 przez picasso 13.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi