slide Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Witam Pomagam przy powrocie systemy XP do zdrowia. Komputer jest własnością młodych córek wiec i różnych programów masa. Problemy jakie zastałem to: znikające ikony z traya - jednak są na liście procesów brak zapamiętania własności pulpitu, paska start samo zamykające się okno IE, choć Mozilla działa (dość wolno) Wczoraj zainstalowałem Avasta i zdążyłem zrobić skan wykrył: C:\Documents and Settings\Uzytkownik.KOMPUTEREK\Moje dokumenty\Pobieranie\SmileyCentral(2).exe 1vEzSetp.dll.1.2.3.0 PNP:Win32:PUP-gen [PUP] I:\Archiwa\Total Comander v6.54\Keygen\Patch.exe Win32:Malware-gen Zamieszczam logi Pozdrawiam Slide OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Zabrakło obowiązkowego loga z GMER. W podanym OTL nie widzę żadnych znaków infekcji. Jest tylko do deinstalacji śmieć sponsoringowy PDFCreator Toolbar i drobne czyszczenie w Firefox po adware SmileyCentral. Na razie niegodne uwagi przy opisywanych problemach, które mi nie wyglądają na pochodne infekcji (i temat zapewne przeniosę do innego działu). Najpierw chcę wyjaśnić podstawową sprawę: znikające ikony z traya - jednak są na liście procesówbrak zapamiętania własności pulpitu, paska start Versus Dziennik zdarzeń: Error - 2011-07-21 12:09:46 | Computer Name = KOMPUTEREK | Source = Userenv | ID = 1505Description = System Windows nie może załadować profilu użytkownika, ale zalogował Cię używając domyślnego profilu systemowego. SZCZEGÓŁ - Odmowa dostępu. Wygląda na to, że tu zachodzi zjawisko logowania przez profil tymczasowy. Konto z poziomu którego zrobiono logi: Computer Name: KOMPUTEREK | User Name: PATRYSIA | Logged in as Administrator. Równolegle na dysku są potworzone derywacje od katalogu konta o nazwie: C:\Documents and Settings\TEMP.KOMPUTEREK.001. Taka nomenklatura używająca nazwę komputera i numerki jest używana, gdy konto traci dostęp do własnego folderu i jest tworzony nowy katalog otrzymujący antykolizyjną nazwę. Wtedy jest ładowany profil zastępczy, który podaje oczywiście goły Pulpit i inne elementy, gdyż jest ładowana matryca konta pozbawiona personalizacji. To wyjaśnia opisywane tu problemy, po prostu ładuje się całkiem inna zawartość dla konta. Nota bene: log z OTL także jest sfałszowany w tych warunkach, bo wszystkie wpisy gałęzi HKCU są brane z rejestru podstawianego a nie tego który był na początku. Poproszę o raport z sid.vbs: KLIK (punkt 3). Na podstawie tego raportu się zorientuję jaki jest układ folderów kont i asygnacje na linii kontofolder konta i podam sposób jak połączyć konto z poprzednim utraconym folderem (co przywróci personalizacje). . Odnośnik do komentarza
slide Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Poproszę o raport z sid.vbs: KLIK (punkt 3). Na podstawie tego raportu się zorientuję jaki jest układ folderów kont i asygnacje na linii konto<>folder konta i podam sposób jak połączyć konto z poprzednim utraconym folderem (co przywróci personalizacje). Ładowanie ustawień nie powiodło się (Odmowa dostępu) Taki komunikat jest po dwukliku na sid.vbs Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Ładowanie ustawień nie powiodło się (Odmowa dostępu) Nie rozumiem co mówisz. Ja proszę o log z narzędzia sid.vbs. EDIT: Dopisane: Taki komunikat jest po dwukliku na sid.vbs Spróbuj zrobić log z poziomu innego konta (wyciąg z rejestru, o który mi chodzi, idzie z gałęzi HKLM dostępnej dla wszystkich kont). Zastartuj do Trybu awaryjnego, na ekranie logowania powinien się ujawnić wbudowany Administrator, zaloguj się na niego i podejmij się próby z sid.vbs. . Odnośnik do komentarza
slide Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 z GMER mam mały problem ale próbuję ******************************************************************************** Lista kont, identyfikatorów SID i ścieżek dostępu. ******************************************************************************** Nazwa użytkownika : Administrator SID : S-1-5-21-507921405-861567501-839522115-500 Katalog profilu : C:\Documents and Settings\Administrator Nazwa użytkownika : ASPNET SID : S-1-5-21-507921405-861567501-839522115-1004 Katalog profilu : Nazwa użytkownika : Gość SID : S-1-5-21-507921405-861567501-839522115-501 Katalog profilu : Nazwa użytkownika : PATRYSIA SID : S-1-5-21-507921405-861567501-839522115-1005 Katalog profilu : C:\Documents and Settings\TEMP.KOMPUTEREK.001 Nazwa użytkownika : Pomocnik SID : S-1-5-21-507921405-861567501-839522115-1000 Katalog profilu : Nazwa użytkownika : Uzytkownik SID : S-1-5-21-507921405-861567501-839522115-1003 Katalog profilu : C:\Documents and Settings\TEMP.KOMPUTEREK.000 ******************************************************************************** Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 z GMER mam mały problem Zostaw go na razie. Tylko wspominałam, że wchodzi w skład obowiązków w dziale Malware, ale jednocześnie wcale nie powiedziałam, że masz go wykonywać natychmiast w tej fazie diagnostyki. Ja w ogóle poddaję w wątpliwość infekcję tutaj, bo jest jawny problem z ładowaniem kont. Startują przez ogólny łysy profil systemowy, ich stara zawartość nie jest ładowana. Wg loga z sid.vbs są dwa konta kierujące na katalogi nazwane "tymczasowo": Nazwa użytkownika : PATRYSIASID : S-1-5-21-507921405-861567501-839522115-1005Katalog profilu : C:\Documents and Settings\TEMP.KOMPUTEREK.001 Nazwa użytkownika : UzytkownikSID : S-1-5-21-507921405-861567501-839522115-1003Katalog profilu : C:\Documents and Settings\TEMP.KOMPUTEREK.000 1. Wejdź do C:\Documents and settings i popatrz jakie tam katalogi są, czy istnieją katalogi równe nazwie kont (Patrysia / Użytkownik). Jeśli są: 2. Skorzystaj z narzędzia ReProfiler. W nim po kolei: podświetlasz w górnym oknie konto Patrysia + w dolnym stary dopasowany do konta folder i wybierasz opcję Assign, powtarzasz to dla konta Użytkownik. 3. Restart systemu i zaloguj się na konta połączone ze starymi folderami, by sprawdzić jak się sprawy mają. . Odnośnik do komentarza
slide Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Tak. Konta zaczęły funkcjonować. Jeszcze trzeba by posprzątać z niepotrzebnych plików. Na całym kompie jest ich masa. Dzięki serdeczne. P.S. Odnośnie programów do czyszczenia poczytam sobie na forum. pozdrawiam Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Teraz możemy się zająć drobnicą. 1. Skoro konta już są wyasygnowane do poprzednich folderów, spokojnie z C:\Documents and settings możesz przez SHIFT+DEL skasować foldery typu TEMP.KOMPUTEREK.00X 2. Wykonaj deinstalację śmiecia PDFCreator Toolbar, podwójnie: w Dodaj / Usuń programy oraz menedżerze rozszerzeń Firefox. 3. Wygeneruj nowy log z OTL z już prawidłowo działającego konta oraz log trybu skanu z AD-Remover. . Odnośnik do komentarza
slide Opublikowano 22 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Witam Wczoraj na życzenie właścicielki usunąłem konto PATI Załączam logi OTL i Ad-remover Ad-Report-SCAN1.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Lipca 2011 Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Na koncie Uzytkownik jest dużo brudu w przeglądarce Firefox. Lecimy: 1. Rozpocznij od naturalnej deinstalacji w Dodaj / Usuń programy śmieci Conduit Engine + Free_Lunch_Design Toolbar. 2. Następnie użyj AD-Remover w trybie usuwania, co ma w planie usunąć ewentualne resztki po w/w procesie i odpadki SmileyCentral. 3. Wygeneruj do oceny nowe logi: OTL (Extras już nie potrzebuję) + AD-Remover trybu skanu. . Odnośnik do komentarza
slide Opublikowano 22 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Niestety Free_Lunch_Design Toolbar nie chce się odinstalować tj. żadnej reakcji, żadnego komunikatu. Zaraz będą logi OTL.Txt Ad-Report-CLEAN1.txt Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 22 Lipca 2011 Zgłoś Udostępnij Opublikowano 22 Lipca 2011 1. Dokończenie sprzątania po paskach + usunięcie zdefektowanego wejścia Dodaj / Usuń. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search" FF - prefs.js..extensions.enabledItems: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}:2.0.4.1 FF - prefs.js..extensions.enabledItems: 1vffxtbr@SmileyCentral_1v.com:1.2 FF - HKLM\Software\MozillaPlugins\@SmileyCentral_1v.com/Plugin: C:\Program Files\SmileyCentral_1v\bar\2.bin\NP1vStub.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\1vffxtbr@SmileyCentral_1v.com: C:\Program Files\SmileyCentral_1v\bar\2.bin [2010-12-31 18:48:47 | 000,010,055 | ---- | M] () -- C:\Documents and Settings\Uzytkownik.KOMPUTEREK\Dane aplikacji\Mozilla\Firefox\Profiles\pytgn3fk.default\searchplugins\SmileyCentral_1v.xml O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab" (Reg Error: Key error.) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}"=- "{57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{06a4d833-ee14-4551-ae73-f42598d97629}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{407E8681-7619-4DAB-8834-25B293E789D4}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B1CF70C3-9A9A-40DB-A507-4B23A7B37026}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e4d0210d-803f-4ac5-89b0-56df14d7ac2e}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Free_Lunch_Design Toolbar] :Commands [clearallrestorepoints] [emptyflash] [emptytemp] Klik w Wykonaj skrypt. Po restarcie możesz użyć Sprzątanie. Odinstaluj też AD-Remover. Koniec z logami. 2. Uruchom msconfig i odznacz z ładowania te zbędne pozycje: O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)O4 - HKLM..\Run: [QuickTime Task] C:\Program Files\QuickTime Alternative\qttask.exe (Apple Inc.)O4 - HKLM..\Run: [RemoteControl] C:\opt\PowerDVD\PDVDServ.exe (Cyberlink Corp.)O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)O4 - HKU\S-1-5-21-507921405-861567501-839522115-1003..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.) 3. Starszą Javę możesz odinstalować, a pozostałe tu zakreślone do aktualizacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java 6 Update 16"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.2 - Polish"{B7B3E9B3-FB14-4927-894B-E9124509AF5A}" = Adobe Flash Player 10 ActiveX"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl) . Odnośnik do komentarza
slide Opublikowano 22 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Dziękuję bardzo za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi