Rychwal Opublikowano 23 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2011 Witam. Koleżanka zostawiła mi netbook'a ponieważ została bootem na FB. Przeskanowałem mbam'em, usbfix i tdsskiller (nic nie wykrył). Poniżej załączam wszystkir logi. Proszę o szybką odpowiedź gdyż koleżanka wyjeżdża do Holandii za 3 dni Pozdrawiam Extras.Txt OTL.Txt UsbFix.txt mbam-log-2011-08-23 (19-08-38).txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 23 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2011 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\update* C:\WINDOWS\ufa C:\WINDOWS\phoenix C:\WINDOWS\av_ico C:\WINDOWS\phoenix.rar C:\WINDOWS\unrar.exe C:\WINDOWS\ufa.rar C:\WINDOWS\rpcminer.rar C:\WINDOWS\geoiplist.rar C:\WINDOWS\loader2.exe_ok C:\WINDOWS\phoenix.rar C:\WINDOWS\geoiplist C:\WINDOWS\info1 C:\WINDOWS\System32\drivers\etc\hîsts :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\update.2\svchost.exe"=- :OTL O4 - HKLM..\Run: [MSC] File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
Rychwal Opublikowano 23 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2011 dodatkowe skany po zastosowaniu instrukcji OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 23 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2011 Wszystko gra, infekcja w całości usunięta. Czynności końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj aktualizacje Firefox i wszystkich wtyczek Adobe: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. Odnośnik do komentarza
Rychwal Opublikowano 23 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2011 Dziękuję za pomoc, wszystko zrobione jest. Prosiłbym o niezamykanie tematu ponieważ mam jeszcze jeden taki sam przypadek dokładnie ten sam wirusik. Jutro poddam go czynnościom dezynfekującym i chciałbym na koniec wrzucić też logi dla pewności, czy wszystko zostało usunięte. Pozdrawiam. Odnośnik do komentarza
Rychwal Opublikowano 25 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2011 Witam ponownie tutaj mam logi z drugiego komputera. TDDS Killer nic nie znalazł Rkill tak samo Dziękuję i pozdrawiam. mbam-log-2011-08-22 (22-30-26).txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 25 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2011 Małe wyjaśnienie - TDSSKiller to narzędzie do usuwania określonej infekcji a więc rootkita w MBR więc skan robiony nim niepotrzebnie bo tutaj nie ma takiej infekcji, a RKill to narzędzie do killowania procesów kiedy nie można uruchomić np. OTL i ono niczego nie wykrywa. Natomiast zamiast tego powinien być log z Gmer. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\FOUND* C:\WINDOWS\update* C:\WINDOWS\ufa C:\WINDOWS\phoenix C:\WINDOWS\av_ico C:\WINDOWS\info1 C:\WINDOWS\phoenix.rar C:\WINDOWS\rpcminer.rar C:\WINDOWS\unrar.exe C:\WINDOWS\ufa.rar C:\WINDOWS\geoiplist.rar C:\WINDOWS\loader2.exe_ok C:\WINDOWS\services32.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\update.1\svchost.exe"=- "C:\WINDOWS\services32.exe"=- "C:\WINDOWS\update.tray-3-0\svchost.exe"=- "C:\WINDOWS\update.2\svchost.exe"=- :OTL O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
Rychwal Opublikowano 25 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2011 Dziękuję za pomoc. Odnośnie TDDS wiem że jest on od MBR ale użyłem go ponieważ a nuż może coś będzie. logi poniżej. gmer.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2011 Infekcja została usunięta. Pozostają jedynie standardowo czynności końcowe. 1. Opcja Sprzątanie w OTL. 2. Aktualizacja Adobe Reader oraz IE (to ważne): KLIK. 3. Opróżnienie przywracania systemu: KLIK Odnośnik do komentarza
Rychwal Opublikowano 26 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2011 Dziękuję za pomoc wszystko jest zrobione i śmiga jak nówka Temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi