Mysza Opublikowano 12 Września 2011 Zgłoś Udostępnij Opublikowano 12 Września 2011 Witam, mam prośbę o sprawdzenie logów, mój niepokój budzą trzy rzeczy : - kontakt z innym zainfekowanym komputerem w ciągu ostatniego miesiąca - w ciągu ostatnich dni kilka razy pojawił się problem z explorer.exe i została ona zamknięta , co skutkowało zniknięciem wszystkich ikon z pulpitu i restartem (np. w moim przypadku zdarzyło się to przy okazji zmiany domyślnej przeglądarki z Google Chrome na Internet Explorer ) - w związku z walką Tomasza Adamka jeden z domowników (wiadomo który ) po raz kolejny ściągnął vShare - odinstalowywałam to potem, ale nie wiem czy nie ma jeszcze jakichś pozostałości OTL http://wklej.org/id/592903/ Extras http://wklej.org/id/592904/ Gmer wstępny http://wklej.org/id/592905/ Gmer pełny http://wklej.org/id/592906/ Przed zrobieniem Gmera odinstalowywałam Daemon Tools Lite - przyznaje się, że zapomniałam użyć SPTD-inst. Odnośnik do komentarza
picasso Opublikowano 12 Września 2011 Zgłoś Udostępnij Opublikowano 12 Września 2011 - kontakt z innym zainfekowanym komputerem w ciągu ostatniego miesiąca W raportach nie widzę śladów infekcji czynnej. Ale: - w związku z walką Tomasza Adamka jeden z domowników (wiadomo który ) po raz kolejny ściągnął vShare - odinstalowywałam to potem, ale nie wiem czy nie ma jeszcze jakichś pozostałości Szczątki delikwenta obecne (m.in. strona startowa IE jest ustawiona na podejrzaną stronę startsear.ch, plik tejże wyszukiwarki jest i w Lisku). Dla pozyskania pełniejszego obrazu wygeneruj log z AD-Remover z opcji Scan. Narzędzie ma wbudowaną detekcję vShare (uwzględniając miejsca niewidoczne w OTL). Na podstawie danych z obu programów zrobię skrypt usuwający. - w ciągu ostatnich dni kilka razy pojawił się problem z explorer.exe i została ona zamknięta , co skutkowało zniknięciem wszystkich ikon z pulpitu i restartem(np. w moim przypadku zdarzyło się to przy okazji zmiany domyślnej przeglądarki z Google Chrome na Internet Explorer ) Widzę w Dzienniku zdarzeń ten błąd: Error - 2011-09-11 03:43:21 | Computer Name = XXX | Source = Application Error | ID = 1000Description = Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł powodujący błąd ntdll.dll, wersja 5.1.2600.6055, adres błędu 0x000101b3. Jako moduł przyczynowy stoi biblioteka ntdll.dll, co nie mówi zbyt wiele. Można jedynie przypuszczać, że problem stanowią np.: rozszerzenia powłoki czy kodeki (conajmniej jeden błąd ad kodeków także jest w Twoim Dzienniku). Przypominam sobie nawet taki stary temat, gdzie błąd o podobnej formule był generowany przez jedno z rozszerzeń kontekstowych. Po omacku można wypróbować ogólnych procedur redukcyjnych: Kodeki: W spisie widać u Ciebie K-Lite Codec Pack 5.9.0 (Full), czyli starszy pakiet w wersji o większym zagrożeniu apropos konfliktów (Full). Odinstaluj tę paczkę. Jeśli kodeki K-Lite są niezbędne: pobierz najnowszą, ale w wersji minimalnej Basic. Deaktywacja rozszerzeń wtórnych: w programie ShellExView posegreguj poprzez klik w kolumnę producenta rozszerzenia różowe w jednym bloku i zbiorczo je wyłącz zatwierdzając restartem systemu. . Odnośnik do komentarza
Mysza Opublikowano 12 Września 2011 Autor Zgłoś Udostępnij Opublikowano 12 Września 2011 W raportach nie widzę śladów infekcji czynnej. Dziękuję @Picasso - mogę spać spokojnie . Log z AD-Remover http://wklej.org/id/593304/ Kodeki: W spisie widać u Ciebie K-Lite Codec Pack 5.9.0 (Full), czyli starszy pakiet w wersji o większym zagrożeniu apropos konfliktów (Full). Odinstaluj tę paczkę.(...). Deaktywacja rozszerzeń wtórnych: w programie ShellExView posegreguj poprzez klik w kolumnę producenta rozszerzenia różowe w jednym bloku i zbiorczo je wyłącz zatwierdzając restartem systemu. ZROBIONE Odnośnik do komentarza
picasso Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 1. Zamknij Firefox i upewnij się, że jego proces jest odładowany. Uruchom AD-Remover w trybie Clean, co wyczyści wszystko co wykrył. 2. Następnie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - File not found FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=748e7c8c000000000000001966599e11&tlver=1.4.31.2&instlRef=sst&ss=1&affID=100395&q=" O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\pc.XXX\Dane aplikacji\Mozilla\Firefox\Profiles\df4qbiim.default\searchplugins\startsear.xml [2011-07-22 17:49:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon [2011-07-22 17:49:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc.XXX\Dane aplikacji\Babylon [2011-08-08 01:35:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc.XXX\Dane aplikacji\BabylonToolbar :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CD10120B-C165-4f8d-8C74-639629E238FF}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{CD10120B-C165-4f8d-8C74-639629E238FF}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}] :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartował. Po restarcie powinien się otworzyć automatycznie log z wynikami usuwania. 3. Do oceny: log z wynikami usuwania plus nowy log z AD-Remover z opcji Scan. ZROBIONE Pozostaje czekać, czy to ma pożądane efekty. A to co jest wyłączone aktualnie w ShellExView (m.in. powinny tam widnieć wpisy kontekstowe ArcaVir) łatwo odkręcić poprzez ponowne włączenie uprzednio zdeaktywowanych wpisów, jeśli zajdzie taka potrzeba. . Odnośnik do komentarza
Mysza Opublikowano 13 Września 2011 Autor Zgłoś Udostępnij Opublikowano 13 Września 2011 Zamknij Firefox i upewnij się, że jego proces jest odładowany. Polecenia wykonałam, aczkolwiek nie jestem pewna na czym polega to "upewnianie się, że jego proces jest odładowany" - sprawdziłam tylko w menedżeże zadań, czy nie ma na liście procesów firefox.exe log z wynikami usuwania http://wklej.org/id/593545/ log z AD-Remover z opcji Scan http://wklej.org/id/593546/ Odnośnik do komentarza
picasso Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 sprawdziłam tylko w menedżeże zadań, czy nie ma na liście procesów firefox.exe O to właśnie chodziło. Zadanie wykonane. 1. Możesz poczynić tradycyjne końcowe porządki: deinstalacja AD-Remover, Sprzątanie w OTL i czyszczenie folderów Przywracania systemu. 2. Poza tym, w systemie widać bardzo stare Google Chrome, które należy zaktualizować: Google Chrome Version [4.1.249.1064] Temat będziemy zamykać, ale jeśli problem z explorer.exe znów się ujawni, poproś o otworzenie na PW i pociągniemy diagnostykę dalej. . Odnośnik do komentarza
Mysza Opublikowano 13 Września 2011 Autor Zgłoś Udostępnij Opublikowano 13 Września 2011 Dziękuję bardzo @Picasso za pomoc i poświęcony czas... i niezmiennie pozostaję pod wrażeniem umiejętności . Odnośnik do komentarza
Rekomendowane odpowiedzi