Szaler Opublikowano 24 Września 2011 Zgłoś Udostępnij Opublikowano 24 Września 2011 Witam. Od razu muszę zaznaczyć, że nie znam się na komputerach. Ostatnio na facebooku dostałem wiadomość na czacie od mojego kuzyna który jest w Angli. Okazało się że to wirus a ja jak naiwne dziecko pozwoliłem zainfekować system. Wcześniej miałem antywirusa Avasta, jednak po infekcji przestał działać, a każda kolejna próba ponownej instalacji Avasta kończy się restartem i pracą w trybie awaryjnym. Szukając pomocy w internecie natknąłem się na artykuł o podobnym charakterze co mój problem. Tam znalazłem radę o wykożystaniu programu Malwarebytes Anti-Malware. Przeskanowałem komputer kilka razy. Za każdym razem odnajduje jakieś wirusy. I tu dochodzimy do sedna sprawy. Mam zawirusowanysystem i w żaden sposób nie mogę go oczyścić. Do tego nie mogę w ogóle otworzyć facebooka ani żadenj strony z nim powiązanej. Dlatego zwracam się o pomoć tu na forum. Do tej pory wykonałemwszystko zgodnie z informacjami. Usunąłem Deamona i zrobiłem Loga. Oto Log i screen komunikatu który mi wyskakuje pouruchomieniu komputera OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Września 2011 Zgłoś Udostępnij Opublikowano 25 Września 2011 Log z OTL jest niekompletny, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Usunąłem Deamona i zrobiłem Loga. To zadanie zostało zrobione dokładnie w połowie, bo sterownik DAEMON Tools (o który nam chodzi) w najlepsze działa, gdyż prosta deinstalacja programu go nie usuwa: DRV:64bit: - [2011/07/10 21:34:51 | 000,513,080 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd) Ale akurat na systemie 64-bit, jeśli tylko log z OTL jest wytwarzany, akcja usuwania emulatorów jest niepotrzebna. Oto Log i screen komunikatu który mi wyskakuje pouruchomieniu komputera Zrzut ekranu nieczytelny, nie widać w czym jest to znajdowane. "Pokaż szczegóły". (...) radę o wykożystaniu programu Malwarebytes Anti-Malware. Przeskanowałem komputer kilka razy. Za każdym razem odnajduje jakieś wirusy. I tu dochodzimy do sedna sprawy. Mam zawirusowanysystem i w żaden sposób nie mogę go oczyścić. Do tego nie mogę w ogóle otworzyć facebooka ani żadenj strony z nim powiązanej Nie podałeś raportu z MBAM, by można było ocenić co już zrobił a czego jeszcze nie zrobił. Tak, w dostarczonym logu OTL nadal są składniki infekcji z Facebook, jeszcze plik HOSTS jest zmodyfikowany (dlatego nie można się dostać na stronę Facebook), różne wpisy w Autostarcie oraz podmieniona powłoka Trybu awaryjnego. O1 HOSTS File: ([2011/08/21 22:00:53 | 000,202,984 | -H-- | M]) - C:\Windows\SysNative\drivers\etc\hostsO1 - Hosts: 127.0.0.1 localhostO1 - Hosts: 127.0.0.1 facebook.comO1 - Hosts: 127.0.0.1 www.facebook.comO1 - Hosts: 127.0.0.1 af-za.facebook.comO1 - Hosts: 127.0.0.1 az-az.facebook.comO1 - Hosts: 127.0.0.1 id-id.facebook.comO1 - Hosts: 127.0.0.1 ms-my.facebook.comO1 - Hosts: 127.0.0.1 bs-ba.facebook.comO1 - Hosts: 127.0.0.1 ca-es.facebook.comO1 - Hosts: 127.0.0.1 cs-cz.facebook.comO1 - Hosts: 127.0.0.1 cy-gb.facebook.comO1 - Hosts: 127.0.0.1 da-dk.facebook.comO1 - Hosts: 127.0.0.1 de-de.facebook.comO1 - Hosts: 127.0.0.1 et-ee.facebook.comO1 - Hosts: 127.0.0.1 en-gb.facebook.comO1 - Hosts: 127.0.0.1 es-la.facebook.comO1 - Hosts: 127.0.0.1 eo-eo.facebook.comO1 - Hosts: 127.0.0.1 eu-es.facebook.comO1 - Hosts: 127.0.0.1 tl-ph.facebook.comO1 - Hosts: 127.0.0.1 fo-fo.facebook.comO1 - Hosts: 127.0.0.1 fr-fr.facebook.comO1 - Hosts: 127.0.0.1 fy-nl.facebook.comO1 - Hosts: 127.0.0.1 ga-ie.facebook.comO1 - Hosts: 127.0.0.1 gl-es.facebook.comO1 - Hosts: 127.0.0.1 ko-kr.facebook.comO1 - Hosts: 50053 more lines... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :OTL O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O4 - HKLM..\Run: [54148.exe] C:\Windows\Temp\54148.exe () O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found [2011/08/18 23:29:56 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe [2011/08/18 23:26:52 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok :Commands [resethosts] [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, automatycznie otworzy się w Notatniku plik z wynikami usuwania. 2. Wygeneruj do oceny nowy log z OTL z opcji Skanuj, przypominam o Extras. Dołącz także log z wynikami usuwania uzyskany w punkcie 1. . Odnośnik do komentarza
Szaler Opublikowano 25 Września 2011 Autor Zgłoś Udostępnij Opublikowano 25 Września 2011 No ok zrobiłem wszystko. Wydaje się być już dobrze ale lepiej sprawdź All processes killed========== REGISTRY ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\\"AlternateShell"|"cmd.exe" /E : value set successfully! ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\54148.exe deleted successfully. C:\Windows\Temp\54148.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico1 deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico2 deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico3 deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico4 deleted successfully. C:\Windows\unrar.exe moved successfully. C:\Windows\loader2.exe_ok moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYFLASH] User: All Users User: Default ->Flash cache emptied: 41620 bytes User: Default User ->Flash cache emptied: 0 bytes User: Public User: Vaio ->Flash cache emptied: 63182 bytes Total Flash Files Cleaned = 0.00 mb [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: Vaio ->Temp folder emptied: 4348404904 bytes ->Temporary Internet Files folder emptied: 9499737 bytes ->Java cache emptied: 0 bytes ->Opera cache emptied: 9238783 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 91951908 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67965 bytes RecycleBin emptied: 85636958 bytes Total Files Cleaned = 4,334.00 mb OTL by OldTimer - Version 3.2.29.1 log created on 09252011_104517 Files\Folders moved on Reboot... C:\Users\Vaio\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... OTL 2.Txt Extras 2.Txt Odnośnik do komentarza
picasso Opublikowano 25 Września 2011 Zgłoś Udostępnij Opublikowano 25 Września 2011 Zadanie wykonane, a plików tymczasowych sprzątnięta spora ilość (~4GB). W raporcie nie notuję już żadnych śladów infekcji. Wykonaj czynności końcowe: 1. W OTL uruchom Sprzątanie, co usunie z dysku kwarantannę OTL oraz program OTL. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Wykonaj ważne aktualizacje (istotne pod kątem uszczelniania): 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java 6 Update 20 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"avast5" = avast! Free Antivirus - Antywirus: są notowalne szczątki Avast w systemie. Z poziomu Trybu awaryjnego skorzystaj z narzędzia Avast Uninstall Utility. Po tej akcji możesz zainstalować najnowszą wersję. - System nieaktualizowany. Obowiązkowo należy uzupełnić Service Pack 1, Internet Explorer 9 i wszystkie inne brakujące łatki z Windows Update. Tak, aktualizowanie IE jest istotne, mimo posługiwania się alternatywami. Na silniku IE chodzą różne funkcje systemu, mogą z niego korzystać też programy zewnętrzne ignorujące przeglądarkę domyślną. Ponadto, zaktualizuj Java (wersje 32-bit i 64-bit) oraz produkty Adobe. Wszystko rozpisane tutaj: INSTRUKCJE. 4. Na wszelki wypadek pozmieniaj hasła logowania w serwisach. Zgłoś się tu z podsumowaniem wykonania akcji. . Odnośnik do komentarza
Szaler Opublikowano 25 Września 2011 Autor Zgłoś Udostępnij Opublikowano 25 Września 2011 Zrobiłem wszystko zgodnie z instrukcjami. Bardzo dziękuję za pomoc nie wiem jak mogę się odwdzięczyć. Odnośnik do komentarza
picasso Opublikowano 26 Września 2011 Zgłoś Udostępnij Opublikowano 26 Września 2011 Temat jako rozwiązany zamykam. Bardzo dziękuję za pomoc nie wiem jak mogę się odwdzięczyć. Forum można wspomóc przez dotacje. Oczywiście kto może, tu nie ma żadnych nacisków, pomoc jest za darmo. . Odnośnik do komentarza
Rekomendowane odpowiedzi