Nights Opublikowano 25 Października 2011 Zgłoś Udostępnij Opublikowano 25 Października 2011 Komputer "przedpotopowy" kumpla. Ogólnie logi do sprawdzenia - głównie na celu ma przyśpieszenie komputera. Raport GMERa dodam jutro, gdyż dzisiaj już nie ma na to czasu, a sam log z OTL robił się ponad godzinę. Extras.Txt OTL(1).Txt Odnośnik do komentarza
picasso Opublikowano 26 Października 2011 Zgłoś Udostępnij Opublikowano 26 Października 2011 Infekcję tu widzę, czyli pliki update.exe + lua8.exe w Autostarcie, a przypuszczalna droga ich nabycia to trefna paczka do Tibia: O4 - Startup: C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Menu Start\Programy\Autostart\update.exe ()O4 - Startup: C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Menu Start\Programy\Autostart\lua8.exe ()[2011-07-14 09:57:02 | 000,487,863 | ---- | C] () -- C:\WINDOWS\update.exe[2011-07-14 09:57:00 | 000,108,217 | ---- | C] () -- C:\WINDOWS\os4.exe[2011-07-14 09:56:57 | 000,059,904 | ---- | C] () -- C:\WINDOWS\zlib1.dll W systemie widać też szczątki innych wpisów infekcyjnych oraz adware FunWebProducts i profilinstylin. 1. Przejdź do Dodaj / Usuń programy i odinstaluj zbędniki SearchCore for Browsers + Windows iLivid Toolbar 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Menu Start\Programy\Autostart\update.exe C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Menu Start\Programy\Autostart\lua8.exe C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\facemoods.com C:\Program Files\profilinstylin C:\WINDOWS\update.exe C:\WINDOWS\os4.exe C:\WINDOWS\zlib1.dll C:\FOUND.* netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"="" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@funwebproducts.com/Plugin] [HKEY_CURRENT_USER\SOFTWARE\Mozilla\Firefox\Extensions] "{EB132DB0-A4CA-11DF-9732-0E29E0D72085}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ares"=- "Kookos"=- "Nwiz Drivers"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- "WinDefender"=- :OTL SRV - File not found [Auto | Stopped] -- -- (NoIPDUCService) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 3. Wygeneruj nowe logi do oceny: OTL z opcji Skanuj (extras już zbędne), AD-Remover z opcji Scan oraz zaległy GMER. Dołącz też log z wynikami usuwania pozyskany w punkcie 2. I sprawdź co jest w tych folderach: [2011-10-21 16:02:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\DBV[2011-10-18 19:10:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\LRdon[2011-10-16 13:23:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\T-D-B[2011-10-15 18:32:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\Tibia[2011-10-15 11:19:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\dbkfo . Odnośnik do komentarza
Nights Opublikowano 28 Października 2011 Autor Zgłoś Udostępnij Opublikowano 28 Października 2011 GMER: http://wklej.org/id/615462/ Ad-R: http://wklej.org/id/615396/ OTL w załączniku Logi wykonania skryptu: http://wklej.org/hash/74e5e2cd6e4/ Punkt pierwszy został wykonany na końcu, przez przypadek. Pliki znajdujące się w tych folderach to, według kumpla, jakieś gierki, jednak można usunąć. OTL(1).Txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2011 Zgłoś Udostępnij Opublikowano 28 Października 2011 (edytowane) Punkt pierwszy został wykonany na końcu, przez przypadek. Kolejność była obrana celowo, ze względu na: skrypt OTL czyścił Tempy, które mogły się zapełnić po procesach deinstalacji, a poza tym logi końcowe miały potwierdzić na ile deinstalacja była kompletna. I teraz nie jestem pewna, czy to co widać w OTL + AD-Remover to szczątki po zalecanych deinstalacjach (załączę na usuwanie mimo to). 1. W logach OK, tylko drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}] [-HKEY_LOCAL_MACHINE\Software\PopCap] [-HKEY_LOCAL_MACHINE\Software\SearchquMediabarTb] [-HKEY_LOCAL_MACHINE\Software\Trymedia Systems] [-HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "DATAMNGR"=- :Files C:\Program Files\SearchCore for Browsers C:\Program Files\Windows iLivid Toolbar C:\Documents and Settings\All Users\Dane aplikacji\PopCap Games C:\Documents and Settings\All Users\Dane aplikacji\Trymedia :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Uporządkuj po używanych narzędziach: odinstaluj AD-Remover i użyj Sprzątanie w OTL. 3. Prewencyjna wymiana haseł Tibia 4. Ważne aktualizacje do wykonania. W OTL Extras widać: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X (10.0.1) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 Fatalny poziom zabezpieczeń Windows - brak Service Pack 3. A pozostałe zakreślone do aktualizacji (Flash tu punktowany to wtyczka Internet Explorer). Szczegóły aktualizacyjne rozpisane tutaj: INSTRUKCJE. 5. Na koniec czyszczenie folderów Przywracania systemu: INSTRUKCJE. Potwierdź wykonanie wszystkiego, podsumuj w jakim stanie jest system, czy nadal wolno chodzi i co tu jeszcze wymaga naprawy. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi