Yugin Opublikowano 9 Stycznia 2012 Zgłoś Udostępnij Opublikowano 9 Stycznia 2012 Witam, mam problem poruszany już kilkukrotnie na forum, niestety postępując zgodnie z wytycznymi nie potrafię usunąć problemu jaki wystąpił u mnie, mianowicie ściągnąłem chyba jakiegoś wirusa i od pewnego czasu nie mogę nic zrobić, próby otwarcia jakiegokolwiek programu skutkują wyświetleniem konikatu "Wybierz program, którego chcesz użyć do otwarcia pliku". Nie mogę także uruchomić wiersza poleceń, narzędzia edycji rejestru, itp. Próbowałem zastrosować CHKDSK i z rozszerzeniem /f w ogóle nie chce ruszyć, udało mi się ruszyć przy pomocy płyty z Windowsem z rozszerzeniem /r, ale nic to nie pomogło, problem dalej jest taki sam. OTL udało mi się uruchomić w "dosowskiej" wersji COM, GMER niestety nie uruchamia się. Będęwdzięczny za jakąkolwiek pomoc. Pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2012 Zgłoś Udostępnij Opublikowano 9 Stycznia 2012 Checkdisk tu w niczym nie pomoże. W systemie była infekcja, która przejmuje skojarzenia EXE: O37 - HKCU\...exe [@ = 7nf] -- "C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\sdx.exe" -a "%1" %* Po usunięciu pliku infekcji, ale bez dostosowania rejestru, przestają się uruchamiać programy EXE. Ponadto, infekcja tego typu całkowicie kasuje z rejestru usługi Centrum zabezpieczeń i Windows Defender. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O37 - HKCU\...exe [@ = 7nf] -- "C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\sdx.exe" -a "%1" %* O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O20 - Winlogon\Notify\avldr: DllName - (avldr.dll) - File not found SRV - File not found [Auto | Stopped] -- -- (RichVideo) SRV - File not found [Disabled | Stopped] -- -- (NMIndexingService) :Files C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\elg.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\dwo.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\ucw.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\ohu.exe C:\Documents and Settings\All Users\Dane aplikacji\et7bf56oua02021ha6w75v1k634o4w488165q8b8r2rod C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\et7bf56oua02021ha6w75v1k634o4w488165q8b8r2rod C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\gx1el51qok12671gs4f41w8w001e5b316374l5n2e6eql C:\Documents and Settings\All Users\Dane aplikacji\gx1el51qok12671gs4f41w8w001e5b316374l5n2e6eql C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\ej5km26ily37141bh1m56u4k527s4q160006v8a5l8wvd C:\Documents and Settings\All Users\Dane aplikacji\ej5km26ily37141bh1m56u4k527s4q160006v8a5l8wvd C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\71v56ar644dpmam84j1kq1b1jyt6k1amrrgo4d4k2g364 C:\Documents and Settings\All Users\Dane aplikacji\71v56ar644dpmam84j1kq1b1jyt6k1amrrgo4d4k2g364 C:\Documents and Settings\All Users\Dane aplikacji\oo885ni53i50wum44xh8uc C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\oo885ni53i50wum44xh8uc :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zresetowany. Po restarcie otworzy się log z wynikami usuwania. A programy zaczną się uruchamiać. 2. Przejdź do Dodaj / Usuń programy i odinstaluj MediaBar od Bearshare. 3. Wykonaj nowy log z OTL opcją Skanuj + zaległy log z GMER. Dołącz log z wynikami usuwania z punktu 1. Również, Start > Uruchom > services.msc i sprawdź czy na liście jest usługa Centrum zabezpieczeń. . Odnośnik do komentarza
Yugin Opublikowano 9 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2012 Wszystko wykonałem zgodnie z zaleceniami, MediaBar oraz Bearshare zostały usunięte, Centrum zabezpieczeń znajduje się na liście usług. Czekam na dalsze polecenia. Poniżej logi: OTL.Txt gmer.txt wynikowy po wykonaniu skryptu.txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2012 Zgłoś Udostępnij Opublikowano 9 Stycznia 2012 Wszystko zostało prawidłowo usunięte. Programy powinny się otwierać bez problemu. W aktualnych logach nie widzę już nic szkodliwego. Zostały tylko szczątki po właśnie odinstalowanym MediaBar, w IE i Firefox. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~2\MediaBar\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - !{472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~2\MediaBar\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..browser.search.selectedEngine: "BearShare Web Search" FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/" FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2010-09-14 13:48:25 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\2qzowemj.default\searchplugins\BearShareWebSearch.xml [2010-09-14 13:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\User\Dane aplikacji\SopCast\adv\SopAdver.exe"=- "C:\Program Files\SopCast\adv\SopAdver.exe"=- Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Po ukończeniu operacji użyj funkcję Sprzątanie w OTL. 2. Wykonaj pełny skan za pomocą Malwarebytes' Anti-Malware i przedstaw raport, o ile coś zostanie wykryte. . Odnośnik do komentarza
Yugin Opublikowano 9 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2012 Skryp wykonany, sprzątanie także (po sprzątaniu był restart). Niestety pełny skan przy pomocy Malwarebytes' Anti-Malware wykrył troszkę problemów, poniżej log ze skanowania. mbam-log-2012-01-09 (22-32-35).txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2012 Zgłoś Udostępnij Opublikowano 9 Stycznia 2012 To było spodziewane, że MBAM coś wykryje. Zadałam skan m.in. po to, by MBAM namierzył rekonfiguracje skrótów menu Start poczynione przez tę infekcję. 1. Za pomocą MBAM usuń wszystko co wykrył. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Niezbędne zabezpieczenia: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 7.0.5730.13) System ma krytyczny status zabezpieczeń (!). Gdzieś Ty się uchował z SP2. To jest poziom "zabezpieczeń" z roku 2004, nie masz w ogóle odporności na najnowsze zagrożenia, zaś system zablokowany i nie ma dostępu do Windows Update (Microsoft zbanował starocie, tylko XP SP3 może być aktualizowany). Należy czym prędzej nadrobić zaległości: INSTRUKCJE. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"ffdshow_is1" = ffdshow [rev 497] [2006-11-04]"Google Chrome" = Google Chrome"ie7" = Windows Internet Explorer 7"Mozilla Firefox (2.0.0.20)" = Mozilla Firefox (2.0.0.20)"SkanerOnline" = Skaner on-line mks_vir Te aplikacje wymagają aktualizacji. Aspekty aktualizacyjne rozpisane w podanym wyżej linku. A Skaner MKS do wyrzucenia (skaner przestarzały i martwy = firma MKS ukończyła żywot). . Odnośnik do komentarza
Yugin Opublikowano 9 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2012 Co do zabezpieczeń jestem tego świadomy, gdyż nie jest to mój sprzęt, lecz mniejsza o to. Mam pytanie odnośnie antywirusa, jakiego tu zastosować, na oku mam darmową wersję avasta, co o tym sądzisz? Może możesz polecić coś lepszego? Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2012 Zgłoś Udostępnij Opublikowano 11 Stycznia 2012 (edytowane) O ile jeszcze aktualne (na PW mowa była o oddaniu systemu): Co do zabezpieczeń jestem tego świadomy, gdyż nie jest to mój sprzęt, lecz mniejsza o to. Aktualizacji nie nadrobi żaden antywirus / pakiet zabezpieczający. Mam nadzieję, że uzupełniłeś to, w przeciwnym wypadku wypuszczam stąd bardzo podatny na infekcję system. Mam pytanie odnośnie antywirusa, jakiego tu zastosować, na oku mam darmową wersję avasta, co o tym sądzisz? Może możesz polecić coś lepszego? Oczywiście może być Avast, połączony z darmową zaporą Online Armor Free lub PrivateFirewall. W takiej kombinacji, ze względu na skomasowanie funkcji podobnych, należałoby wyłączyć Monitor zachowań i Osłonę sieci Avast stawiając na bardziej rozwinięty HIPS w zaporach. Osobiście przywiązuję niezbyt dużą uwagę do marki antywirusa, byle antywirus był z czołówki darmowych lub komercyjnych. Zawodzi czynnik ludzki, nawet forteca zostanie złamana "dzięki" działaniom użytkownika. . Edytowane 13 Lutego 2012 przez picasso 13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi