Bardzo proszę o sprawdzenie LOGa, ponieważ po uruchomieniu/zalogowaniu komputer pokazuje czarny ekran. Przez menadżer urządzeń uruchomilem proces explorer.exe i przywrocilem pulpit. Jednak zauważylem infekcję komputera , plikiem winlogon.
Plik OTL:
http://wklej.org/id/765095/
Extras:
http://wklej.org/id/765092/
Atis
(Atis)
2 Czerwiec 2012 11:21
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKU\S-1-5-21-54960737-2643519705-12904372-1000…\SearchScopes{52F977DA-B49E-46B4-B06D-205897D42C2D}: “URL” = http://findgala.com/?&uid=3122&q={searchTerms} O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM…\Run: [crrss] C:\Windows\SysWOW64\crrss.exe () O4 - HKU\S-1-5-21-54960737-2643519705-12904372-1000…\Run: [winlogon] C:\Users\SLAWEK\winlogon.exe () O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\crrss.exe) - C:\Windows\SysWOW64\crrss.exe () [2012-06-02 12:12:33 | 000,001,687 | ---- | M] () – C:\Users\SLAWEK\Desktop\Computer.lnk [2012-06-02 12:12:33 | 000,000,288 | ---- | M] () – C:\Users\SLAWEK\AppData\Roaming\142683B.reg [2012-06-02 12:12:13 | 000,487,936 | ---- | M] () – C:\Users\SLAWEK\AppData\Roaming\ScanDisc.exe [2012-06-02 12:12:01 | 000,000,002 | ---- | M] () – C:\Users\SLAWEK\uz.dat :Reg [HKEY_USERS\S-1-5-21-54960737-2643519705-12904372-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Dziękuję za odpowiedż. Plik po usunięciu. :
http://wklej.org/id/765132/
I nowy LOG :
http://wklej.org/id/765138/
Atis
(Atis)
2 Czerwiec 2012 12:19
#4
Pliki poniżej zostały utworzone w czasie zbliżonym do infekcji:
[2012-06-02 12:12:33 | 000,001,687 | ---- | M] () – C:\Users\SLAWEK\Desktop\Computer.lnk [2012-06-02 12:06:09 | 000,091,613 | ---- | M] () – C:\Users\SLAWEK\Desktop\1.jpeg
Jeżeli nie znasz tych plików to skasuj.
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania.
Aby usunąć wszystkie punkty przywracania:
http://windows.microsoft.com/pl-PL/wind … tore-point
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date