qwertyy0
(Qwertyy0)
24 Sierpień 2012 09:55
#1
Witam
Chciałbym prosić o pomoc, jak najbardziej łopatologiczną, przy naprawie systemu. Dodam, że wykonuje logi w trybie awaryjnym i nie mam pojęcia czy można tak działać.
Log OLT: http://wklej.org/id/817332/
Log Extras: http://wklej.org/id/817340/
Atis
(Atis)
24 Sierpień 2012 10:40
#2
Podczas skanowania OTL należy być zalogowanym na własnym imiennym koncie.
Odinstaluj:
StartSearch Toolbar
V9 HomeTool
Browsers Protector
Contextual Tool Extrafind
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – F:\NTGLM7X.sys – (SetupNTGLM7X) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\RTL8192su.sys – (RTL8192su) DRV - File not found [Kernel | On_Demand | Stopped] – F:\NTACCESS.sys – (NTACCESS) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Documents and Settings\Przemek\Pulpit\install4\MSICPL.sys – (MSICPL) DRV - File not found [Kernel | On_Demand | Stopped] – F:\INSTALL\GMSIPCI.SYS – (GMSIPCI) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1328962418_248621 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1328962418_248621 [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) – C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-02-11 14:13:38 | 000,002,415 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM…\Run: [uENA Agent] C:\WINDOWS\system32\28463\UENA.exe () [2012-04-27 14:18:06 | 000,075,045 | ---- | C] () – C:\WINDOWS\System32\2e9fb1b6.exe :Files C:\Documents and Settings\All Users\Dane aplikacji\6F63A5BB1AE46A4E3E3C697681CB3EF3 C:\WINDOWS\system32\28463 :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
qwertyy0
(Qwertyy0)
24 Sierpień 2012 12:46
#3
Pliki usunąłem, jednak nie mogę uruchomić OLT.exe, OLT.com , OLT.scr, DDS.scr, DDS.com , DDS.pif (ściąga się DDS.scr i też nie działa), OTS.exe, OTS.com , OTS.scr, RSITx32 - wszystkie pliki pobrane z linków podanych na tym forum. Live Security Platinium wszystko blokuje przy normalnym, imiennym użytkowniku. Co należałoby zrobic w takiej sytuacji? Czy mam wykonać skrypt w trybie awaryjnym?
Atis
(Atis)
24 Sierpień 2012 13:08
#4
Ja nie napisałem żebyś uruchomił system w normalnym trybie.
Skrypt wykonaj w awaryjnym na dowolnym koncie.
Po wykonaniu skryptu trojan powinien zostać usunięty i nowy log utwórz na zainfekowanym koncie.
qwertyy0
(Qwertyy0)
24 Sierpień 2012 18:24
#5
Atis
(Atis)
24 Sierpień 2012 18:50
#6
Wklej i kliknij wykonaj skrypt:
:OTL IE - HKU\S-1-5-21-1343024091-1417001333-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1328962418_248621 O4 - HKLM…\Run: [browsers Protector] C:\Program Files\Browsers Protector\regmon32.exe File not found O4 - HKLM…\Run: [Malwarebytes’ Anti-Malware] “C:\Program Files\Malwarebytes’ Anti-Malware\mbamgui.exe” /starttray File not found O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found [2012-08-24 12:51:47 | 000,000,000 | —D | C] – C:\Documents and Settings\Przemek\Menu Start\Programy\Live Security Platinum [2012-08-24 12:51:47 | 000,002,346 | ---- | M] () – C:\Documents and Settings\Przemek\Pulpit\Live Security Platinum.lnk [2012-06-17 15:22:27 | 000,000,000 | —D | M] – C:\Documents and Settings\Przemek\Dane aplikacji\Izocby [2012-05-19 22:14:23 | 000,000,000 | —D | M] – C:\Documents and Settings\Przemek\Dane aplikacji\OpenCandy :Reg [-HKEY_USERS\S-1-5-21-1343024091-1417001333-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
Odinstaluj starą wersję programu Java 6 Update 30
Później zainstaluj Java
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
qwertyy0
(Qwertyy0)
24 Sierpień 2012 20:14
#7
Wykonałem wszystko w podanej kolejności.
Log OLT ze Sprzątania: http://wklej.org/id/817790/
W związku z tym (uwagi odnośnie raportu) zamieszczam log z SecurityCheck:
Adobe Reader został zaktualizowany.