Podejrzenie infekcji brak plików systemowych

esial · 7 Kwiecień 2012 10:38

Temat wrzucam drugi raz ponieważ za pierwszym razem łamał regulamin.

Podejrzewam infekcję na komputerze. Przed przeniesieniem pierwszego wątku do kosza polecono mi zrobić pełny skan CCE loga wrzucam poniżej:

log CCE: http://www.wklej.org/id/726470/

Logi OTL (skan zrobiłem po zakończeniu działań programu CCE):

http://wklej.org/id/726475/

extras: http://wklej.org/id/726478/

Z góry dziękuję za wszelką pomoc i sugestie

spandaupol · 7 Kwiecień 2012 11:29

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum

esial · 7 Kwiecień 2012 11:42

log system look: http://wklej.org/id/726522/

spandaupol · 7 Kwiecień 2012 11:46

Pobierz plik alg.exe dla Twojego systemu http://sendfile.pl/153382/alg.exe umieść go w katalogach C:\WINDOWS\System32 oraz C:\WINDOWS\System32\dllcache

Następnie uruchom ponownie OTL klikasz Skanuj pokaż nowy raport na forum

esial · 7 Kwiecień 2012 12:33

otl: http://wklej.org/id/726566/

extras: http://wklej.org/id/726568/

Prosiłbym o informację odnośnie pliku typu: A0092131.exe i innych tego typu które usunął mi CCE (wszystko pokazane w raporcie z tego programu).

spandaupol · 7 Kwiecień 2012 14:49

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL IE - HKU\S-1-5-21-606747145-1390067357-1177238915-1002…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19950&mntrId=8c9cc31d00000000000000123f8dec93ec93 FF - prefs.js…extensions.enabledItems: linkfilter@kaspersky.ru:9.0.0.736 FF - prefs.js…keyword.URL: “http://search.babylon.com/?babsrc=SP_ss&mntrId=8c9cc31d00000000000000123f8dec93&tlver=1.4.31.2&instlRef=sst&affID=19950&q=” O4 - HKU.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\Kuba\Dane aplikacji\Babylon :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

System tworzy punkty przywracania i to są właśnie te pliki.

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

esial · 7 Kwiecień 2012 15:50

log po usuwaniu: http://wklej.org/id/726718/

logi z nowego skanowania po usunieciu (chciałbym zaznaczyć, że przy każdym skanowaniu stosowałem się do instrukcji umieszczonej na stronie otl-gmer-rsit-dss-inne-instrukcje-t370405.html głównie chodzi tu również o wklejanie tekstu do opcji skanowania): http://wklej.org/id/726733/

extras: http://wklej.org/id/726734/

Nie wyłączałem i włączałem przywracania systemu przed dokonaniem nowych skanów

spandaupol · 8 Kwiecień 2012 10:04

Usuń folder

Uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną

Użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

esial · 8 Kwiecień 2012 15:26

Wykonałem wszystko to co zostało polecone (security check wskazal tylko potrzebe aktualizacji adobre readera - na razie sobie daruje bo prawie nie używam tego programu). Czy mógłbym na koniec prosić o wytłumaczenia co to się działo ponieważ mało co kumam z tego co robiliśmy:) - uzupełnialiśmy jakieś pliki systemowe?

spandaupol · 9 Kwiecień 2012 11:05

Więc zaktualizuj i zostaw.

Usuwaliśmy pozostałości po toolbarach oraz uzupełniliśmy brakujący plik alg.exe. Jego brak powodował, że usługa Bramy warstwy aplikacji nie mogła się uruchomić.