marcin5565
(Marcin5565)
14 Październik 2012 15:57
#1
Witam.
Udało mi się dziś(przynajmniej tak myślę) zainfekować laptopa. Przeglądając strony ujrzałem pełnoekranową informację że mój komputer został zablokowany przez policję z powodu łamania prawa, wypisana lista wykroczeń ale za kod na 200zł umorzą sprawę bla bla bla… co trochę mnie rozśmieszyło.
Do rzeczy uruchomiłem skanowanie avastem podczas uruchamiania systemu, wykrył tylko jedną infekcję którą usunąłem. Informacja o blokadzie już się nie pojawia, avast nic nie znajduje, ale zauważyłem że menedżer urządzeń wyłącza się zaraz po uruchomieniu… i tu się zastanawiam czy jeszcze coś mi nie siedzi w systemie.
otl.txt: http://www.wklej.org/id/847249/
extras.txt: http://www.wklej.org/id/847252/
Atis
(Atis)
14 Październik 2012 16:06
#2
W panelu sterowanie odinstaluj:
Spybot - Search & Destroy
Auslogics Toolbar
Auslogics Toolbar Updater
Windows Live Toolbar
DAEMON Tools Toolbar
Pobierz AdwCleaner
Zamknij przeglądarkę internetową.
Uruchom AdwCleaner i kliknij Delete
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV:64bit: - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\msi\msi Software Install\MGHwCtrl.sys – (MGHwCtrl) [2011/04/25 14:16:43 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\137437bz.default\extensions\engine@conduit.com [2012/06/20 15:35:42 | 000,000,000 | —D | M] (Auslogics Toolbar) – C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\137437bz.default\extensions\toolbar@ask.com [2011/01/12 20:17:58 | 000,002,567 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\137437bz.default\searchplugins\askcom.xml [2011/04/20 11:55:40 | 000,000,921 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\137437bz.default\searchplugins\conduit.xml [2010/12/10 21:03:27 | 000,002,059 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\137437bz.default\searchplugins\daemon-search.xml O2 - BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found. O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation) [2012/10/14 12:16:12 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012/10/14 12:16:13 | 000,000,826 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk [2012/10/14 12:16:12 | 083,023,306 | ---- | C] () – C:\ProgramData\reweivmaet.pad :Commands [resethosts] [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Acorus
(Acorus)
14 Październik 2012 16:17
#3
Odinstaluj Spybot - Search & Destroy,DAEMON Tools Toolbar.Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKU\S-1-5-21-2799195156-4223990538-973928927-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3 - HKU\S-1-5-21-2799195156-4223990538-973928927-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-2799195156-4223990538-973928927-1000…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O4 - HKU\S-1-5-21-2799195156-4223990538-973928927-1000…\Run: [spybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation) [2012/10/14 12:16:12 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012/10/14 12:16:13 | 000,000,826 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk [2012/10/14 12:16:12 | 000,044,544 | ---- | M] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012/10/14 12:16:12 | 083,023,306 | ---- | C] () – C:\ProgramData\reweivmaet.pad [2011/10/20 09:48:48 | 000,000,204 | ---- | C] () – C:\windows\SysWow64\secustat.dat :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
marcin5565
(Marcin5565)
14 Październik 2012 17:09
#4
Wykonałem to co podał Acorus.
log z usuwania: http://www.wklej.org/id/847287/
nowy log: http://www.wklej.org/id/847295/
To wszystko? Czy jeszcze coś robić? Menedżer zadań już się nie zamyka, dzięki za pomoc
Jeszcze jedno pytanie. Obecnie korzystam z Avasta, mam możliwość korzystania z Arcavira. który z tych dwóch jest lepszy?
Acorus
(Acorus)
15 Październik 2012 07:59
#5
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt.Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
Zostań przy Avaście.
marcin5565
(Marcin5565)
15 Październik 2012 19:56
#6
log po wykonaniu skryptu: http://www.wklej.org/id/848096/
wyczyściłem punkty przywracania
Acorus
(Acorus)
16 Październik 2012 07:29
#7
Aktualizacja Int.Exp. do wersji 9.Odinstaluj starą Javę i zainstaluj najnowszą Java http://www.oracle.com/technetwork/java/ … 37588.html
Odinstaluj Adobe Flash Player 10
Aktualizacja Adobe Readera.
marcin5565
(Marcin5565)
16 Październik 2012 10:43
#8
zrobiłem to już wczoraj tylko miałem problemy z internetem