Restrictive windows explorer policies found - proszę o pomoc


(Laura 91) #1

Prosiłabym o pomoc.Miałam okropnie zainfekowany komputer,po szybkim skanie programem Trojan Remover wyświetliła się informacja: "restrictive windows explorer policies found" (razy dwa)

Niestety,nie mogę uruchomić tego programu,czy jest jakiś inny,który też to wykryje,czy może mogę to usunąć ręcznie(i jak) i czy jest to coś groźnego? Spodziewam się jednak,że tak,bo udało mi się usunąć dzisiaj ponad 600 innych infekcji :expressionless:


(Henio Mazurek) #2

To może być Sality, by się upewnić wklej log z OTL i GMER

Logi wklej na wklej.org lub wklej.to a tutaj tylko link do wklejki.


(Laura 91) #3

OTL: http://wklej.org/id/133903/

A jeśli chodzi o GMER to wkleiłam tylko ze skanu Rootkit/Malware (jeśli jest źle,to piszcie ale coś mi tam znalazł) : http://www.wklej.org/id/133901/

-- Dodane 12.08.2009 (Śr) 12:21 --

Widzę,że źle zrobiłam skan,ten jest chyba w porządku : http://wklej.org/id/133906/ (GMER)


(Henio Mazurek) #4

To jednak infekcja na exe.

Pobierz Dr.WEB CureIt. W momencie pobierania zmień nazwę na 123.com. Przeskanuj i lecz co się da. Resztę usuń. Wklej log.


(Laura 91) #5

Ale tak już zrobiłam, jeszcze raz podaję linka : http://wklej.org/id/133906/

Czy coś jeszcze jest źle? Zajmę się OTL.

-- Dodane 12.08.2009 (Śr) 12:33 --

Ok,jak skończę to podam log.


(Henio Mazurek) #6

Po prostu pisałem post zanim ten drugi log został wklejony i w tamtych logach nic nie było. Tutaj już widać więcej i wykonaj co napisałem bo to ciężka infekcja.


(Laura 91) #7

Zrobiłam to, o co prosiłeś, niestety Dr Web nie znalazł nic także nawet nie ma sensu wklejać loga.

Chyba,że spróbuję zainstalować i zmienić nazwę jeszcze raz...?


(Henio Mazurek) #8

Wklej jeszcze raz log z GMER ale pobierz go na nowo. Wklej też log z OTL.


(Laura 91) #9

OTL : http://wklej.to/CLcv

GMER : http://wklej.to/GqGJ


(Henio Mazurek) #10

Dalej mi się ten log nie podoba.

Zobaczymy co będzie po zastosowaniu skryptu. Wklej w OTL taki tekst

Kliknij Run Fix. Potem wklej log z usuwania i nowy z OTL i gmer.

Wejdź w

Odszukaj plik hosts. We właściwościach usuń mu atrybut tylko do odczytu otwórz notatnikiem i przerób aby miał taką treść

# Copyright (c) 1993-1999 Microsoft Corp.

#

# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP

# w systemie Windows.

# Ten plik zawiera mapowania adresów IP na nazwy komputerów

# Każdy wpis powinien być w osobnej linii.

# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie 

# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone

# co najmniej jedną spacją

#

# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych

# liniach lub po nazwie komputera, oznaczając je symbolem '#'.

#

# Na przykład:

#

# 102.54.94.97 rhino.acme.com # serwer źródłowy

# 38.25.63.10 x.acme.com # komputer kliencki x


127.0.0.1 localhost

Zapisz i przywróć atrybut tylko do odczytu.


(Laura 91) #11

Log z usuwania: http://wklej.to/hTUI

Nowy log OTL : http://wklej.to/hyvx

GMER na razie nie dam rady ściągnąć,zajmę się plikiem hosts i znów przeskanuję.

-- Dodane 12.08.2009 (Śr) 16:55 --

Zapisałam plik hosts a potem zrobiłam jeszcze skan Gmerem i oto wyniki: http://wklej.to/QA6R

Czy GMER może to usunąć??


(Henio Mazurek) #12

Nie.

To wygląda jak Sality tyle, że nie ma usługi ani restrykcji. Dr.WEB też nic nie znalazł, no chyba, że został zainfekowany. Jak jest z komputerem?

Pobierz jeszcze ComboFix, uruchom i wklej log.

Do tego zastosuj rmsality. Zobaczymy co będzie.


(Laura 91) #13

Z komputerem POZORNIE wszystko ok ale Trojan Remover pokazuje ciągle to samo.

To chole*stwo nazywa się Windows System Suite i trzeba być nieźle inteligentnym żeby to ściągnąć...:expressionless:

Wydaje mi się,że po pobieraniu ComboFixa na ekranie pojawia się ikonka ComboFix a nie ComboFix.exe ale nie jestem pewna.Czy to jest normalne czy to może powoduje infekcja? Ikonka dr WEB też nazywa się u mnie123.com.exe.

Dodaję jeszcze log z ComboFix,po drugim pobraniu nie ma końcówki exe : http://wklej.org/id/134216/

Pokazuje mi w tym logu Windows System Suite,nie mogę się go pozbyć :expressionless: To prawdopodobnie dlatego Trojan Remover bije na alarm.

I jeszcze log z rmsality:

-- Dodane 13.08.2009 (Cz) 1:00 --

http://wklej.to/Ndih


(Henio Mazurek) #14

W logu nic nie ma od Windows Sustem Suite. Wygląda na to, że jest czysto. Uaktualnij Malwarebytes i wykonaj nim skan dokładny, usuń co znajdzie i wklej log. Kliknij w OTL CleanUp.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Przeczyść dysk i rejestr CCleaner'em.


(Laura 91) #15

Log z Malwarebytes jest czysty.Dziękuję za pomoc :slight_smile:

-- Dodane 15.08.2009 (So) 2:07 --

Jeszcze dodam,że restrictive windows explorer policies found (czyli to,co pokazywał tylko Trojan Remover) usunęłam ręcznie. Gdybyś ktoś miał kiedyś taki problem...ja weszłam w Start->Uruchom->regedit->edycja->Znajdź...i tam wpisałam nazwy,które mi pokazał Trojan Remover i usunęłam.Teraz jest już zupełnie czysto,ale jeśli zrobiłam coś nie tak to piszcie :smiley: .