michall36
(michall36)
27 Kwiecień 2013 07:11
#1
Witam,
Komputer został już uruchomiony za pomocą metody nr 1 ze strony: http://www.cert.pl/news/5707
McAfee wykonał pełne skanowanie i niby nic nie znalazł, ale system działa niestabilnie - częste “zawiedzenia” systemu, “braki odpowiedzi” programów - nawet przeglądarki podczas pisania tego posta.
Proszę o sprawdzenie Log-ów, bo prawdopodobnie ta metoda z ww. strony tylko pozwala uruchomić komputer a nie usuwa infekcję.
Proszę sprawdzić czy nic po niej nie pozostało.
LOG:
–OTL
–Extras
Acorus
(Acorus)
27 Kwiecień 2013 08:05
#2
Odinstaluj DealPly.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL FF - prefs.js…browser.search.defaultenginename: “MyStart Search” O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd) O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-1989786366-3510892519-2189099974-1000…\Run: [FactoryTest] C:\Windows\Test.bat File not found O4 - HKU\S-1-5-21-1989786366-3510892519-2189099974-1000…\Run: [Power2GoExpress] NA File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-1989786366-3510892519-2189099974-1000…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found [2013-04-27 07:34:42 | 000,000,004 | ---- | M] () – C:\Users\Michal\AppData\Roaming\skype.ini [2012-01-11 18:39:19 | 000,059,392 | ---- | C] () – C:\Users\Michal\AppData\Roaming\skype.dat [2013-04-03 19:41:45 | 000,000,000 | —D | M] – C:\Users\Michal\AppData\Roaming\EurekaLog :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
michall36
(michall36)
27 Kwiecień 2013 08:35
#3
Po wykonaniu skryptu otrzymałem to: http://wklej.to/k80eW
Po wykonaniu polecenia sprzątaj: zniknęły wszystkie logi OTL i sam program OTL.
Acorus
(Acorus)
27 Kwiecień 2013 09:00
#4
Tak miało być.Komenda Sprzątanie usuwa OTL i jego kwarantannę.