Zaloguj się

da-m · 19.11.2012, 00:20

Po skanowaniu systemu programem dr. web cure it pozostały pewne pliki powodujące wyświetlanie się komunikatów podczas uruchamiania systemu. Ponadto podejrzewam, że nie wszystkie zagrożenia zostały wyeliminowane. Proszę was o pomoc.
Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS

**tachion** · 20.11.2012, 00:42

Ach te ransomy<!-- s Smile2

-->

<!-- s

-->w własne opcje skanowania skrypt wklej i wykonaj przedstaw raport

Kod:
:Files

C:\Users\Witcher\AppData\Roaming\cacaoweb

C:\ProgramData\lsass.exe

C:\ProgramData\0tbpw.pad

:OTL

O4 - Startup: C:\Users\Witcher\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)

O4 - HKLM..\Run: [NWEReboot]File not found

FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.104.0: C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll File not found

FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.118.0: C:\Program Files (x86)\Battlelog Web Plugins\1.118.0\npesnlaunch.dll File not found

[2012-11-17 20:18:32 | 000,002,432 | ---- | M] () -- C:\Users\Witcher\AppData\Local\TempVp6416.html

[2012-11-17 13:03:34 | 000,002,432 | ---- | M] () -- C:\Users\Witcher\AppData\Local\Tempma3668.html

[2012-11-07 23:14:54 | 000,000,808 | ---- | M] () -- C:\Users\Witcher\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

[2012-11-01 10:48:36 | 000,002,432 | ---- | M] () -- C:\Users\Witcher\AppData\Local\TempQkP756.html

[2012-11-01 10:47:12 | 000,002,432 | ---- | M] () -- C:\Users\Witcher\AppData\Local\TempobJ756.html

@Alternate Data Stream - 139 bytes -> C:\ProgramData\TEMP:BF14D50A

@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:890CC2F3

.html[@ = htmlfile] -- Reg Error: Key error. File not found

.html [@ = htmlfile] -- Reg Error: Key error. File not found

.scr [@ = scrfile] -- Reg Error: Key error. File not found

:Commands

[emptytemp]

da-m · 20.11.2012, 09:38

Dziękuję za pomoc. Nareszcie nie występuje ten błąd przy starcie. Bardzo mi pomogłeś.
Raport:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dodatkowe skanowanie (mogłem coś złapać przez dwa dni):

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt
Jedyne opory miałem przed usunięciem procesu lsass.exe w googlach podane jest że to proces systemowy. Wszystko działa wyśmienicie. Jeszcze raz dzięki.

KaMiL · 20.11.2012, 16:18

da-m napisał(a):Dziękuję za pomoc. Nareszcie nie występuje ten błąd przy starcie. Bardzo mi pomogłeś.
Raport:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dodatkowe skanowanie (mogłem coś złapać przez dwa dni):

[Aby zobaczyć linki, zarejestruj się tutaj]
OTL.txt

[Aby zobaczyć linki, zarejestruj się tutaj]
Extras.txt
Jedyne opory miałem przed usunięciem procesu lsass.exe w googlach podane jest że to proces systemowy. Wszystko działa wyśmienicie. Jeszcze raz dzięki.

Systemowy plik nie został usunięty, jedynie wpis autostartu Wink

**tachion** · 20.11.2012, 18:12

KaMiL napisał(a):Systemowy plik nie został usunięty, jedynie wpis autostartu

oj tam oj tam
Kamilu ten plik został usunięty już na początku i nie jest to systemowy plik, nie w tej lokalizacji<!-- s Smile2

-->

<!-- s

--> oryginalna lokalizacja tego pliku jest w windows/system32

KaMiL · 20.11.2012, 18:15

A tak, tak, nie zauważyłem, że usuwałeś pliki Smile

Cytat: :Files
C:\Users\Witcher\AppData\Roaming\cacaoweb
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie