Adambobek Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Chciałym prosić o pomoc z zainfekowanym komputerem. Pozdrawiam, Adam OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Uruchamiałeś jakiś skrypt do OTL = skrypty brane z innych tematów nie działają na żadnym innym systemie z wyjątkiem tego dla którego zostały zrobione. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\cpuvis.sys -- (cpuvis) O4 - HKLM..\Run: [xfyzsazjfqrkumf] C:\ProgramData\xfyzsazj.exe () O4 - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000..\Run: [xfyzsazjfqrkumf] C:\ProgramData\xfyzsazj.exe () O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\ssBarLcher.dll File not found O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\ssBarLcher.dll File not found O3 - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\Toolbar\WebBrowser: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\ssBarLcher.dll File not found IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/mediaget/{1676F780-0BB3-496F-9A32-856B6344F2BC}?q={searchTerms}" IE - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" :Files C:\ProgramData\ssshanhrflkjfie C:\ProgramData\vkkytsfwbctkafm C:\Users\Adam\0.21416939995307727.exe C:\Windows\Tasks\DLL-files.com Fixer_MONTHLY.job C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job C:\Users\Adam\AppData\Local\Temp*.html :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar, Get Styles, MediaGet DB Toolbar, uTorrentBar Toolbar oraz aplikację Dll-Files.com Fixer (nie polecam takich rzeczy na Windows 7). 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4.W związku z tym, że jest tu odpadek starej infekcji cpuvis, skan dostosowany na foldery powłoki (infekcja ta przekierowuje Autostart). Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Klik w Skanuj (a nie Wykonaj skrypt!). . Odnośnik do komentarza
Adambobek Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Zrobione. Dziękuje za szybka i sprawną pomoc. Załączam OTL i Adwcleaner Mam jeszcze pytanie (przepraszam z góry za off-top) odnośnie programu Dll-Files.com Fixer otóż ściągnałem go by uporać się z problemami, które wyskakiwały mi po uruchomieniu komputera. Nie poradził sobie z jednym. C:\PROGRA~1\MYAPPL~1\SCANID~1.Dll Czy jest na to jakiś sposób? OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Zadania pomyślnie wykonane. Zgodnie z podejrzeniem stara infekcja cpuvis nie została prawidłowo do końca usunięta. W rejestrze folder Startup jest przekierowany na folder infekcji: ========== Custom Scans ========== "Startup" = C:\Program Files\My applications -- [2012-07-12 12:50:15 | 000,000,000 | R--D | M] "Startup" = C:\Program Files\My applications -- [2012-07-12 12:50:15 | 000,000,000 | R--D | M] 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Startup"="C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Startup"=hex(2):"%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" :Commands [reboot] Klik w Wykonaj skrypt. System będzie restartował. 2. Po restarcie skasuj ręcznie przez SHIFT+DEL folder C:\Program Files\My applications. 3. Zrób nowy log z OTL, ale ograniczony tylko do partii, która mnie interesuje, tzn. wszystkie opcje ustaw na Brak +Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Klik w Skanuj. Mam jeszcze pytanie (przepraszam z góry za off-top) odnośnie programu Dll-Files.com Fixer otóż ściągnałem go by uporać się z problemami, które wyskakiwały mi po uruchomieniu komputera.Nie poradził sobie z jednym. C:\PROGRA~1\MYAPPL~1\SCANID~1.Dll Czy jest na to jakiś sposób? To nie jest "off-top". Rozwiązuję pełny zakres problemów na danym systemie. Od tego Fixera trzymaj się z daleka, można sobie jeszcze bardziej nabruździć. I opisz dokładnie o co chodzi z tym C:\PROGRA~1\MYAPPL~1\SCANID~1.Dll, gdzie to widzisz i w jaki sposób. . Odnośnik do komentarza
Adambobek Opublikowano 21 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2012 Skanowanie zrobione. Po restarcie błąd Dll już się nie pojawia. Miałem również usunać folder C:\Program Files\My applications. ale takiego nie znalazłem. Żeby było wszystko wyjaśnione - błąd ...SCANID~1.Dll widziałem zaraz po uruchomieniu komputera. Pojawiało się małe okienko z napisem tego właśnie błędu ale jak wspomniałem wcześniej problem już się rozwiązał. W załączniku przesyłam OTL ostatniego skanowania. Serdecznie dziękuje za bardzo szybką i sprawną pomoc. Wyrazy podziwu za porefesjonalizm, który robisz. Pozdrawiam. Adam OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Miałem również usunać folder C:\Program Files\My applications.ale takiego nie znalazłem. To możliwe. A zadanie skryptowe prawidłowo wykonane, oba wystąpienia Startup są przekierowane już na właściwe foldery. Kolejna porcja czynności do wykonania: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Adambobek Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Punkty 1 i 2 zrobione. Odnośnie 3. załączam raport. mbam-log-2012-07-24 (08-59-23).txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Kończymy: 1. Wyniki MBAM: foldery C:\des.Bin + C:\Recycle.Bin to infekcja i do usunięcia, TNod (crack NOD) po prostu odinstaluj normalną drogą, opróżnij systemowy Kosz, za resztę w "pobranych" nie biorę odpowiedzialności. 2. ESET nie dość że scrackowany, to jeszcze stary (2009) i kwalifikacja do kompletnej wymiany. Tylko co dziwne ja nie widzę wejścia na liście zainstalowanych ... 3. Do wykonania inne podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{9E35B051-C7EE-47CB-BA43-9A7FFD4E61DE}" = OpenOffice.org 3.1"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 To m.in. dziurawa Java prowadzi do infekcji. . Odnośnik do komentarza
Rekomendowane odpowiedzi