Adambobek Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Chciałym prosić o pomoc z zainfekowanym komputerem. Pozdrawiam, Adam OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Uruchamiałeś jakiś skrypt do OTL = skrypty brane z innych tematów nie działają na żadnym innym systemie z wyjątkiem tego dla którego zostały zrobione. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\cpuvis.sys -- (cpuvis) O4 - HKLM..\Run: [xfyzsazjfqrkumf] C:\ProgramData\xfyzsazj.exe () O4 - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000..\Run: [xfyzsazjfqrkumf] C:\ProgramData\xfyzsazj.exe () O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\ssBarLcher.dll File not found O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\ssBarLcher.dll File not found O3 - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\Toolbar\WebBrowser: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\ssBarLcher.dll File not found IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/mediaget/{1676F780-0BB3-496F-9A32-856B6344F2BC}?q={searchTerms}" IE - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-1816324019-4052323575-1482712787-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" :Files C:\ProgramData\ssshanhrflkjfie C:\ProgramData\vkkytsfwbctkafm C:\Users\Adam\0.21416939995307727.exe C:\Windows\Tasks\DLL-files.com Fixer_MONTHLY.job C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job C:\Users\Adam\AppData\Local\Temp*.html :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar, Get Styles, MediaGet DB Toolbar, uTorrentBar Toolbar oraz aplikację Dll-Files.com Fixer (nie polecam takich rzeczy na Windows 7). 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4.W związku z tym, że jest tu odpadek starej infekcji cpuvis, skan dostosowany na foldery powłoki (infekcja ta przekierowuje Autostart). Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Klik w Skanuj (a nie Wykonaj skrypt!). . Odnośnik do komentarza
Adambobek Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Zrobione. Dziękuje za szybka i sprawną pomoc. Załączam OTL i Adwcleaner Mam jeszcze pytanie (przepraszam z góry za off-top) odnośnie programu Dll-Files.com Fixer otóż ściągnałem go by uporać się z problemami, które wyskakiwały mi po uruchomieniu komputera. Nie poradził sobie z jednym. C:\PROGRA~1\MYAPPL~1\SCANID~1.Dll Czy jest na to jakiś sposób? OTL.TxtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Zadania pomyślnie wykonane. Zgodnie z podejrzeniem stara infekcja cpuvis nie została prawidłowo do końca usunięta. W rejestrze folder Startup jest przekierowany na folder infekcji: ========== Custom Scans ========== "Startup" = C:\Program Files\My applications -- [2012-07-12 12:50:15 | 000,000,000 | R--D | M] "Startup" = C:\Program Files\My applications -- [2012-07-12 12:50:15 | 000,000,000 | R--D | M] 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Startup"="C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Startup"=hex(2):"%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" :Commands [reboot] Klik w Wykonaj skrypt. System będzie restartował. 2. Po restarcie skasuj ręcznie przez SHIFT+DEL folder C:\Program Files\My applications. 3. Zrób nowy log z OTL, ale ograniczony tylko do partii, która mnie interesuje, tzn. wszystkie opcje ustaw na Brak +Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Klik w Skanuj. Cytat Mam jeszcze pytanie (przepraszam z góry za off-top) odnośnie programu Dll-Files.com Fixer otóż ściągnałem go by uporać się z problemami, które wyskakiwały mi po uruchomieniu komputera.Nie poradził sobie z jednym. C:\PROGRA~1\MYAPPL~1\SCANID~1.Dll Czy jest na to jakiś sposób? To nie jest "off-top". Rozwiązuję pełny zakres problemów na danym systemie. Od tego Fixera trzymaj się z daleka, można sobie jeszcze bardziej nabruździć. I opisz dokładnie o co chodzi z tym C:\PROGRA~1\MYAPPL~1\SCANID~1.Dll, gdzie to widzisz i w jaki sposób. . Odnośnik do komentarza
Adambobek Opublikowano 21 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2012 Skanowanie zrobione. Po restarcie błąd Dll już się nie pojawia. Miałem również usunać folder C:\Program Files\My applications. ale takiego nie znalazłem. Żeby było wszystko wyjaśnione - błąd ...SCANID~1.Dll widziałem zaraz po uruchomieniu komputera. Pojawiało się małe okienko z napisem tego właśnie błędu ale jak wspomniałem wcześniej problem już się rozwiązał. W załączniku przesyłam OTL ostatniego skanowania. Serdecznie dziękuje za bardzo szybką i sprawną pomoc. Wyrazy podziwu za porefesjonalizm, który robisz. Pozdrawiam. Adam OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Cytat Miałem również usunać folder C:\Program Files\My applications.ale takiego nie znalazłem. To możliwe. A zadanie skryptowe prawidłowo wykonane, oba wystąpienia Startup są przekierowane już na właściwe foldery. Kolejna porcja czynności do wykonania: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Adambobek Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Punkty 1 i 2 zrobione. Odnośnie 3. załączam raport. mbam-log-2012-07-24 (08-59-23).txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Kończymy: 1. Wyniki MBAM: foldery C:\des.Bin + C:\Recycle.Bin to infekcja i do usunięcia, TNod (crack NOD) po prostu odinstaluj normalną drogą, opróżnij systemowy Kosz, za resztę w "pobranych" nie biorę odpowiedzialności. 2. ESET nie dość że scrackowany, to jeszcze stary (2009) i kwalifikacja do kompletnej wymiany. Tylko co dziwne ja nie widzę wejścia na liście zainstalowanych ... 3. Do wykonania inne podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{9E35B051-C7EE-47CB-BA43-9A7FFD4E61DE}" = OpenOffice.org 3.1"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 To m.in. dziurawa Java prowadzi do infekcji. . Odnośnik do komentarza
Rekomendowane odpowiedzi