Iwonq Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Witam. Jestem kompletnym ,zawstydzonym laikiem. Trzy razy zablokowało mi komputer,ale na tyle łagodnie,że po restarcie powracał do działania.Przy pomocy kilku osob usunęłam plik z logo Policji,ale obawiam się,że nie wszystko zrobiłam poprawnie.Zeskanowałam OTL i mam nadzieję,że uda mi się dodać logi. Może dam radę wykonać wzkazówki,za które z góry dziękuję Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Przy pomocy kilku osob usunęłam plik z logo Policji,ale obawiam się,że nie wszystko zrobiłam poprawnie. Gdzie prowadzono tę pomoc? Był tu stosowany też ComboFix. Zasady działu wyraźnie mówią, by się do tego przyznać + przedstawić log z narzędzia. Toteż proszę o pokazanie: gdzie pomocy udzialano + log z comboFix z tamtego uruchomienia (nie uruchamiaj narzędzia ponownie!). O ile Weelsof zdaje się być usunięty, to tu są znaki trojana ZeroAccess [2008-04-15 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\Wlasciciel\Ustawienia lokalne\Dane aplikacji\{489531a0-1bcc-938a-af75-51d5187cb4b5}\@ Poproszę o dodatkowy skany: 1. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan. 2. Dodatkowo zrób log z Farbar Service Scanner. Wszystkie opcje zaznacz. . Odnośnik do komentarza
Iwonq Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Wiedziałam,że z nerwów coś narozrabiam :(Pomocy udzielał mi telefonicznie członek rodziny. Najpierw przywróciłam system,potem uruchomiłam ComboFix (niestety nie potrafię odszukać logo,a podczas próby odszukania go ,chciał mi się ComboFix ponownie uruchomić Wczoraj usunęłam ręcznie plik,w którym był widoczny Orzełek identyczny jak podczas zablokowanej strony.Przepraszam za zamieszanie i moją nieudolność. Dołączam wykonane skany SystemLook.txt FSS.txt Odnośnik do komentarza
Iwonq Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Rozumiem doskonale,że można do mnie stracić resztki cierpliwości,ale dołączę również ,że nie mogę znależć tego logo z ComboFix Odnośnik do komentarza
shiris Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Masz taki folder Qoobox, może tam poszukaj loga z Combofix. Picasso przepraszam za wtrącenie się. Proszę o usunięcie tego posta, jak Iwonq przeczyta. Odnośnik do komentarza
Iwonq Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Jesteś kochana wielkie dzięki, faktycznie chyba tylko tam nie zajrzałam ComboFix2.txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 To chyba jest jakaś resztka po trojanie ZeroAccess. Brak modyfikacji na poziomie rejestru (choć niektóre klucze wyglądają dziwnie = nie jestem pewna, ale to chyba z powodu błędów poboru danych przez SystemLook)), a w logu z ComboFix widać skasowany drugi folder do pary. W związku z tym tylko doczyszczenie: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Wlasciciel\Ustawienia lokalne\Dane aplikacji\{489531a0-1bcc-938a-af75-51d5187cb4b5} C:\Documents and Settings\Wlasciciel\Y Y netsh firewall reset /C :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WLASCI~1\USTAWI~1\Temp\catchme.sys -- (catchme) O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0017-0000-0004-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab" (Reg Error: Key error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Do oceny wystarczy tylko log z wynikami usuwania OTL, nie ma potrzeby robić nowego skanu OTL. A że log krótki, wklej go wprost do posta. . Odnośnik do komentarza
Iwonq Opublikowano 25 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Po restarcie otworzyło to i nie wiem co wkleić,a więc przesyłam całość w załączniku. Ogromne dzięki za pomoc i cierpliwośc,ale niestety to nie koniec moich kłopotów,bo Ukash zablokował mi laptopa.Po zakończeniu sprawy związanej z tym komputerem będę mogła w tym temacie prosić o ratunek dla drugiego? 07252012_153754hmmm.txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Kończąc sprawę tego komputera: 1. Przez Panel sterowania odinstaluj archaiczny program Spybot - Search & Destroy. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\Wlasciciel\Moje dokumenty\ComboFix.exe" /uninstall Gdy zadanie się ukończy, w OTL uruchom Sprzątanie, które z kolei skasuje z dysku OTL wraz z jego kwarantanną. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 4. Drobne aktualizacje do wykonania: KLIK. Tu cytuję z Twojej listy zainstalowanych o co mi konkretnie chodzi: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź wersję"FileZilla Client" = FileZilla Client 3.5.2"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Java + Adobe Flash dla Firefox już są najnowsze. niestety to nie koniec moich kłopotów,bo Ukash zablokował mi laptopa.Po zakończeniu sprawy związanej z tym komputerem będę mogła w tym temacie prosić o ratunek dla drugiego? Oczywiście, i kontynuuj już tutaj w temacie. . Odnośnik do komentarza
Iwonq Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Malware wykrył - Wykrytych plików: 1 C:\Program Files\Zajaczek 4.1\GIFAT.exe (Trojan.Banker.H) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. Zaraz odinstaluję zajączka,bo i tak nie korzystam z niego. Oznacza to,że leczenie tego komputera zostało zakończone ? Dotarłam do punktu 4 i te aktualizacje są dla mnie schodami nie do przebrnięcia,tzn rozumiem co mam zaktualizować,ale nie mam pojęcia jak to zrobić(czytałam wszystko kilka razy i czarna magia),a wiem,że coś jest nie tak ponieważ po tym wyczyszczeniu bardzo długo wczytuje mi strony Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Malware wykrył - Wykrytych plików: 1C:\Program Files\Zajaczek 4.1\GIFAT.exe (Trojan.Banker.H) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. Zaraz odinstaluję zajączka,bo i tak nie korzystam z niego. Oznacza to,że leczenie tego komputera zostało zakończone ? To wygląda na fałszywy alarm. GIFAT to jest część Zajączka służąca do robienia prostych animacji GIF. Tak, czyszczenie zakończone. Dotarłam do punktu 4 i te aktualizacje są dla mnie schodami nie do przebrnięcia,tzn rozumiem co mam zaktualizować,ale nie mam pojęcia jak to zrobić(czytałam wszystko kilka razy i czarna magia) Tu naprawdę nie ma nic skomplikowanego, prawdopodobnie doszukujesz się jakiegoś "haczyka". Zakreśliłam Ci 4 programy do aktualizacji: Adobe Flash Player 11 dla Internet Explorer (aktualizowany z poziomu IE), FileZilla Client, Firefox, OpenOffice.org. Podałam jakie wersje widać aktualnie w systemie, a są już nowsze. Czyli pobierz i zainstaluj. wiem,że coś jest nie tak ponieważ po tym wyczyszczeniu bardzo długo wczytuje mi strony A nie jest to przypadkiem wina ESET? . Odnośnik do komentarza
Iwonq Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Picasso! Jesteś pięknym,mądrym i cudownym Aniołem....poradziłaś sobie nawet z taką nogą jak ja i piękne dzięki Teraz ten laptop.Udało mi się zeskanować i słowo zucha,że nic nie robiłam sama OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Rozumiem, że z tamtym systemem już nie ma problemów? Co z "długim wczytywaniem stron"? Natomiast przechodząc do czyszczenia lapka, tu już tylko "wykończenia", bo logi wykazują że coś naruszyło tę infekcję, są tylko odpadki. Wykonaj: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [eupfpyvpylqvlia] C:\ProgramData\eupfpyvp.exe File not found [2012-07-24 23:55:58 | 000,000,000 | ---D | C] -- C:\ProgramData\zhjnxldxykjuwiz [2012-07-24 23:55:59 | 000,000,051 | ---- | M] () -- C:\ProgramData\czfeqqbcqxozrfh :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
Iwonq Opublikowano 27 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Nie wiem dlaczego tamten komputer po reinstalacji systemu lub instalowaniu nowych programów, muli się i zawiesza,ale po kilkukrotnym restarcie działa poprawnie.Teraz śmiga jak nówka Jednak po moim klikaniu w reklammy,obawiam się,że będę stałym "gościem" tego forum i dotacji.Może doradzisz mi jaki program blokujący zainstalować ,bo sam NOD nie radzi sobie. Teraz przesyłam logi z lapka PS.To już się robi koszmar,bo w kilka minut po wysłaniu załączników - Ukash ponownie zablokował mi lapka ;( OTL.Txt 2.txt 07272012_121600.log 2.txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Zadania zrobione, toteż końcówka: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacje te pozycje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3 PS. Widzę parę Gadu-Gadu 10 + Tlen.pl. Proponuję obejrzeć alternatywne programy z obsługą Gadu: WTW, Kadu, Miranda, AQQ. Opisy tu: Darmowe komunikatory. Jednak po moim klikaniu w reklammy,obawiam się,że będę stałym "gościem" tego forum i dotacji.Może doradzisz mi jaki program blokujący zainstalować ,bo sam NOD nie radzi sobie. Tu dyskusja na temat tej infekcji: KLIK. A jeśli chodzi o blokowanie reklam (?), to doinstaluj do Firefox dodatek Adblock Plus. Nie wiem dlaczego tamten komputer po reinstalacji systemu lub instalowaniu nowych programów, muli się i zawiesza,ale po kilkukrotnym restarcie działa poprawnie. Może jednak ESET bruździ. . Odnośnik do komentarza
Iwonq Opublikowano 27 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Skończone i mam nadzieję,że nic nie powróci Jeszcze raz piękne dzięki,przypłaciłam to ogromnym stresem,bo obawiałam się,że nie dam rady wykonywać Twoich poleceń,a jednak potrafisz tłumaczyć jak nikt Pozdrawiam serdecznie Odnośnik do komentarza
Rekomendowane odpowiedzi