mudzin Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Prosiłbym o profilaktyczne sprawdzenie loga z góry dzięki OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Zasady działu: KLIK. Proszę się wysilić i podać jakiś opis o co chodzi z "profilaktycznym" (co się dzieje, bo coś się dzieje, prawda?), zmienić tytuł tematu na adekwatny oraz załączyć prawidłowe logi. Ani to komplet logów ani właściwa wersja. Użyłeś archaizm OTL 3.2.1.1 (brak mnóstwa nowych skanów i poprawek) = OTL zawsze należy pobierać od początku. Nie ma pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Brak obowiązkowego raportu GMER. Czyli podajesz nowy świeży komplet logów OTL (najnowsza wersja) + GMER. Infekcja tu jest, ale nie zabiorę się za to na takich szmaciarskich danych, które są w poście 1 aktualnie. . Odnośnik do komentarza
mudzin Opublikowano 19 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Specjalnie nic się nie dzieje, po prostu system nie był przeinstalowywany od dość dawna i widzę w menadżerze rzeczy pokroju EXPLORER.EXE i chciałbym je pousówać. Możemy uznać, że komputer wolno chodzi, jeśli koniecznie szukamy powodu:) wklejam logi, mam nadzieje, że tym razem dobre OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{0ECD949D-1457-41FE-BA13-18C8DA357BA8}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=2a625e82-2995-11e1-a600-001d7dc68651&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECD949D-1457-41FE-BA13-18C8DA357BA8}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=2a625e82-2995-11e1-a600-001d7dc68651&q={searchTerms}" IE - HKCU\..\SearchScopes\{503C53D2-A0C5-4B5B-B511-63C844C08FE6}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" FF - HKLM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1: C:\Program Files\Yahoo!\Common\npyaxmpb.dll File not found FF - HKLM\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Program Files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found FF - HKCU\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Program Files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKCU..\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1 O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) SRV - [2008-04-14 21:50:36 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\ntvixb.dll -- (mtgvvliv) NetSvcs: mtgvvliv - File not found DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbvm323.sys -- (ZSMC326) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\vmfilter323.sys -- (vmfilter323) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fcdabus.sys -- (fcdabus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\mdn\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "5228:TCP"=- :Files C:\Documents and Settings\mdn\Dane aplikacji\OpenCandy :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Google Chrome: wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych wymaż feed.helperbar.com. W zarządzaniu wyszukiwarkami przestaw domyślną z Web na Google, po tym Web usuń z listy. 3. Firefox: wyczyść z adware i naleciałości post aktualizacyjnych za pomocą menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Dodatkowe pytanie, na każdym dysku są ukryte pliki autorun.inf o jednakowej wadze: O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - G:\autorun.inf -- [ NTFS ] Co to za pliki, czy były robione celowo czy nie wiesz co to jest? . Odnośnik do komentarza
mudzin Opublikowano 19 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2012 wklejam logi, co do autoranow to nie jestem w stanie sobie przypomnieć skąd się wzieli, czyli pewnie pojawiły się nieproszone OTL.Txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Zaćmiło mnie z tymi plikami autorun.inf. Zmierzałam do tego, że program typu Panda USB Vaccine robi pliki wielkości 16 bajtów, a tu jest 61. W oczach mi się ze zmęczenia przestawiło. Prawie wszystko wykonane, jeszcze poprawki i usunięcie tych plików autorun.inf. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - G:\autorun.inf -- [ NTFS ] Klik w Wykonaj skrypt. 2. W Google Chrome nadal ustawiona strona startowa adware feed.helperbar.com oraz resztki wtyczek adware vShare/LiveVDO: ========== Chrome ========== CHR - homepage: "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=e45138aa-108a-42c3-a192-cb25173239fc&affid=111585&searchtype=hp&babsrc=lnkry"CHR - homepage: "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=e45138aa-108a-42c3-a192-cb25173239fc&affid=111585&searchtype=hp&babsrc=lnkry"CHR - plugin: vShare.tv plug-in (Enabled) = C:\Documents and Settings\mdn\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dllCHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll Usunięcie tego wszystkiego wymaga już bezpośredniej edycji pliku preferencji. Skopiuj na Pulpit poniższy plik: C:\Documents and Settings\mdn\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences Umieść na jakimś hostingu, ja go pobiorę i zedytuję, odeślę z powrotem do podstawienia. . Odnośnik do komentarza
mudzin Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 plik Preferences: http://turbobit.net/u32o08i3fjku.html Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 (edytowane) 1. Przesyłam zedytowany plik: KLIK. Google Chrome musi być zamknięte podczas wymiany plików! Po wymianie uruchom przeglądarkę, by sprawdzić czy nie ma żadnego błędu startowego. 2. Zrób nowy log z OTL ograniczony do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. I wypowiedz się na czym stoimy z kondycją systemu. Edytowane 19 Grudnia 2012 przez picasso 19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi