Amras Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Opis problemu : Mam dwa systemy - XP (korzystam sporadycznie) oraz Win 7. Mam problem na tym drugim od ponad tygodnia i mimo prób nie jestem w stanie sobie z nim samemu poradzić. Chodzi o to, że nagle zaczęły się pojawiać problemy z dostępem do przeglądarek - Mozilla, Opera, IE. Mianowicie po załączeniu np. Mozilli widnieje ona w menadżerze zadań ale nie włącza się. Nie raz muszę czekać po kilka godzin zanim włączy się jakakolwiek przeglądarka jeśli w ogóle to zrobi. To samo jest z update'ami online tyczącymi sie gier. Zdarza się że któraś z przeglądarek włączy się nieco szybciej a wtedy przy każdym z okien jest ,,łączenie'' , a na dole każdego z nich ,,ustalanie adresu serwera..'' . Na Win XP wszystko działa jak należy i takiego problemu nie ma. Chwilowo przebywam na XP żeby móc korzystać z internetu opisując mój problem. Proszę o pomoc/rady. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Jest tu definitywnie infekcja, wiele szkodników się uruchamia w starcie, został szkodliwie zmodyfikowany plik HOSTS blokujący strony AV oraz jest blokada uruchamiania regedit. Są i ślady adware, ale to podrzędne kwestie. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files M:\Leeme.exe M:\Winlogon.exe M:\Windows\SysWow64\Winlogon.exe M:\Users\Marcin\Windows M:\Users\Marcin\AppData\Roaming\Winlogon.exe M:\Users\Marcin\AppData\Roaming\Adobe32 M:\Users\Marcin\AppData\Roaming\2YourFace M:\Users\Marcin\AppData\Roaming\Babylon M:\Users\Marcin\AppData\Roaming\OpenCandy M:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :OTL IE - HKU\S-1-5-21-1178656307-3967146346-639608207-1001\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKU\S-1-5-21-1178656307-3967146346-639608207-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1178656307-3967146346-639608207-1001\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKLM..\Run: [iceberg] M:\Users\Marcin\AppData\Roaming\icef.exe (Iceberg) O4 - HKU\S-1-5-21-1178656307-3967146346-639608207-1001..\Run: [Activex Application Updater] M:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Templates\spsreng.exe () O4 - HKU\S-1-5-21-1178656307-3967146346-639608207-1001..\Run: [AdobeUpdate] M:\Users\Marcin\AppData\Roaming\Adobe32\invis.vbs () O4 - HKU\S-1-5-21-1178656307-3967146346-639608207-1001..\Run: [iceberg] M:\Users\Marcin\AppData\Roaming\icef.exe (Iceberg) O4 - HKU\S-1-5-21-1178656307-3967146346-639608207-1001..\Run: [system Security] M:\Users\Marcin\AppData\Roaming\sisec.exe () O4 - Startup: M:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Registration Heroes of Might & Magic 5 - Hammers of Fate.LNK = L:\Gry\Heroes 5\registrationa1\RegistrationReminder.exe () O4 - Startup: M:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Registration Heroes of Might & Magic 5 - Tribes of the East.LNK = L:\Gry\Heroes 5\Heroes of Might and Magic V - Dzikie Hordy\registration\RegistrationReminder.exe () O4 - Startup: M:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Registration Heroes of Might & Magic 5.LNK = L:\Gry\Heroes 5\registration\RegistrationReminder.exe () O4 - Startup: M:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winlogon.exe (Iceberg) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Iceberg = "M:\Users\Marcin\AppData\Roaming\icef.exe" (Iceberg) O7 - HKU\S-1-5-21-1178656307-3967146346-639608207-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disableregistrytools = 1 O20 - AppInit_DLLs: (m:\progra~3\browse~1\23787~1.43\{16cdf~1\browse~1.dll) - File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- "BrowserMngrDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart komputera. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, FoxTab Media Player. Od razu pozbądź się też wątpliwych Uniblue DriverScanner, Uniblue RegistryBooster. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku M powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
Amras Opublikowano 22 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Jedyne co udało mi się zrobić to wykonać skrypt i odinstalować wszystko oprócz AVG Security Toolbar. Z panelu sterowania nie chce się usunąć tak jak i bezpośrednio z folderu poprzez uninstall. 2. Brak dostępu do internetu na WIN 7 spowodował że musiałem to narzędzie Fix-it zapisać na dysku na WIN XP po czym załączyłem instalacje na WIN 7 - instalacja zatrzymuje się na 1/5 paska, ciągle dopisek ''czekaj' i dalej nic. Być może potrzebuje on dostępu do internetu podczas instalacji. Próbowałem to też zrobić ręcznie tak jak jest to podane w linku do KB972034 ale rozszerzenia pliku hosts ani nie da się zmienić bo niby ten proces używa jakaś usługa kaligraficzna czy coś takiego ani usunąć/wyciąć/przekopiować. Również sprawdziłem teraz na XP i tutaj ruszył ten Fix. 4. Odnośnie AdwCleaner to w ogóle się nie uruchamia natomiast przed momentem spróbowałem go włączyć tutaj na WIN XP - od razu ruszył tyle że nic mi to nie daje. Może po prostu spróbuje zostawić instalacje Fixa na WIN 7 na noc/kilka godzin aż dostęp do internetu jakimś sposobem się włączy i instalacja ruszy. Może podobnie będzie z AdwCleaner. Jakieś pomysły? Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2012 Zgłoś Udostępnij Opublikowano 23 Listopada 2012 Mam podejrzenia, że skrypt mógł się nie wykonać... Może po prostu spróbuje zostawić instalacje Fixa na WIN 7 na noc/kilka godzin aż dostęp do internetu jakimś sposobem się włączy i instalacja ruszy. Może podobnie będzie z AdwCleaner. Te narzędzia działają błyskawicznie (i nie potrzebują dostępu do sieci, by wykonać operacje). Skoro jest problem z ich reakcją po uruchomieniu, zostawienie ich w nadzieji, że "chwyci", nie przyniesie rezultatów. Na teraz: 1. AdwCleaner opuść, natomiast zamiast narzędzia Fix-it zrób ręczny reset pliku HOSTS. Start > w polu szukania wpisz notepad > z prawokliku Uruchom jako Administrator. W tak uruchomionym na podwyższonych uprawnieniach Notatniku otwórz do edycji plik C:\Windows\system32\drivers\etc\hosts, skasuj całą jego zawartość i zastąp tym: # 127.0.0.1 localhost # ::1 localhost Zapisz zmiany w pliku. 2. Zrób nowy log OTL z opcji Skanuj. . Odnośnik do komentarza
Amras Opublikowano 23 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2012 W tym momencie jestem na WIN 7, internet działa jak kiedyś. Zostawiłem instalacje Fixa i AdwCleanera na noc. Skrypt się niby wykonał tak jak i mogłem użyć przycisku delete w AdwCleanerze gdy rano wstałem. Oto logi z jednego i drugiego tak jak to było w pierwszych poleceniach. I z tego co przed chwilą sprawdziłem w pliku hosts wygląda na to że skrypt rzeczywiście zadziałał choć z opóźnieniem i chyba nie ma potrzeby wykonywać go ręcznie. Ale wolę byście to potwierdzili jeśli jest taka możliwość. OTL2.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2012 Zgłoś Udostępnij Opublikowano 27 Listopada 2012 Zadania rzeczywiście się wykonały, ale wymagane poprawki. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Activex Application Updater"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "HF_G_Jul"=- "ROC_ROC_JULY_P1"=- "vProt"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services vToolbarUpdater13.2.0 avgtp :Files M:\Program Files (x86)\Common Files\AVG Secure Search M:\Windows\SysNative\drivers\avgtpx64.sys Klik w Wykonaj skrypt. 3. Zrób nowy (już ostatni) log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
Amras Opublikowano 30 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2012 Zrobione. OTL3.Txt Odnośnik do komentarza
picasso Opublikowano 1 Grudnia 2012 Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 Poprawki pomyślnie wprowadzone. Przejdź do tej części zadaniowej: 1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu poniżej wyliczone foldery odpadkowe po resecie Firefox. M:\Users\Marcin\Desktop\Stare dane programu Firefox M:\Users\Marcin\Desktop\Stare dane programu Firefox-1 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o wersję wybierz darmową a nie próbną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Amras Opublikowano 1 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 Znalazło tego trochę. mbam-log-2012-12-01 (13-46-21).txt Odnośnik do komentarza
picasso Opublikowano 1 Grudnia 2012 Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 1. Wyniki MBAM: C:\Leeme.exe (Malware.Gen) -> Nie wykonano akcji.E:\Leeme.exe (Malware.Gen) -> Nie wykonano akcji.G:\Leeme.exe (Malware.Gen) -> Nie wykonano akcji.I:\Leeme.exe (Malware.Gen) -> Nie wykonano akcji.L:\Leeme.exe (Malware.Gen) -> Nie wykonano akcji.D:\Leeme.exe (Malware.Gen) -> Nie wykonano akcji.C:\Documents and Settings\All Users\jushed.exe (Trojan.Agent) -> Nie wykonano akcji.M:\Users\Amras\AppData\Roaming\icef.exe (Malware.Gen) -> Nie wykonano akcji.M:\Users\Marcin\AppData\Roaming\sisecc.exe (Malware.Gen) -> Nie wykonano akcji.M:\Users\Marcin\AppData\Roaming\Uniblue\SpeedUpMyPC\_temp\sump.exe (Malware.Gen) -> Nie wykonano akcji. Trojany i dziwne obiekty. Wiadomo co z tym robisz. C:\Program Files\DAEMON Tools Pro\Patch.exe (Trojan.Agent) -> Nie wykonano akcji.C:\Program Files\TNod User & Password Finder\uninst-tnod.exe (Trojan.Agent.CK) -> Nie wykonano akcji.D:\Torrenty\Winamp Pro 5.54 Build 2145\keygens\KG-CORE\winamp 5x core keygen.exe (RiskWare.Tool.CK) -> Nie wykonano akcji.D:\Torrenty\Winamp Pro 5.54 Build 2145\keygens\KG-DVT\KeyMaker.exe (RiskWare.Tool.CK) -> Nie wykonano akcji.D:\Torrenty\Winamp Pro 5.54 Build 2145\keygens\KG-FFF\Winamp.5.50_KEYGEN-FFF.exe (RiskWare.Tool.CK) -> Nie wykonano akcji.I:\Torrenty\UltraISO.Premium.Edition.v9.3.6.2750.ML.Retail\UltraISO.Premium.Edition.v9.3.6.2750.ML.Retail\keygen.exe (Riskware.Tool.CK) -> Nie wykonano akcji.L:\Filmy\RemoveWAT.v2.2.6\RemoveWAT.exe (HackTool.Wpakill) -> Nie wykonano akcji.L:\RFG\remove_wat_2.2.5.2_www.przeklej.pl\Remove WAT 2.2.5.2.exe (HackTool.Wpakill) -> Nie wykonano akcji.M:\Program Files (x86)\Ulisess\MiNODLogin 3.8.0.1 (32 & 64Bits)\ESET Antivirus License Finder (MiNODLogin) 3.8.0.1.exe (Riskware.KG) -> Nie wykonano akcji.M:\Program Files (x86)\Ulisess\TNOD User & Password Finder 1.4.0 (32 & 64Bits)\TNod-1.4.0.15-setup.exe (Trojan.Agent.CK) -> Nie wykonano akcji. Za keygeny/cracki nigdy nie dam gwarancji. M:\Users\Marcin\AppData\Local\Plus500\Main\InvestSoftProject.exe (Malware.Gen) -> Nie wykonano akcji.M:\Users\Marcin\AppData\Local\Plus500\Update\500w.exe (Malware.Gen) -> Nie wykonano akcji.M:\Users\Marcin\AppData\Local\Plus500\Update\500z.exe (Malware.Gen) -> Nie wykonano akcji.M:\Users\Marcin\AppData\Local\Plus500\Update\ResourceChange.exe (Malware.Gen) -> Nie wykonano akcji.M:\Users\Marcin\Downloads\gg10,5.exe (Malware.Gen) -> Nie wykonano akcji.D:\Gry\tqtrn120.exe (Malware.Packer.as) -> Nie wykonano akcji.D:\Gry\KAfix\King.Arthur.The.Role.playing.Wargame.install.fix\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Nie wykonano akcji.D:\Gry\KAfix\King.Arthur.The.Role.playing.Wargame.install.fix\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Nie wykonano akcji.D:\Gry\KAfix\King.Arthur.The.Role.playing.Wargame.install.fix\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Nie wykonano akcji.D:\Gry\KAfix\King.Arthur.The.Role.playing.Wargame.install.fix\Phx_data\Res\ss.exe (Backdoor.Bot) -> Nie wykonano akcji.D:\Gry\Lineage 2\Graveland_updater.exe (Trojan.Downloader) -> Nie wykonano akcji.D:\Gry\Lineage 2\LineageII.exe (Trojan.Downloader) -> Nie wykonano akcji.L:\Pliki witchera\paul.dll (PUP.RiskwareTool.CK) -> Nie wykonano akcji. Wygląda na fałszywe alarmy. Po usuwaniu ponów czyszczenie folderów Przywracania systemu. 2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla Firefox) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)"Opera 11.60.1185" = Opera 11.60 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: m:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Czyli: odinstaluj wyliczone tu pozycje Adobe i Silverlight, zastąp najnowszymi, zaktualizuj Firefox i Operę, zainstaluj pakiet SP3 dla Office 2003. PS. Gadu-Gadu 10 sugeruję się czym prędzej pozbyć na korzyść lżejszego i nie dręczącego użytkownika programu alternatywnego z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: Darmowe komunikatory. . Odnośnik do komentarza
Rekomendowane odpowiedzi