kogzownik Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Witam, ostatnio strasznie zaczęły mi zamulać przeglądarki, kiedyś miałem podobny problem ale nie pamiętam co było przyczyną. Skanowałem pod kątem wirusów i nic nie wykryło, wrzucam więc moje logi. Z góry dziękuje za pomoc. http://wklej.org/id/882832/ <-- OTL http://wklej.org/id/882833/ <--- Extras Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2012 Zgłoś Udostępnij Opublikowano 29 Listopada 2012 kogzownik, bez podbijania tematów. Zasady działu: KLIK. Jest wyraźnie powiedziane, by cierpliwie czekać na swoją kolej. My też możemy być nieobecni, tematów do przetwarzania dużo. Skanowałem pod kątem wirusów i nic nie wykryło Jesteś zainfekowany trojanami z trefnych paczek Tibia. W starcie Wenmemor.exe + isas32.exe, a co gorsza w załadowanych modułach działa keylogger Tibia: ========== Modules (No Company Name) ========== MOD - [2012-09-29 09:32:13 | 000,005,632 | ---- | M] () -- C:\Windows\SysWOW64\rjlb.dll Pliku rjlb.dll nie wolno usunąć od ręki. On podstawia systemowy plik ws2_32.dll i po usunięciu rjlb.dll a bez naprawy ws2_32.dll przestaną się uruchamiać programy 32-bitowe. Przechodząc do usuwania infekcji i adware: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll Zresetuj system. 2. Przez Panel sterowania odinstaluj adware Browser Manager. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={3D6A082C-C85A-11E1-B9E9-C8600069C87C}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/?q={searchTerms}&affID=117380&tl=gcn33200&tt=4712_3&babsrc=SP_ss&mntrId=c62e8f7f000000000000000000000000" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={3D6A082C-C85A-11E1-B9E9-C8600069C87C}" O4 - HKLM..\Run: [Acememes] C:\Windows\Wenmemor.exe () O4 - HKCU..\Run: [Media Finder] "C:\Program Files (x86)\Media Finder\Media Finder.exe" /opentotray File not found O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ALFALINE.lnk = File not found O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\isas32.exe () O2:64bit: - BHO: (Plugin for Media Finder) - {AD4DF010-E2FD-43CE-864A-6BD1EDC59AC2} - C:\Users\Admin\AppData\Roaming\Media Finder\Extensions\IEPlugin64.dll File not found O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found [2012-11-23 14:20:02 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Media Finder [2012-11-23 14:20:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Finder [2012-11-23 14:20:54 | 000,002,581 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\mikus8mx.default\searchplugins\mngr.xml [2012-11-23 14:20:49 | 000,002,389 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dodatkowo, uruchom SystemLook x64 i do skanu wklej: :filefind ws2_32.dll Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
kogzownik Opublikowano 30 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2012 OTL: http://wklej.org/id/884319/ ADW: http://wklej.org/id/884320/ SystemLooK: http://wklej.org/id/884322/ Wszystko wykonane. Dziękuje Ci bardzo za kolejną już pomoc . Widać znaczną poprawę. Odnośnik do komentarza
picasso Opublikowano 1 Grudnia 2012 Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 Plik ws2_32.dll prawidłowo wyleczony, można więc teraz już w bezpieczny sposób usunąć rjlb.dll. 1. Korekta domyślnych wyszukiwarek IE po używaniu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{46660552-BB91-44B8-B810-7D99ED2F2F5C}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{46660552-BB91-44B8-B810-7D99ED2F2F5C}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\rjlb.dll Klik w Wykonaj skrypt. Tym razem nie będzie restartu. A do oceny wystarczy tylko log z wynikami usuwania. . Odnośnik do komentarza
kogzownik Opublikowano 1 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 http://wklej.org/id/884990/ Wykonane! Wielkie Dzięki. Odnośnik do komentarza
picasso Opublikowano 1 Grudnia 2012 Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 1. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zrób skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
kogzownik Opublikowano 2 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2012 http://wklej.org/id/885984/ Niestety w szybkim skanowaniu wykryto 5 obiektów. Wykonałem opcje Usuń Zaznaczone. Przeskanowałem jeszcze raz i nic nie pokazało. Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 1. Wyniki MBAM: RiskWare.Tool.CK w KMService.exe to tylko crack Office, ale reszta wykrytych już szkodliwa i usunięcie słuszne. Po usuwaniu ponów czyszczenie folderów Przywracania systemu. 2. W systemie siedziały keyloggery Tibia, toteż zmień dla bezpieczeństwa hasła w grze. 3. Zaktualizuj Google Chrome i Firefox, usuń starsze Adobe Reader X + Adobe Shockwave Player + Java 6: KLIK. Wg raportu masz obecnie zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Google Chrome" = Google Chrome 23.0.1271.91"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl) . Odnośnik do komentarza
kogzownik Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Wykonane. Dla pewności przeskanowałem jeszcze raz ale już dokładnie cały system. Wykryło 1 zagrożenie... oto log http://wklej.org/id/889778/ . Usunąłem zaznaczone. Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2012 Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 Wiadomo co wykrył MBAM, "cukier" do ESET. Nie ma co tego komentować. Problemy infekcji rozwiązane. Temat ukończony. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi