karolek2233 Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Komputer niby się włącza , ale jak już pokazuję się pasek "Zapraszamy" (windows xp sp3) to nic się nie dzieje tak jak by się zawieszało Dodam , że teraz wbiłem na awaryjnym OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Nie dodałeś obowiązkowego raportu z GMER. A infekcja tu jest: O4 - Startup: C:\Documents and Settings\xpsp3\Menu Start\Programy\Autostart\ukxuqbcb.exe (XEP32) 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\xpsp3\Menu Start\Programy\Autostart\ukxuqbcb.exe C:\Documents and Settings\All Users\Dane aplikacji\Bcool C:\Documents and Settings\All Users\Dane aplikacji\OptimizerPro C:\Documents and Settings\All Users\Dane aplikacji\OptimizerPro1 C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit C:\Documents and Settings\All Users\Dane aplikacji\~Browser Manager C:\Documents and Settings\xpsp3\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\xpsp3\Dane aplikacji\ESET C:\Documents and Settings\xpsp3\Dane aplikacji\nod32 updater C:\Documents and Settings\xpsp3\Dane aplikacji\SendSpace C:\Program Files\Mozilla Firefox netsh firewall reset /C :OTL O4 - HKLM..\Run: [DelReg] C:\Program Files\MSI\DualCoreCenter\DelReg.exe File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\noyluwa: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\nvoclock.sys -- (NVR0Dev) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) :Reg [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart komputera. Opuść Tryb awaryjny. 2. Przez Panel sterowania odinstaluj adware 1ClickDownloader, AVG Security Toolbar, Pandora Service (nadwyżka od KMPlayer). 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Dołącz log utworzony przez AdwCleaner. Przed uruchomieniem GMER należy wykonać ogłoszenie = usunąć emulatory napędów wirtualnych i ten sterownik SPTD: DRV - [2012-10-24 20:31:39 | 000,436,792 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) . Odnośnik do komentarza
karolek2233 Opublikowano 13 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Żeby nie było poczekaj 5 min już daje logi z otl i z gmera Edit 1 : dodane log z otl Edit 2 : dodany log z Gmer - Proszę o dalsze instrukcje AdwCleanerS3.txt OTL.Txt GmerLog.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Zastrzeżenia do logów: - Log z GMER definitywnie powstał w nieprawidłowym środowisku przy czynnym emulatorze napędów wirtualnych. Mówiłam, by wykonać: KLIK. Ale zostaw to już. - Kierowałam do opisu AdwCleaner i strony domowej z najnowszą wersją, a Ty użyłeś archaiczny AdwCleaner v2.007. Najnowszy to 2.100. - Kolejna sprawa: nie zwróciłam uwagi na to wcześniej, ale pierwszy log OTL zrobiłeś ze złego konta (Administrator wbudowany w system). Teraz jest z właściwego i nowe śmietnisko adware się ujawniło. Czyli do wykonania doczyszczanie: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ROC_roc_ssl_v12"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtectorDefaultScope"=- "BrowserMngrDefaultScope"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Pobierz najnowszy AdwCleaner i zastosuj Delete. 3. W Google Chrome cała pula wtyczek adware: ========== Chrome ========== CHR - plugin: LiveVDO plug-in (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dllCHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dllCHR - plugin: Babylon ToolBar (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.8_0\BabylonChromeToolBar.dllCHR - plugin: SweetIM GC Helper (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\mgHelperGCFB.dllCHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\10.11.21.5_0\plugins/ConduitChromeApiPlugin.dllCHR - plugin: Conduit Radio Plugin (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\10.11.21.5_0\plugins/np-cwmp.dll Ich usunięcie wymaga już edycji kodu pliku Preferences. Skopiuj na Pulpit ten plik: C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i podaj link. Ja plik zedytuję i odeślę do podmiany. 4. Zrób nowy log OTL z opcji Skanuj. Dołącz log utworzony przez AdwCleaner oraz link do w/w pliku Preferences. . Odnośnik do komentarza
karolek2233 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Link do pliku - http://www21.zippysh...85456/file.html ps. nie wiem co , ale ja odinstalowywałem google chrome AdwCleanerS4.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 A rzeczywiście, Google Chrome nie ma wejścia na liście zainstalowanych. Na dysku za to masa wpisów. To należy wyrzucić te szczątki. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla :Reg [-HKEY_CURRENT_USER\Software\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{BF42FD7A-47C9-401D-A5FC-EAAEAED53CFB}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{BF42FD7A-47C9-401D-A5FC-EAAEAED53CFB}] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- Klik w Wykonaj skrypt. 2. Zrób nowy (już ostatni) log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
karolek2233 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Proszę ! OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Wykonane. Przejdź do: 1. Dokasuj te foldery: C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\ESET 2. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
karolek2233 Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Ładnie , Malwarebytes wykrył 35 wirusów o_O Plików nie usuwałem bo kiedyś też wyszukał wirusy - usunołem , restart kompa i komputer nie chce sie odpalić mbam-log-2012-12-15 (19-05-18).txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Śmietnisko owszem wykryte i większość wyników jest szkodliwa, niektóre pozycje to stare infekcje i to musiało siedzieć w systemie już spory czas. Usuń za pomocą programu wszystko z wyjątkiem RemoveWGA, trainerów gier i wyników z katalogu wirtualizacji Thinstall Office 2007 (fałszywe alarmy): C:\Documents and Settings\xpsp3\Pulpit\Programy\RemoveWGA.exe (PUP.RemoveWGA) -> Nie wykonano akcji. C:\Program Files\Trainer Maker Kit\static.dat (PUP.HackTool.HotKeysHook) -> Nie wykonano akcji.D:\RESIDENT EVIL 5 DX9 v1.0.0.129 13 Trainer.exe (HackTool.GamesCheat) -> Nie wykonano akcji.D:\Half Life Logo Creator.exe (Worm.Magania) -> Nie wykonano akcji.D:\Program Files\GMZ Trainer\asd.exe (Backdoor.Small) -> Nie wykonano akcji.D:\Program Files\xDpD\Swords and Soldiers HD v1.0 + 2 Trainer.exe (HackTool.GamesCheat) -> Nie wykonano akcji. D:\Program Files\Microsoft Office PowerPoint 2007\Thinstall\MOEPP2007\300000003f00002i\CLVIEW.EXE (Trojan.IRCBot) -> Nie wykonano akcji.D:\Program Files\Microsoft Office PowerPoint 2007\Thinstall\MOEPP2007\30000000cf00002i\MSTORDB.EXE (Trojan.IRCBot) -> Nie wykonano akcji. Po usunięciu ponów skan i potwierdź mi, że nic nowego się nie pojawiło. Plików nie usuwałem bo kiedyś też wyszukał wirusy - usunołem , restart kompa i komputer nie chce sie odpalić Pewnie to był crack aktywacji XP (antiwpa.dll). Jego usunięcie owszem odcina dostęp, bo Windows przestaje być oszukiwany, że działa legalnie. . Odnośnik do komentarza
karolek2233 Opublikowano 16 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Mam pytanie czy te klucze rejestru też usunąc? HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT|SMTP server (PUP.Mailer.Blat) -> Data: smtp.yandex.ru -> Nie wykonano akcji. HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT (PUP.Mailer.Blat) -> Nie wykonano akcji. mbam log.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Podałam czego nie usuwać, czyli wszystko inne do usunięcia, w tym te klucze. Odnośnik do komentarza
karolek2233 Opublikowano 16 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Dobrze usunołem , dałem log w poprzednim poście.. Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Na zakończenie: 1. Odbyły się tu kolejne zmiany konfiguracyjne, toteż ponownie wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9"{AC76BA86-7AD7-1033-7B44-A70800000002}" = Adobe Reader 7.0.8"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6 Czyli: odinstaluj wszystkie podane wystąpienia Adobe + Java i zastąp najnowszymi wersjami, zaktualizuj systemowy Internet Explorer (nawet jeśli go nie używasz). Uwaga dodatkowa: jest tu zainstalowany potwór Gadu-Gadu 10. Program zabójczy dla zasobów, a na dodatek wersja wycofana (wyłączono też serwisy integrowane w tym koszmarze). Polecam alternatywne programy do obsługi sieci Gadu: WTW, Kadu, AQQ, Miranda. Opisy: KLIK. 3. Ostatni sprawdzany log nie wykazywał obecności żadnego programu zabezpieczającego. Nadrób. Tylko w pierwszej kolejności zrób coś z miejscem na dysku, poprzedni log wykazał bardzo mało wolnego na C: Drive C: | 29,29 Gb Total Space | 1,47 Gb Free Space | 5,01% Space Free | Partition Type: NTFS . Odnośnik do komentarza
karolek2233 Opublikowano 17 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Takie pytanie . Jaki program anty wirusowy polecasz? najlepiej albo darmowy, albo do którego są cracki ;D Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Udaję, że nie słyszałam tego drugiego pytania, i pewnie to jedna z dróg jaką się nabawiłeś świństw. Co do darmowych cokolwiek z tego wybierzesz będzie OK: Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall Antywirus: Avast, AVG, Kingsoft Antivirus, Panda Cloud Antivirus, Microsoft Security Essentials Pakiet: COMODO Internet Security Piaskownica wirtualna: SandBoxie (30-dni trialu, ale da się po tym korzystać za free tylko ekran przypominający o zakupach się uruchamia), GeSWall Freeware . Odnośnik do komentarza
Rekomendowane odpowiedzi