pauls35 Opublikowano 30 Grudnia 2012 Zgłoś Udostępnij Opublikowano 30 Grudnia 2012 Witam, bardzo prosiłbym o pomoc - pojawił się wirus i komunikat na całym ekranie, że ten komputer został zablokowany. Niestety znałem tylko jeden sposób na to - Combofix (przez tryb awaryjny). Wiem, że to źle, ale nie umiem inaczej . Combofix przeskanował komputer, uruchomił ponownie i niby działa wszystko. Pojawia się komunikat przy starcie: "RUNDLL Wystąpił błąd podczas ładowania C:\DOCUME~1\szeffel\\wgsdgsdgdsgsd.exe Nie można odnaleźć określonego modułu." W msconfig widzę, że pojawił się wpis runctf, więc go odznaczyłem żeby się nie uruchamiał, ale nie wiem jak go wywalić do końca... Załączam log z tego Combofixa, plus logi wykonane po nim z OTL, Extras, Gmer. Mam Ashampoo Burning Studio 2012 zainstalowane, ale to chyba nie jest ten emulator napędów co znikeształca wyniki? Gmer nie pokazał na czerwono żadnych wpisów, nie było żadnych problemów przy jego uruchamianiu. Pomożecie? Plis. ComboFix.txt OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 ComboFix nie usunął wszystkiego. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js C:\Documents and Settings\szeffel\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\END :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" :OTL NetSvcs: fpjojfbda - File not found NetSvcs: vproeventmonitor - File not found FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2012-12-02 17:18:49 | 000,000,000 | ---D | M] IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4812_6&babsrc=SP_ss&mntrId=74a2dd37000000000000003005bfb55e" IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={ACCDF495-8E2D-48EF-8E5B-FB8E259F554B}&mid=5caa451c3cf747d0a056d179435b5cad-d1daff54cccedcc598ca728feb590ffed51f4d1e&lang=pl&ds=xn011&pr=sa&d=2012-09-30 12:53:38&v=13.0.0.7&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\szeffel\USTAWI~1\Temp\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzonyprzez AdwCleaner. Mam Ashampoo Burning Studio 2012 zainstalowane, ale to chyba nie jest ten emulator napędów co znikeształca wyniki? Gmer nie pokazał na czerwono żadnych wpisów, nie było żadnych problemów przy jego uruchamianiu. Nie, Ashampoo Burning Studio 2012 nie zalicza się do tych ofensywnych o które nam chodzi. Ale tu jest obiekt emulatora typu Alcohol / DAEMON Tools, czyli czynny sterownik SPTD: DRV - [2012-12-02 17:17:31 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) . Odnośnik do komentarza
cris95 Opublikowano 3 Lutego 2013 Zgłoś Udostępnij Opublikowano 3 Lutego 2013 Witam, brat kazał odpowiedzieć, bo w sumie ja używam. Dziękujemy jak pomogłaś, internauci powinni Ci wystawić pomnik! Już ostatnia prośba - po tym już nigdy więcej obietnica. Żadnych meczyków w internecie, programów z chomikuj i takich tam innych 1. w OTL wkleiłem, wykonałem skypt i zresetowałem 2. wywaliłem AVG 3. Zresetowałem Firefoxa 4. AdwCleaner z opcji delete - log w załaczniku z tym że (myśleliśmy że nikt nie odpowie i nie wchodziłem na strone) pojawiły się chyba dodatkowe jakieś wirusy tzn. po jednym programie z internetu strona startowa ustawia się na jakimś 22apple. Bałem sie tego i pojechałem Combofixem ale usunąl chyba tylko takie CheckRun22apple.exe z Danych Aplikacji. Strona startowa nadal jest na 22apple i w C:\ jest taki plik notatnikowy o nazwie t w którym jest C:\DOCUME~1\szeffel\USTAWI~1\Temp\V9Zip_000\AutoRun.exe -i=22apple,http://www.22apple.com/?utm_source=b&utm_medium=im&ref=im&uid=WDCXWD800BB-00HEA0_WD-WMAJ51884765®=1359395541 po tym Combofixie pojawiły się też 2 dymki - OTL exe - uszkodzony plik. Plik lub katalog: - C:\Documents and Settings\szeffel\Dane aplikacji\Macromedia\Flash Player\#SharekObjects\YM4Q3ZL6\www.free18.net\player jest uszkodzony i nie nadaje się do odczytu. Uruchom program CHKDSK - C:\Documents and Settings\szeffel\Ustawienia lokalne\temp\plugtmp-19 jest uszkodzony i nie nadaje się do odczytu. Uruchom program CHKDSK log z tego COmbofixa w załaczniku 5. log z OTL (zrobiony po Combofixie) w załaczniku tego Alcohol miałęm przez 20 minut kiedyś, ale nie umiałem używać i odinstalowałem - mam wyżucić ten plik SPTD z tego system32? a i w msconfig w autorunie jest (ale wyłączony już) runctf po tym wirusie policyjnym. Odhaczony, ale nie wiem - powinien zniknąć? Bo tego wirusa policyjnego już skutkó wnie widać żadnych. Jeszcze raz dziękuję AdwCleanerS2.txt ComboFix.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2013 Zgłoś Udostępnij Opublikowano 4 Lutego 2013 Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Dwa posty powyżej sklejam. Użyty prehistoryczny AdwCleaner v2.003, najnowsza wersja (wzbogacona o nowe skany) daleko w przodzie. To narzędzie należy za każdym razem pobierać od nowa! tego Alcohol miałęm przez 20 minut kiedyś, ale nie umiałem używać i odinstalowałem - mam wyżucić ten plik SPTD z tego system32? Masz go odinstalować za pomocą narzędzia SPTDinst: KLIK. a i w msconfig w autorunie jest (ale wyłączony już) runctf po tym wirusie policyjnym. Odhaczony, ale nie wiem - powinien zniknąć? Bo tego wirusa policyjnego już skutkó wnie widać żadnych. Wyłączony wpis w msconfig sam nie zniknie. Wpis należy usunąć, co czynię poniżej w punkcie 3. Bałem sie tego i pojechałem Combofixem ale usunąl chyba tylko takie CheckRun22apple.exe z Danych Aplikacji. Strona startowa nadal jest na 22apple i w C:\ jest taki plik notatnikowy o nazwie t w którym jest C:\DOCUME~1\szeffel\USTAWI~1\Temp\V9Zip_000\AutoRun.exe -i=22apple,http://www.22apple.com/?utm_source=b&utm_medium=im&ref=im&uid=WDCXWD800BB-00HEA0_WD-WMAJ51884765®=1359395541 Ogranicz bezsensowne używanie ComboFix. Po co tu ComboFix, to banalne adware. A problem jest nadal, bo ComboFix nie adresuje tego w kompletny sposób, usunięcie pliku CheckRun22apple.exe to prawdopodobnie czysty przypadek (rutyna usuwania luźnych plików w Danych aplikacji a nie konkretne usuwanie tego adware). 1. Usuń wszystkie skróty przeglądarek (z Menu Start / Paska zadań / Pulpitu) i utwórz nowe. 2. Pobierz najnowszy AdwCleaner i zastosuj Usuń. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^szeffel^Menu Start^Programy^Autostart^runctf.lnk] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files C:\Program Files\mozilla firefox\searchplugins\22apple.xml C:\Documents and Settings\szeffel\Dane aplikacji\Mozilla\Firefox\Profiles\nrkore1j.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} C:\Documents and Settings\szeffel\Dane aplikacji\Mozilla\Firefox\Profiles\nrkore1j.default\extensions\{14323AEE-F6B8-4DC8-BCE3-E62645830585}.xpi C:\windows\pss\runctf.lnkStartup :Services StarOpen catchme :OTL O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-515967899-1532298954-839522115-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-515967899-1532298954-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Zrób nowy log OTL z opcji Skanuj. Uruchom SystemLook i w oknie wklej: :regfind 22apple :reg HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet /s HKEY_CURRENT_USER\Software\Clients\StartMenuInternet /s Klik w Look. Dołącz też log utworzony przez AdwCleaner + log OTL z wynikami usuwania z punktu 3. . Odnośnik do komentarza
cris95 Opublikowano 7 Lutego 2013 Zgłoś Udostępnij Opublikowano 7 Lutego 2013 SPTD wywalony dzięki SPTDinst nawet z regedit wywaliłem wg instrukcji 1. Usunąłem i utworzyłem nowe skróty do Mozilli - rzeczywiście już mi się otwiera startowa tam gdzie chcę 2. Najnowszym AdwCleaner zastosowałem Usuń (log w załączniku) 3. W OTL wkleiłem, wykonałem skrypt i zatwierdziłem reset (log w załączniku) 4. Zrobiłem nowy OTL z opcji Skanuj (log w załączniku) + SystemLook (log w załączniku) Dziękuję... AdwCleanerS3.txt OTL z pkt 3 - 02072013_190955.txt OTL z pkt 4.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2013 Zgłoś Udostępnij Opublikowano 8 Lutego 2013 Zadania wykonane i przejdź do wykończeń: 1. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{06707267-952D-436E-AE5F-CE97C2C08BD9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :OTL FF - prefs.js..extensions.enabledAddons: {b83c3e38-27ae-3b24-bf2e-d2d05b59e00b}:4.6.8.5 FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=15.0.4.53: C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=15.0.4.53: C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.666: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll File not found O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll File not found Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Odinstaluj ComboFix w poprawny sposób. Start > Uruchom > wklej komendę: "C:\Documents and settings\szeffel\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall Następnie: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Odinstaluj stare wersje Adobe Reader + Java i zastąp najnowszymi: KLIK. Twój raport notuje zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java 6 Update 35"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{32A3A4F4-B792-11D6-A78A-00B0D0170070}" = Java SE Development Kit 7 Update 7"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) . Odnośnik do komentarza
Rekomendowane odpowiedzi