chillchasm Opublikowano 1 Stycznia 2013 Zgłoś Udostępnij Opublikowano 1 Stycznia 2013 Tak, wiem są już jednakowe tematy, ale wciąż nie mogę sobie poradzić. Podejżewam jakiś wirus, czy malware. Próbowałem odbudować rejestr, wg różnych tutorialów, ale nic to nie dało. Do tego przy starcie systemu wyskakuje błąd wgsdgsdgdsgsd.exe. Możliwe, że oba problemy są powiązane ze sobą. Co robić? OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 1 Stycznia 2013 Zgłoś Udostępnij Opublikowano 1 Stycznia 2013 Nie widzę przyczyny problemu z uruchomieniem "Centrum zabezpieczeń", więc pomogę Ci tylko usunąć infekcję WEELSOF. 1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: :Files C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\ProgramData\dsgsdgdsgdsgw.js C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Kuba\wgsdgsdgdsgsd.dll :OTL O4 - HKLM..\Run: [] File not found O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Kuba\AppData\Roaming\toolplugin\toolbar.dll () [2012-02-24 03:12:36 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src [2012-11-05 23:00:31 | 000,189,128 | ---- | M] () (No name found) -- C:\Users\Kuba\AppData\Roaming\mozilla\firefox\profiles\od25pqxn.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012-05-14 20:13:05 | 000,003,915 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\mozilla\firefox\profiles\od25pqxn.default\searchplugins\sweetim.xml [2012-02-24 03:12:36 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\od25pqxn.default\extensions\welcome@toolmin.com FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.selectedEngine: "Search the web" :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 :Commands [emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. 2) Do SystemLook wklej: Cytat :regfindwgsdgsdgdsgsd Naciśnij Look i pokaż raport. Odnośnik do komentarza
chillchasm Opublikowano 2 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 2 Stycznia 2013 Oto raporty,oba problemy zostały rozwiązane. Wszystko działa jak należy, dziękuje za pomoc All processes killed ========== FILES ========== C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully. C:\ProgramData\dsgsdgdsgdsgw.js moved successfully. C:\ProgramData\dsgsdgdsgdsgw.pad moved successfully. File\Folder C:\Users\Kuba\wgsdgsdgdsgsd.dll not found. ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DFEFCDEE-CF1A-4FC8-89AF-189327213627} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-89AF-189327213627}\ deleted successfully. C:\Users\Kuba\AppData\Roaming\toolplugin\toolbar.dll moved successfully. C:\Program Files\Mozilla Firefox\searchplugins\Search the web.src moved successfully. C:\Users\Kuba\AppData\Roaming\mozilla\firefox\profiles\od25pqxn.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi moved successfully. C:\Users\Kuba\AppData\Roaming\mozilla\firefox\profiles\od25pqxn.default\searchplugins\sweetim.xml moved successfully. C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\od25pqxn.default\extensions\welcome@toolmin.com\chrome\content folder moved successfully. C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\od25pqxn.default\extensions\welcome@toolmin.com\chrome folder moved successfully. C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\od25pqxn.default\extensions\welcome@toolmin.com folder moved successfully. C:\Users\Kuba\AppData\Roaming\Mozilla\FireFox\Profiles\od25pqxn.default\user.js moved successfully. Prefs.js: "Search the web" removed from browser.search.defaultenginename Prefs.js: "Search the web" removed from browser.search.order.1 Prefs.js: "Search the web" removed from browser.search.selectedEngine ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters\\"ServiceDll"|hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Kuba ->Temp folder emptied: 53127 bytes ->Temporary Internet Files folder emptied: 549587 bytes ->Java cache emptied: 332860 bytes ->FireFox cache emptied: 90920730 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 667 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1661418 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 100719 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 89,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 01022013_143537 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... SystemLook 30.07.11 by jpshortstuff Log created at 14:42 on 02/01/2013 by Kuba Administrator - Elevation successful ========== regfind ========== Searching for "wgsdgsdgdsgsd" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winmgmt\Parameters] "ServiceDll"="C:\Users\Kuba\wgsdgsdgdsgsd.dll" -= EOF =- OTL.TxtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 2 Stycznia 2013 Zgłoś Udostępnij Opublikowano 2 Stycznia 2013 Jeszcze "wgsdgsdgdsgsd.dll" jest przyczepione do usługi Systemowej, więc: Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 Z Menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako > FIX.REG > plik uruchom (dwuklik i OK). Zrestartuj komputer. Zrób nowy log z SystemLook, na poprzednim ustawieniu. Infekcji już nie ma, więc po daniu tu tego loga, będziesz już mógł spokojnie, bez nerwów, czekać, aż @Picasso, lub @Landuss, powróci z urlopu (nie wiem, kiedy), i poda jeszcze kosmetyczne zalecenia. Odnośnik do komentarza
chillchasm Opublikowano 2 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 2 Stycznia 2013 Dzięki SystemLook pokazał : SystemLook 30.07.11 by jpshortstuff Log created at 19:51 on 02/01/2013 by Kuba Administrator - Elevation successful ========== regfind ========== Searching for "wgsdgsdgdsgsd" No data found. -= EOF =- Odnośnik do komentarza
Anonim8 Opublikowano 2 Stycznia 2013 Zgłoś Udostępnij Opublikowano 2 Stycznia 2013 A centrum zabezpieczeń możesz odpalić? Odnośnik do komentarza
chillchasm Opublikowano 4 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2013 Tak juz działa, dzieki . Odnośnik do komentarza
chillchasm Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Witam juz kiedys miałem z nim problem i pomogło teraz znowu sie to stało. Pomoże ktoś ? OTL skan: OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 chillchasm, nowy temat założony niepotrzebnie, jesteś tu zbyt szybko z tym samym problemem. Zostawiam tylko post w tutejszym wątku. Poprzedni proces czyszczenia zresztą nie został wtedy doprowadzony do końca. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Kuba\wgsdgsdgdsgsd.exe C:\Program Files\Enigma Software Group :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.102.0: C:\Program Files\Battlelog Web Plugins\1.102.0\npesnlaunch.dll File not found FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.118.0: C:\Program Files\Battlelog Web Plugins\1.118.0\npesnlaunch.dll File not found FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.132.0: C:\Program Files\Battlelog Web Plugins\1.132.0\npesnlaunch.dll File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i w Rozszerzeniach odmontuj SweetIM for Facebook. Przez Panel sterowania usuń SweetIM for Messenger 3.6. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
chillchasm Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Chyba oto chodziło: AdwCleanerS1.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Widzę, że w międzyczasie posunąłeś się za daleko i niezgodnie z zaleceniami, tzn. użyłeś ComboFix. Co my na ten temat: KLIK. Było to zupełnie niepotrzebne. Pomijając to, zrobione co należy. Kończymy: 1. Drobna korekta na domyślne wyszukiwarki Internet Explorer po użyciu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe. Pobierz go (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Kuba\Desktop\ComboFix.exe /uninstall Następnie: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z dysku poniżej zakreślone foldery. C:\Users\Kuba\Desktop\Stare dane programu Firefox C:\Windows\erdnt 3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie w systemie są zainstalowane wersje: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl) W podsumowaniu: odinstaluj wszystkie zakreślone tu pozycje Adobe + Java i zastąp najnowszymi, zaktualizuj przeglądarki Firefox i IE. PS. I jeszcze widzę potwora Gadu-Gadu 10. Zainteresuj się alternatywami: WTW, AQQ, Kadu, Miranda. Opisy: KLIK. . Odnośnik do komentarza
chillchasm Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Zrobiłem chyba wszytko.... ale niejestem pewien dadaje skan. daj znać co jeszcze moge zrobi? wielkie dzieki za pomoc OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 1. Ja nadal widzę starą wtyczkę Adobe Flash w Firefox: FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () Po czym poznać, że stara: plik ma nazwę bez wersji. Najnowszy Adobe Flash wyglądałby w taki sposób, czyli konkretna wersja jako część nazwy: FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll () Być może ten stary Flash przywraca stare Gadu 10. 2. I nadal widzę na dysku folder C:\_OTL, a on nie ma prawa być na dysku po użyciu opcji Sprzątanie w OTL... Pomijając powyższe, jak mówię skończyliśmy. . Odnośnik do komentarza
Rekomendowane odpowiedzi