cichypan10 Opublikowano 17 Lutego 2013 Zgłoś Udostępnij Opublikowano 17 Lutego 2013 Witam. Mam problem, a mianowicie chodzi o to, że wylogowuje mnie natychmiastowo z wielu forum/poczty (np. wp.pl). Na razie wiem tyle, że w moim systemie jest infekcja typu Rootkit. Tego się dowiedziałem właśnie od pewnej osoby, która w celu rozwiązania problemu poleciła mi właśnie Wasze forum. Okej DAEMON Tools Lite odinstalowany. Dodaje log z Farber Service Scanner. extras.txt FSS.txt OTL.txt GMER.txt Odnośnik do komentarza
diox Opublikowano 17 Lutego 2013 Zgłoś Udostępnij Opublikowano 17 Lutego 2013 Niestety masz rację, w systemie jest ZeroAccess, przynajmniej dwa warianty. Dodaj także log z Farbar Service Scanner. Jeszcze co do logu z GMER, nie usunąłeś sterownika SPTD: KLIK. Po tym podmień log z GMER. Odnośnik do komentarza
cichypan10 Opublikowano 17 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2013 Wystarczy jak usunę SPDT z komputera czy muszę, aby to usunąć pobrać ten program Active ISO Burner? Odnośnik do komentarza
diox Opublikowano 17 Lutego 2013 Zgłoś Udostępnij Opublikowano 17 Lutego 2013 Masz odinstalować DAEMON Tools Lite, a potem używasz narzędzia SPTDinst podanego w linku który podałem na górze. Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Wg raportu z GMER jest tu jak nabardziej czynny starszy ZeroAccess, zainfekowany sterownik serial.sys. 1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie opcje ustawione domyślnie przez narzędzie. Zatwierdź leczenie restartem systemu. Na dysku C powstanie log z usuwania. 2. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ROC_ROC_NT /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ROC_roc_ssl_v12 /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v SweetIM /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ROC_roc_ssl_v12 /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Sweetpacks Communicator" /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows System Controler" /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Akamai NetSession Interface" /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Windows System Controler" /f reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{3792223A-C9F7-4AED-8DFE-CF0832CD9B44}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{75D778DB-957F-435D-8509-DC24AE78BE7B}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8EEAC88A-079B-4b2c-80C1-7836F79EB40A}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}" /f reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {6c97a91e-4524-4019-86af-2aa2d567bf5c} /f reg delete HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin /f reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f sc stop gfibto sc delete gfibto sc delete XDva394 sc delete XDva393 sc delete fwwdrkoc sc delete EagleNT sc delete apf001 del /q C:\WINDOWS\System32\sbbd.exe del /q C:\WINDOWS\System32\drivers\gfibto.sys del /q C:\WINDOWS\tasks\At*.job del /q "C:\WINDOWS\tasks\Ad-Aware Antivirus Scheduled Scan.job" del /q "C:\Documents and Settings\Filipo\Dane aplikacji\*.exe" del /q "C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll" del /q "C:\Program Files\mozilla firefox\searchplugins\babylon.xml" rd /s /q "C:\Program Files\Mozilla Firefox\extensions\{dab7fada-0f13-9028-c941-e2852454544f}" rd /s /q "C:\Program Files\Ad-Aware Antivirus" rd /s /q "C:\Program Files\adawaretb" rd /s /q "C:\Program Files\Toolbar Cleaner" rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Antivirus" rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software" rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\Babylon" rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\blekko toolbars" rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\CPA_VA" rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft" rd /s /q "C:\Documents and Settings\Filipo\Dane aplikacji\Ad-Aware Antivirus" rd /s /q "C:\Documents and Settings\Filipo\Dane aplikacji\adawaretb" rd /s /q "C:\Documents and Settings\Filipo\Dane aplikacji\Babylon" rd /s /q "C:\Documents and Settings\Filipo\Dane aplikacji\LavasoftStatistics" rd /s /q "C:\Documents and Settings\Filipo\Dane aplikacji\OpenCandy" rd /s /q "C:\Documents and Settings\LocalService\Dane aplikacji\GeekBuddyRSP" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > uruchom ten plik Obowiązkowy restart systemu. 3. Otwórz Notatnik i wklej w nim: cacls C:\RECYCLER\S-1-5-21-1547161642-220523388-682003330-1003\$ceb995739f269eae0a02d7698d3f22d8 /E /G Wszyscy:F rd /s /q C:\RECYCLER netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > uruchom ten plik Kolejny obowiązkowy restart systemu. 4. Odinstaluj adware i zbędniki: - Przez Dodaj/Usuń programy: Akamai NetSession Interface, Contextual Tool Extrafind, FoxTab FLV Player, Internet Explorer Toolbar 4.6 by SweetPacks, LiveVDO plugin 1.3, McAfee Security Scan Plus, Norton Security Scan, StartSearch Toolbar 1.3, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1. - Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację LiveVDO plugin, StartSearch Video plug-in. 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i GMER. Uruchom SystemLook i do okna wklej: :dir C:\RECYCLER /s Klik w Look. Dołącz logi utworzone przez TDSSKiller i AdwCleaner. Oczywiście odpowiadasz i załączasz materiałyt w nowym poście, nie edytuj wstecznie posta numer 1. . Odnośnik do komentarza
cichypan10 Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Proszę. OTL.Txt SystemLook.txt TDSSKiller.2.8.16.0_19.02.2013_12.25.05_log.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Wszystko poszło sprawnie z wyjątkiem resetu Winsock. Został też do usunięcia już rozlinkowany przez TDSSKiller resztówkowy folder ZeroAccess oraz naprawa szkód (skasowane usługi). 1. Start > Uruchom > cmd, wpisz komendę netsh winsock reset i zresetuj system. Jeśli tu pokaże się jednak jakiś błąd, podaj dokładnie jaki. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB54832$ C:\WINDOWS\tasks\Norton Security Scan for Filipo.job C:\Documents and Settings\All Users\Dane aplikacji\036E18D402A2617B15C9B84A81CB3EF3 :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{46B98F57-AA78-4F0A-AF13-683554B32F17}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{46B98F57-AA78-4F0A-AF13-683554B32F17}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 4. Zresetuj system i zrób nowe logi: OTL z opcji Skanuj (bez Extras) oraz Farbar Service Scanner. . Odnośnik do komentarza
cichypan10 Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Nie, nie było żadnego błędu. FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Wszystko zrobione, idziemy dalej: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Przy instalacji padnie pytanie o edycję, wybierz darmową bez rezydenta. . Odnośnik do komentarza
cichypan10 Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Przesyłam logi. Te błędy, które wykryto mam zaznaczyć i kliknąć ''usuń zaznaczone''? MBAM-log-2013-02-19 (16-37-37).txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Wyniki MBAM: - Coś mi się nie wydaje, że kasowałeś kwarantannę TDSSKiller przez SHIFT+DEL, bo w Koszu są wykryte składniki TDSSKiller. Opróżnij systemowy Kosz. - Plik H@tKeysH@@k.DLL pochodzi od trainera gry i jest to fałszywy alarm. Nie wiem co to za obiekty: DARKNeZZ.exe i scripter.exe, być może też detekcja omyłkowa. - Reszta to szczątki trojanów i instalator adware = do usunięcia programem Po usunięciu programem podsumuj mi bieżącą systuację, co się dzieje w systemie i czy problemy ustąpiły. . Odnośnik do komentarza
cichypan10 Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Tak zgadza się, pliki TDSSKiller były jedynie w koszu. W MBAM usunąłem te resztki szczątków trojanów. Zresetowałem system i wszystko działa! Jeśli to już koniec to wielkie dzięki za pomoc. Mimo iż słabo się znam na komputerach to dzięki Tobie i diox udało mi się usunąć ten problem. Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Na zakończenie: 1. Aktualizacje: KLIK. Konkretnie u Ciebie chodzi o usunięcie starych wersji Adobe i Java, aktualizację Firefox oraz OpenOffice.org. Wersje widziane obecnie w systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217013FF}" = Java 7 Update 13"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Mozilla Firefox 18.0.2 (x86 pl)" = Mozilla Firefox 18.0.2 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_149.dll ()FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1168638.dll (Adobe Systems, Inc.) 2. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
cichypan10 Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Okej, aktualizacje pobrane. Dzięki za szczegółową pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi