LYSYzBRAZZERS Opublikowano 7 Czerwca 2013 Zgłoś Udostępnij Opublikowano 7 Czerwca 2013 Witam! Mam pewien problem. Otóż jakiś miesiąc czas temu wdał mi się na komputer taki program jak system care antyvirus. Z początku narobił trochę zamieszania, ale po jakimś czasie samo się wszystko ustabilizowało (nie wiem jakim cudem). Nic z tym już nie robiłem, bo myślałem, że wszystko jest już okej. Ale od jakichś dwóch tygodni mam większe niż przeciętne wykorzystanie procesora. Sprawdzałem w menedżerze zadań czy nie ma tam jakiegoś niepotrzebnego procesu i przez to natrafiłem się na proces, który nosił nazwę bodajże hbdiner i w opisie miał napis coin-miner. Znalazłem równierz aplikację o takiej nazwie i postanowiłem ją przeskanować. Skan potwierdził zakażenie. Po jakimś czasie postanowiłem usunąć tą aplikację, bo mnie wkurzała, że zżera tyle procesora. Przeskanowałem również cały komputer i wykryło mi 4 wirusy, ale nie pamiętam ich nazw (napewno jeden z nich to trojan). W każdym bądź razie usunąłem te wirusy. Wszystko było fajnie, ale 3dni temu, gdy włączyłem komputer, to po napisie "witamy" wyświetlił mi się tylko czarny ekran i mogłem tylko ruszać kursorem, a także wejść w menedżer zadań. Więc odpaliłem menedżera i wlazłem przez to w neta, aby zobaczyć co mogę zrobić. Dowiedziałem się, że to może być wina sterowników i że trzeba przywrócić starą wersję. Więc tak też zrobiłem, czyli odpaliłem komputer na trybie awaryjnym i tam przywróciłem poprzednią wersję sterowników. Gdy włączyłem normalnie komputer, to wszystko było okej. Zagrałem sobie nawet w battlefielda 3 i wszystko było w jak najlepszym porządku. I tu znowu zaczyna się problem. Otóż dzisiaj, gdy chciałem odpalić komputer, to znowu wyświetlił mi się czarny ekran. Kolega mi poradził, aby przywróć system do stanu wczorajszego i tak też uczyniłem. Włączyłem komputer normalnie i działało. Ale kolega również poradził mi abym zgłosił te wybryki komputera na to forum, dlatego ściągnąłem sobie te programy niezbędne do przeskanowania komputera (właściwie to kolega robił). I nie wiem w jakim celu stwierdził, że trzeba uruchomić ponownie komputer ( bo zapomniałem). Więc tak też uczyniliśmy. Po krótkim czasie znowu zostałem niecnie oszukany przez komputer, a mianowicie przez parę minut był wyświetlony napis witamy czy zapraszamy (nawet nie wiem) i nie chciało dalej iść. Więc uruchomiłem komputer na trybie awaryjnym i postanowiłem zrobić skan i zgłosić ten problem już pozostając na tym trybie. Proszę o szybką pomoc, z góry dziękuję. GMER.txt Extras.Txt OTL.Txt Odnośnik do komentarza
LYSYzBRAZZERS Opublikowano 8 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2013 Jeszcze dodam, że dzisiaj mi się normalnie włączył, nie wiem czemu. Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2013 Zgłoś Udostępnij Opublikowano 8 Czerwca 2013 Owszem, jest czynna infekcja w starcie, odpadki infekcji rootkitem ZeroAccess oraz adware. Czyścimy: 1. Odinstaluj adware: - Przez Panel sterowania odinstaluj: Babylon Chrome Toolbar, Babylon toolbar, BabylonObjectInstaller, Browser Manager, Claro LTD toolbar, Conduit Engine, Critical Security Update, Deinstalator Strony V9, Delta toolbar, Delta Chrome Toolbar, facemoods, SFT_Polska Toolbar, SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.6, Update_DealPly, Update for Mipony Download Manager, Yontoo 1.10.02. Jeśli nie instalowałeś celowo, to także Qtrax Player. - W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={09A52D1D-7144-48E7-9B06-DDAC8FE27963} IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://mixidj.delta-search.com/?q={searchTerms}&affID=121124&babsrc=SP_ss&mntrId=023a69820000000000001c6f65bbc989 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={09A52D1D-7144-48E7-9B06-DDAC8FE27963} O3 - HKLM\..\Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - No CLSID value found. O4 - HKCU..\Run: [cgminer] C:\Users\Adam\AppData\Local\Temp\Fundeteri.exe (Fundeteri) O4 - HKCU..\Run: [hbindiner] C:\Users\Adam\AppData\Local\Temp\Saishmoor.exe (Saishmoor inc) O4 - HKCU..\Run: [Zayeseece] C:\Users\Adam\AppData\Local\Temp\~tmp765068716222423427.tmp (Zayeseece) O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm File not found SRV - File not found [Auto | Stopped] -- C:\Program Files\PLAY ONLINE\UpdateDog\ouc.exe -- (PLAY ONLINE. RunOuc) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\odafrtbw.sys -- (odafrtbw) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\mjzohdad.sys -- (mjzohdad) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\lwmbpmmv.sys -- (lwmbpmmv) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\lvpsdqko.sys -- (lvpsdqko) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\lsfgmgza.sys -- (lsfgmgza) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\lqiupxjv.sys -- (lqiupxjv) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\lomuirwc.sys -- (lomuirwc) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\kelgasww.sys -- (kelgasww) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\jwfezlhm.sys -- (jwfezlhm) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\jserpkpf.sys -- (jserpkpf) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\jrkskcwn.sys -- (jrkskcwn) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\hbmnoutf.sys -- (hbmnoutf) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\gzvigdks.sys -- (gzvigdks) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\gxvbwepu.sys -- (gxvbwepu) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\glsuwfdb.sys -- (glsuwfdb) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\fvoojpig.sys -- (fvoojpig) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\fucjjjpp.sys -- (fucjjjpp) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\fljtsodv.sys -- (fljtsodv) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\duoaorre.sys -- (duoaorre) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\dnwnsujy.sys -- (dnwnsujy) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\dagcpadw.sys -- (dagcpadw) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\cgfxzyru.sys -- (cgfxzyru) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\bzqaunqi.sys -- (bzqaunqi) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\bpauxgvo.sys -- (bpauxgvo) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) :Files C:\Users\Adam\AppData\Roaming\BabSolution C:\Users\Adam\AppData\Roaming\Baubys C:\Users\Adam\AppData\Roaming\OpenCandy C:\Users\Adam\AppData\Roaming\Otqede C:\Users\Adam\AppData\Roaming\PerformerSoft C:\Users\Adam\AppData\Roaming\Uhcyr C:\Users\Adam\AppData\Roaming\Xuleuv C:\Users\Adam\*.exe C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 3. Otwórz Notatnik i wklej w nim: reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f TAKEOWN /F C:\$Recycle.Bin /R /A /D T icacls C:\$Recycle.Bin /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner. . Odnośnik do komentarza
LYSYzBRAZZERS Opublikowano 8 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2013 Wszystko zrobione, już dołączam skany... AdwCleanerS1.txt FSS.txt OTL.Txt log z usuwania.txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2013 Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 Wszystko zrobione. Drobne poprawki zostały. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}] @="Microsoft WBEM _WbemFetchRefresherMgr Proxy Helper" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32] @=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\ 65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ThreadingModel"="Free" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{5c5b9468-d672-4eb7-b52f-b5afabf28c5b}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Zważ, że tym razem to plik o nazwie FIX.REG a nie FIX.BAT. Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
LYSYzBRAZZERS Opublikowano 10 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 Proszę bardzo, oto skan... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2013 Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 Zrobione. Przechodzimy do wykończeń: 1. Ominęłam niechcący jeden wpis wtyczki adware w Firefox. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@ei.VideoDownloadConverter_4z.com/Plugin] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox oraz pliki BAT/REG, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób jeszcze skanowanie za pomocą Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
LYSYzBRAZZERS Opublikowano 10 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 Przeskanowałem i wszystko jest w porządku. Jeśli to wszystko co muszę zrobić, to naprawdę dzięki wielkie za pomoc. Komputer ładnie śmiga. Jest Pani bardzo pomocna... Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2013 Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 Na zakończenie: 1. Odinstaluj starą Java i zastąp najnowszą (o ile potrzebna) oraz zaktualizuj Firefox: KLIK. Wersje widziane jako zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl) 2. Dla bezpieczeństwa zmień hasła logowania w serwisach online (poczta / gry / serwisy społecznościowe / bank etc.). . Odnośnik do komentarza
LYSYzBRAZZERS Opublikowano 11 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 Okej zrobione, dzięki wielkie... Odnośnik do komentarza
Rekomendowane odpowiedzi