solo132 Opublikowano 23 Czerwca 2013 Zgłoś Udostępnij Opublikowano 23 Czerwca 2013 witam Otóż borykam się z pewnym problemem. Mój system to Windows Vista 32 bit. Wczoraj cały dzień miałem włączony komputer z aktywnym połączeniem internetowym tzn. ściąganie plików itp. po czym komputer został wyłączony. Dziś natomiast po włączeniu kompa antywirus NOD32 wykrył zagrożenie w postaci wirusa. Dokładnie: Ostrzeżenie Znaleziono wirusa Obiekt: Pamięć operacyjna>>GLOBAL??\1cf6efbe\Windo...\Desktop.ini Zagrożenie: odmiana zagrożenia Win32/Sirefef.EZ koń trojański Oczywiście od razu chciałem go usunąć, jednak antywirus nie dał rady. Dodatkowo gdy wszedłem w Mój komputer pojawił się faktycznie plik konfiguracyjny desktop.ini ważący 6 bajtów. Zauważyłem także, że przy włączeniu systemu pojawił się komunikat antywirusa o braku spójności zapory antywirusa, a w jego konfiguracji, opcja Ochrona dostępu do stron internetowych jest wyłączona i nie można. Do kolejnych zauważonych problemów należą: brak możliwości ściągnięcia plików w przeglądarce Chrome oraz IE (plik zaczyna się pobierać, ale przy końcu pokazuje się komunikat Niepowodzenie-Skanowanie antywirusowe nie powiodło się w Chrome, a IE Dany plik zawierał wirusa i został usunięty) natomiast w Operze jest to możliwe, aczkolwiek na otwieranych stronach często są nieaktywne przyciski, które powinny być aktywne i należy często stronę odświeżać); w przeglądarce Chrome - gdy wpisuje standardowo adres wyszukiwarki google tzn. www.google.pl to nie ma żadnych problemów przy szukaniu jakiejś frazy, natomiast jeśli do razu wpisuje w okienko przeglądarki dane wyrażenie aby szybko mi wyszukała to otrzymuję komunikat: Certyfikat bezpieczeństwa tego serwera został unieważniony Próbujesz wejść na [/size]www.google.pl, ale serwer przedstawił certyfikat unieważniony przez wystawcę. Oznacza to, że dane uwierzytelniające podane przez serwer są zupełnie niewiarygodne. Możliwe, że komunikujesz się z intruzem. [/size]Nie można przejść dalej, ponieważ operator strony poprosił o zwiększenie bezpieczeństwa w tej domenie. Znalazłem rozwiązanie tego problemu tu na forum: https://www.fixitpc.pl/topic/15898-win32sirefefez/ i zacząłem działać zgodnie z poradami picasso, jednak gdy doszedłem do 3 punktu zauważyłem (dopiero wtedy), ze jest to sposób dopasowany pod konkretny system, więc zacząłem wszystko do nowa zgodnie z regulaminem. Usunąłem Daemon Tools Lite oraz przeskanowałem system (o zajęło mi kilka godzin niestety), a otrzymane logi załączam. Opcjonalny log z Security Check wklejam zgodnie z instrukcją wprost do posta: Results of screen317's Security Check version 0.99.67 Windows Vista Service Pack 2 x86 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! ESET NOD32 Antivirus 5.0 Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` CCleaner Java 6 Update 33 Java 7 Update 17 Java 6 Update 2 Java 6 Update 7 Java version out of Date! Adobe Flash Player 11.5.502.135 Adobe Reader 8 Adobe Reader out of Date! Adobe Reader XI (KB403742..) Google Chrome 27.0.1453.110 Google Chrome 27.0.1453.116 ````````Process Check: objlist.exe by Laurent```````` ESET NOD32 Antivirus egui.exe ESET NOD32 Antivirus ekrn.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` Będę naprawdę wdzięczny za pomoc w usunięciu robaka z mojego komputera oraz ewentualną pomoc umożliwiającą poprawne działanie mojego systemu OTL.Txt Extras.Txt GMER skan pełny.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2013 Zgłoś Udostępnij Opublikowano 26 Czerwca 2013 brak możliwości ściągnięcia plików w przeglądarce Chrome oraz IE (plik zaczyna się pobierać, ale przy końcu pokazuje się komunikat Niepowodzenie-Skanowanie antywirusowe nie powiodło się w Chrome, a IE Dany plik zawierał wirusa i został usunięty) natomiast w Operze jest to możliwe, aczkolwiek na otwieranych stronach często są nieaktywne przyciski, które powinny być aktywne i należy często stronę odświeżać) + Znalazłem rozwiązanie tego problemu tu na forum i zacząłem działać zgodnie z poradami picasso, jednak gdy doszedłem do 3 punktu zauważyłem (dopiero wtedy), ze jest to sposób dopasowany pod konkretny system, więc zacząłem wszystko do nowa zgodnie z regulaminem. U Ciebie jest zupełnie inny wariant tej infekcji: wariant infekujący sterowniki systemowe (wg GMER rootkit zaatakował systemowy dfsc.sys) skombinowany z najnowszą odmianą tworzącą linki symboliczne w katalogu Windows Defender (dlatego nie da się pobrać plików w przeglądarkach, bo skaner jest uszkodzony). Potrzebne mi dwa dodatkowe raporty przed zadaniem kompletnej instrukcji usuwania: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt. 2. Log z Farbar Service Scanner. . Odnośnik do komentarza
solo132 Opublikowano 27 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Witam i dziękuję za zainteresowanie pomocą: ad.1. Chyba coś wpisuję źle - nieważne czy kopiuję polecenie czy je wpisuję nie pojawia się żaden komunikat, tylko z powrotem C:\Windows\system32>_ (dodam, że uruchamiam jako administrator) ad.2. Log z Farbar Service Scanner w załączniku pozdrawiam FSS.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2013 Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 ad.1. Chyba coś wpisuję źle - nieważne czy kopiuję polecenie czy je wpisuję nie pojawia się żaden komunikat, tylko z powrotem C:\Windows\system32>_ (dodam, że uruchamiam jako administrator) To tak ma być. Jeżeli komenda się wykonuje poprawnie, następuje przejście do nowej linii. Czyli w cmd uruchomionym jako Administrator wklejasz i ENTER: dir /s "C:\Program Files\Windows Defender" > C:\log.txt Na dysku powstanie plik C:\log.txt. Doczep go tu. . Odnośnik do komentarza
solo132 Opublikowano 27 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 ok - nigdy tego nie robiłem, więc teraz już będę wiedział Log w załączeniu log.txt Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2013 Zgłoś Udostępnij Opublikowano 28 Czerwca 2013 OK, mam komplet danych. Od razu powiem, że infekcja nastąpiła z kodeków pobranych z lewego źródła: [2013-06-22 12:20:44 | 000,000,000 | ---D | C] -- C:\Users\Matt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x264 Video Codec [2013-06-22 12:20:36 | 000,000,000 | ---D | C] -- C:\Program Files\x264 Video Codec Przechodzimy do usuwania: 1. Uruchom Kaspersky TDSSKiller. Dla wykrytych zagrożeń zostaw wszystkie opcje domyślnie dobrane przez narzędzie. Zresetuj system, by zatwierdzić leczenie. Na dysku C powstanie log z wynikai usuwania. 2. Otwórz Notatnik i wklej w nim: fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpAsDesc.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpClient.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpCmdRun.exe" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpEvMsg.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpOAV.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpRtMon.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpRtPlug.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpSigDwn.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpSoftEx.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpSvc.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MSASCui.exe" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpCom.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpLics.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpRes.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\pl-PL" TAKEOWN /F C:\Windows\System32\%APPDATA% /R /A /D T icacls C:\Windows\System32\%APPDATA% /grant Wszyscy:F /T attrib -r -s -h C:\Windows\System32\%APPDATA% rd /s /q C:\Windows\System32\%APPDATA% rd /s /q "C:\Program Files\x264 Video Codec" rd /s /q "C:\Users\Matt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x264 Video Codec" rd /s /q "C:\Users\Matt\AppData\Roaming\mozilla" del /q "C:\Program Files\Deluge\gql.exe" reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ROC_roc_ssl_v12 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AdobeBridge /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v GoogleQuery /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1AE09CFE-45F6-4969-96ED-95490446028D}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8AE33802-00D3-4F1B-B5C7-6FEE34E402CE}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F2F61099-DFD0-4ad0-AB3B-EEC574E9D21F}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {4B3803EA-5230-4DC3-A7FC-33638F3D3542} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {687578B9-7132-4A7A-80E4-30EE31099E03} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {8AE33802-00D3-4F1B-B5C7-6FEE34E402CE} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {687578b9-7132-4a7a-80e4-30ee31099e03} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {EF99BD32-C1FB-11D2-892F-0090271D4F88} /f reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} /f reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {EF99BD32-C1FB-11D2-892F-0090271D4F88} /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5499BCB1-5641-4A4C-9F75-462D4D8D0DA0}" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{92BA3230-CB22-4729-8795-3D32D66B05F3}" /f reg delete HKCU\Software\Mozilla /f reg delete HKCU\Software\MozillaPlugins /f reg delete HKLM\SOFTWARE\Mozilla /f reg delete HKLM\SOFTWARE\mozilla.org /f reg delete HKLM\SOFTWARE\MozillaPlugins /f sc delete SymIMMP netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system, by ukończyć naprawę Winsock. 3. Uruchom ServicesRepair i zresetuj system. 4. Uruchom Codec Tweak Tool i zastosuj funkcję Fixes. 5. Przez Panel sterowania odinstaluj adware: AutocompletePro, Cole2k Media Toolbar, QuickStores-Toolbar 1.1.0, wxDfast, wxDownload Fast 0.6.0, Yahoo! Detect. 6. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 7. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), GMER, Farbar Service Scanner oraz nowy C:\log.txt komendą dir zadaną wcześniej. Dołącz logi utworzone przez TDSSKiller i AdwCleaner. . Odnośnik do komentarza
solo132 Opublikowano 28 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2013 ok-zrobiłem wszystko zgodnie z instrukcją powyżej - tylko nie mogłem znaleźć Yahoo! Detect. Wszystko działa poprawnie. Logi w załączeniu - w przypadku GMER zastosowałem opcję quick scana - jeśli będzie trzeba zrobię normalne skanowanie tylko zajmie to "trochę" dłuższy czas. Czy po ich analizie można powiedzieć, że system jest czysty i został naprawiony? AdwCleanerS1.txt FSS.txt GMER Quick Scan.txt log.txt OTL.Txt TDSSKiller.2.8.18.0_28.06.2013_09.33.16_log.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2013 Zgłoś Udostępnij Opublikowano 29 Czerwca 2013 Wszystko zrobione, ale tu jeszcze nie koniec: - Do skasowania z dysku będą określone obiekty. - Windows Defender został rozlinkowany, ale jego elementy mają zepsute uprawnienia. Poproszę o log ze spisem uprawnień. Usuń z dysku poprzedni plik C:\log.txt. Pobierz SetACL (Administrators: Download the EXE version of SetACL). Z folderu 32 bit skopiuj plik SetACL.exe do katalogu C:\Windows. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpRtMon.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpRtPlug.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpSigDwn.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpSoftEx.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT Z prawokliku na plik Uruchom jako Administrator. Przedstaw wynikowy C:\log.txt. . Odnośnik do komentarza
solo132 Opublikowano 29 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2013 log w załączeniu log.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2013 Zgłoś Udostępnij Opublikowano 29 Czerwca 2013 Kolejne działania: 1. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpRtMon.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpRtPlug.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpSigDwn.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpSoftEx.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpRtMon.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpRtPlug.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpSigDwn.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpSoftEx.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpRtMon.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpRtPlug.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpSigDwn.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpSoftEx.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Windows\System32\%APPDATA%" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Windows\System32\%APPDATA%" -ot file -actn ace -ace "n:Administratorzy;p:full" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku na plik Uruchom jako Administrator. Gdy plik się wykona, skasuj plik C:\log.txt, następnie uruchom z prawokliku jako Administrator plik LISTA.BAT i podaj wynikowy C:\log.txt. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\$NtUninstallKB62280$ C:\Windows\System32\%APPDATA% C:\Users\Matt\AppData\Local\dpqs.exe C:\Users\Matt\AppData\Local\qs64.dll C:\Users\Matt\AppData\Local\qs.dll C:\Users\Matt\AppData\Roaming\QuickScan C:\Users\Matt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defender Pro Quick Scanner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Defender Pro Quick Scanner C:\Program Files\Defender Pro Quick Scanner :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go. . Odnośnik do komentarza
solo132 Opublikowano 30 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2013 Logi w załączeniu. Co mam wykonać dalej? log.txt OTL nowy log.txt Odnośnik do komentarza
picasso Opublikowano 1 Lipca 2013 Zgłoś Udostępnij Opublikowano 1 Lipca 2013 Wszystko zrobione. Przejdź do tej porcji czynności: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj wyliczone poniżej foldery oraz resztę narzędzi/fiksów. C:\Users\Public\Desktop\CC Support C:\TDSSKiller_Quarantine 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób jeszcze skan w Malwarebytes Anti-Malware (wybierz wersję darmową). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
solo132 Opublikowano 2 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2013 wszystko zrobione wg instrukcji, ale Malwarebytes znalazł jeszcze 5 obiektów (wpisy w rejestrze). W załączeniu log - mam usunąć te elementy? MBAM-log-2013-07-02 (10-52-31).txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2013 Zgłoś Udostępnij Opublikowano 2 Lipca 2013 1. Wyniki MBAM: To są już nieczynne odpadki po adware. Usuń za pomocą programu. 2. Prewencyjnie zmień wszystkie hasła logowania w serwisach. 3. Odinstaluj wszystkie stare wersje Adobe i Java, zastąp najnowszymi (o ile potrzebne), zaktualizuj pozostałe wyliczone poniżej programy: KLIK. Wg listy zainstalowanych posiadasz następujące wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17 "{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java 6 Update 2 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka la Firefox/Opera) "Gadu-Gadu" = Gadu-Gadu 7.7 "Opera 11.61.1250" = Opera 11.61 Wyliczam tu też Gadu-Gadu 7.7, ponieważ: program jest stary, nie jest zdolny w pełni obsłużyć własną sieć, oraz słabo zabezpieczony (brak szyfrowania). Jeśli szukasz chudej bezreklamowej alternatywy z dobrą obsługą Gadu, to polecam WTW. Pełny opis komunikatora: KLIK. 4. I rozważ wymianę ESET. Program nienajnowszy i jeszcze scrackowany. To tyle. . Odnośnik do komentarza
solo132 Opublikowano 3 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2013 dziękuję bardzo za pomoc picasso na pewno jakaś dotacja wleci. Bardzo mi pomogłaś, a Twoja wielka pomoc została już rozsławiona w odpowiednich kręgach Co do ostatniego postu - programy na pewno zaktualizuję, nie wiem czy czasami nie będę zmieniał systemu operacyjnego na Windows 7 bądź 8. GG akurat mam, ale nie używam, dlatego taka stara wersja. Natomiast po scrackowanym Nodzie pozostał jedynie program, którego nie mogę wywalić,a sam antywirus jest obecnie w wersji próbnej. I jeszcze jedno dla ostrzeżenia innych - sam wirus pobrał się jako kodek do filmu Oblivion 2013 720p (English) DVDR.AC3 (całość waży 757 MB) - tylko nie mogę znaleźć teraz strony z torrentami skąd był ściągany. W każdym bądź razie była to strona zagraniczna, faktycznie z nieznanego źródła. A sam film jak nie działał, tak nie działa. Jeszcze raz dziękuję i pozdrawiam serdecznie Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Natomiast po scrackowanym Nodzie pozostał jedynie program, którego nie mogę wywalić. Jaki błąd się pokazuje przy deinstalacji "NOD32 v3.0.642 FiX1.2 by TemDono..."? A sam film jak nie działał, tak nie działa. Prawdopodobnie fake. . Odnośnik do komentarza
solo132 Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Przy próbie deinstalacji mam taki komunikat: File " C:\Program Files\ESET\ESET NOD32 Antivirus\unins000.dat" could not be opened. Cannot uninstall. Error 5: Odmowa dostępu. Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Otwórz Notatnik i wklej w nim: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Eset NOD32 v3.0.642 FiX1.2 by TemDono_is1" /f sc delete NOD32FiXTemDono pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Patrz uważnie, czy w oknie nie pojawił się jakiś błąd. . Odnośnik do komentarza
solo132 Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 SUPER-usunęło wszystko dziękuję bardzo Odnośnik do komentarza
Rekomendowane odpowiedzi