gr00by Opublikowano 11 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 11 Sierpnia 2013 Logi w zalaczniku. Dziekuje! Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Usuwanie infekcji nie było prawidłowe. Uległa uszkodzeniu usługa Instrumentacji Windows. Poza tym, działa też adware. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Files C:\WINDOWS\tasks\EPUpdater.job C:\Documents and Settings\Wesoły Użytkownik\Menu Start\Programy\Autostart\rfoqfjrivyhvxrtgsab.lnk C:\Documents and Settings\All Users\Dane aplikacji\vmkeforelxesrrg C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\Wesoły Użytkownik\Dane aplikacji\BabSolution C:\Documents and Settings\Wesoły Użytkownik\Dane aplikacji\Babylon C:\Documents and Settings\Wesoły Użytkownik\Dane aplikacji\File Scout C:\Documents and Settings\Wesoły Użytkownik\Dane aplikacji\wincorebsband C:\Program Files\Mozilla Firefox :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=329&systemid=2&sr=0&q={searchTerms} O2 - BHO: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll File not found O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll File not found O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\BearShare Applications\MediaBar\Datamngr\datamngrUI.exe (MusicLab, LLC) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.) O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\261519~1.190\{c16c1~1\browse~1.dll) - c:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () SRV - [2013-07-26 12:11:20 | 002,847,696 | ---- | M] () [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe -- (BrowserProtect) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Z poziomu Trybu nomalnego odinstaluj adware: - Przez Dodaj/Usuń: BrowserProtect, Delta toolbar, Delta Chrome Toolbar, Lollipop, Lyrmix oraz Bearshare. - W Google Chrome: w Rozszerzeniach odinstaluj wszystko czego nie znasz. Ponadto, wejdź do zarządzania wyszukiwarkami i z listy usuń śmieci (o ile będą). 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
gr00by Opublikowano 24 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 No wiec sprawa ma sie nastepujaco: 1. Skrypt wykonuje sie do tego miejsca: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme). Potem nastepuje zawieszenie wszystkiego i pomaga restart NB. Wykonalem skrypt bez tej linii - powstal jeden log. System uruchomil sie w normalnym trybie. Potem wykonalem sekcje :Commands - powstal drugi log. Logi zalaczone, poprzedzone znacznikiem daty i godziny. 2. Bearshare nie odinstalowalem - jest uzywany podobno... 3. AdwCleaner jest w nowej wersji. Kliknalem najpierw Scan w potem Clean - powstaly dwa logi + log kwarantanny - zalaczam. AdwCleanerR0.txt AdwCleanerS0.txt OTL.Txt Quarantine.txt 08242013_163604.txt 08242013_164446.txt Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 Wszystko zrobione. 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{36222938-DF9A-45AC-9B88-97C82726FC6B}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem pójdzie bez restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób jeszcze skan w Malwarebytes Anti-Malware i przedstaw wyniki (o ile coś zostanie wykryte). . Odnośnik do komentarza
gr00by Opublikowano 25 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 MBAM cos znalazl - zalacznik. MBAM-log-2013-08-25 (11-03-56).txt Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 Czy na pewno wyczyściłeś foldery Przywracania systemu przed skanem MBAM? MBAM w 99% wykrył repliki adware w System Volume Information (katalog Przywracania systemu). A ten ostatni wynik to chyba fałszywy alarm. . Odnośnik do komentarza
gr00by Opublikowano 25 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 O zesz, faktycznie zapomnialem o tym - przepraszam :-| Juz sie robi skan po wyczyszczeniu przywracania systemu. Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 Na koniec aktualizacje, usuń wszystkie stare wersje Adobe + Java i zastąp najnowszymi: KLIK. Log pokazuje zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) . Odnośnik do komentarza
gr00by Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 MBAM juz nic nie pokazuje, software zaktualizowany. Serdecznie dziekuje! Temat do zamkniecia. Odnośnik do komentarza
Rekomendowane odpowiedzi