markov Opublikowano 24 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 Komputer dopadł uciążliwy temat, tj. brak możliwości korzystania z sieci wifi, instalowania oprogramowania - próbowałem skorzystać z oprogramowaina Uniblue Registy Booster w celu naprawy rejestru, podobnie jak ręcznie odpalać potrzebne usługi w celu uruchomienia sieci, nadać uprawnienia katalogowi /windows oraz wiele innych, niestety nieskutecznie. Mam nadzieje, że to jakaś niepozorna infekcja, i obejdzie się bez ponownego stawiania systemu. http://wklej.to/ACbps OTL http://wklej.to/YJWBS EXTRAS Pozdrawiam Odnośnik do komentarza
Landuss Opublikowano 24 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 Jest infekcja. Wykonaj poniższe czynności. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1bcf0d07-8cb0-11e1-83c4-001e33551e82&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKLM\..\SearchScopes\{E6D907A5-70B2-48B1-952C-FD51BCF8A4A6}: "URL" = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0DA7B724-71A7-4E82-BEE7-C02643832BD5} IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=058b65ef-25f1-11e2-86d6-001e33551e82 IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=fe49e98600000000000000215c29d691 IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=058b65ef-25f1-11e2-86d6-001e33551e82&q={searchTerms} IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{6DFB5BA4-CC70-4688-BB71-C3A8C2D89FA0}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=84F7207E-7F3D-43F0-87FE-017EECDFFCF5&apn_sauid=EBE36D09-D5FC-4630-8EA5-72B367A8A1E8 IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{DDF7E232-D405-4006-BA71-F9DDE485622A}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=fe49e98600000000000000215c29d691 IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{E6D907A5-70B2-48B1-952C-FD51BCF8A4A6}: "URL" = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0DA7B724-71A7-4E82-BEE7-C02643832BD5} O2 - BHO: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - No CLSID value found. :Files C:\Windows\System32\5fadc08b.exe C:\Windows\System32\sysdm9.dll C:\Windows\tasks\Rpyonn.job C:\Users\Kuba\AppData\Roaming\Babylon :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 / Contextual Tool Extrafind Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj StartSearch Video plug-in / SweetIM for Facebook / vshare plugin. Następnie w zarządzeniu wyszukiwarkami przestaw bieżącą Web Search na Google, po tym Web Search usuń z listy. 3. Uruchom AdwCleaner z opcji Usuń 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
markov Opublikowano 24 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 http://wklej.to/yC2Be Nowy log OTL, dzięki z góry ! Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 Ta infekcja posługuje się Harmonogramem zadań i ma też wpisy w rejestrze, których nie widzi OTL. Poproszę o dodanie raportów z FRST (ma powstać plik Addition). Komputer dopadł uciążliwy temat, tj. brak możliwości korzystania z sieci wifi, instalowania oprogramowania - próbowałem skorzystać z oprogramowaina Uniblue Registy Booster w celu naprawy rejestru, podobnie jak ręcznie odpalać potrzebne usługi w celu uruchomienia sieci, nadać uprawnienia katalogowi /windows oraz wiele innych, niestety nieskutecznie. Te problemy nie powinny być powiązane z widzianą tu infekcją. Ona tylko deaktywuje Centrum zabezpieczeń, Przywracanie systemu i Windows Defender, ale nie inne usługi. Od Uniblue trzymaj się z daleka. Opisz dokładniej o co chodzi z "instalowaniem oprogramowania". . Odnośnik do komentarza
markov Opublikowano 25 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 Problem oprogramowania dotyczył niechcianego uniblue, także tutaj temat się urywa. Nic innego od czasu padnięcia wifi i usług nie było instalowane na nowo. Poniżej skan FRST, Addition: http://wklej.to/LXSp7 FRST: http://wklej.to/EcmvD Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 Proszę nie używaj serwisu wklejto, serwis ma złe kodowanie. Albo wklej.org albo załączniki forum. Problem oprogramowania dotyczył niechcianego uniblue, także tutaj temat się urywa. Czy jest jakiś problem z jego deinstalacją? Błąd 1068, 771, brak wifi. Problem z usługami systemu Windows Powyższe plus: ==================== Event log errors: ========================= Could not start eventlog service, could not read events. Usługa Dziennik zdarzeń systemu Windows jest właśnie uruchamiana. Nie można uruchomić usługi Dziennik zdarzeń systemu Windows. Wystąpił błąd systemu. Wystąpił błąd systemu 1747. Usługa uwierzytelniania jest nieznana. To mi wygląda na uszkodzony Winsock. W skrypcie poniżej załączam komendę resetu. I jak mówię, usuwana tu infekcja nie powinna mieć związku z objawami, to wygląda na całkowicie inną bajkę. I chyba temat przeniosę do działu Windows. I wymagane dodatkowe akcje pod kątem czyszczenia systemu: 1. Otwórz Notatnik i wklej w nim: Task: {7204A373-3F58-4A03-B924-F7226150F035} - System32\Tasks\Rpyonn => C:\Windows\system32\rundll32.exe [2009-07-14] (Microsoft Corporation) FF Extension: z - C:\Program Files\Mozilla Firefox\extensions\{28214142-d9cc-eb6d-1bdc-f69319b916fc} CHR HKLM\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\Kuba\AppData\Local\Temp\crx4006.tmp Toolbar: HKCU -No Name - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No File HKU\Ola\...\RunOnce: [FlashPlayerUpdate] - C:\Windows\system32\Macromed\Flash\FlashUtil11e_Plugin.exe -update plugin [x] C:\Users\Kuba\AppData\Local\Temp\Quarantine.exe CMD: netsh winsock reset Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Komenda netsh winsock reset wymaga restartu. 3. Przeładuj cache wtyczek Google Chrome: Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 4. Zrób nowy skan FRST (zaznacz ponownie tworzenie Addition) oraz Farbar Service Scanner. Dołącz fixlog.txt. Wypowiedz się czy błędy podstawowe nadal mają miejsce. . Odnośnik do komentarza
markov Opublikowano 25 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 Nie było problemu z odinstalowaniem oprogramowania uniblue, po nowym skrypcie powróciła możliwość korzystania z sieci bezprzewodowej. W załączniku wszystkie potrzebne skany. Addition.txt FRST.txt FSS.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 Wszystko zrobione. Dziennik zdarzeń też ożył. 1. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Następnie dwuklik w Windows Defender i ustaw Automatyczny. 2. Przez SHIFT+DEL skasuj foldery: 2013-08-25 02:21 - 2013-08-25 02:21 - 00000000 ____D C:\FRST 2013-08-24 18:53 - 2013-08-24 18:54 - 00000000 ____D C:\AdwCleaner 2013-08-24 18:53 - 2013-08-24 18:53 - 00000000 ____D C:\Users\Kuba\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX (Version: 11.7.700.224) Adobe Flash Player 11 Plugin (Version: 11.7.700.224) Adobe Reader X (10.1.7) - Polish (Version: 10.1.7) Adobe Shockwave Player 11.6 (Version: 11.6.3.633) FoxTab FLV Player ----> ten odinstaluj Google Chrome (Version: 28.0.1500.95) Java 6 Update 30 (Version: 6.0.300) Mozilla Firefox 22.0 (x86 pl) (Version: 22.0) Skype™ 5.10 (Version: 5.10.116) . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się