sentek70 Opublikowano 5 Listopada 2013 Zgłoś Udostępnij Opublikowano 5 Listopada 2013 Znajoma zainstalowała sobie Antivirus Security Pro myśląc, iż jest to program antywirusowy. Otrzymałem od niej kompa z prośbą o usunięcie tego śmiecia. Udało mi się włączyć i przywrócić Windowsa do wcześniejszego punktu. Wygląda na to, że dzięki temu dało się wyrzucić niechciane oprogramowanie. Mam jednak prośbę o spojrzenie w logi i sprawdzenie czy coś jeszcze się nie zaplątało na tym kompie. Na laptopie zainstalowany jest: Windows 7 Home Premium (Toshiba) Service Pack 1 64-bit Dziękuję i pozdrawiam. Addition.txt Extras.Txt FRST.txt OTL.Txt gmer.txt Odnośnik do komentarza
jessica Opublikowano 5 Listopada 2013 Zgłoś Udostępnij Opublikowano 5 Listopada 2013 Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) Jeszcze jest infekcja: 1) Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=-Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>plik uruchom (dwuklik i OK). 2) Otwórz Notatnik i wklej w nim: HKCU\...\Run: [Ykniviicf] - C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe [440320 2013-08-22] (Alexander Roshal)C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exeTask: {82413FB8-5B66-4734-9F72-E7C88357AC80} - \BitGuard No Task FileHKLM\...\Run: [] - [x]AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll [97280 2009-07-14] ()AppInit_DLLs-x32: c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll [ ] ()C:\ProgramData\rXgXgVXn_OLDC:\Users\Natalia\AppData\Local\avgchromeC:\Users\Natalia\AppData\Roaming\CasaelC:\Users\Natalia\AppData\Roaming\WyomkC:\Users\Natalia\AppData\Roaming\CiuhC:\Users\Natalia\AppData\Local\Google\Desktop\InstallC:\Program Files (x86)\Google\Desktop\Install Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. 3) Zrób nowe logi z FRST i OTL. 4) Error: (11/04/2013 07:39:40 PM) (Source: Service Control Manager) (User: )Description: Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej usługi: BFE. Ta usługa może nie być zainstalowana. Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). jessi Odnośnik do komentarza
sentek70 Opublikowano 5 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2013 Jeszcze jest infekcja: 1) A jaka? Odnośnik do komentarza
jessica Opublikowano 5 Listopada 2013 Zgłoś Udostępnij Opublikowano 5 Listopada 2013 A jaka? Czy to ważne? Nazwy zresztą nie pamiętam, ale kojarzy mi się jako spółka z infekcją ZeroAcces lub Weelsof. Najważniejsze, że to jest infekcja. Oczywiście wcale nie musisz wykonywać moich zaleceń, możesz czekać na @Picasso. Na pewno się nie obrażę. :) Ale mogłbyś przynajmnie zrobić log z FSS, chciałabym zobaczyć, czy faktycznie usługa BFE (Postawowy Aparat Filtrowania) jest zniszona, np. przez ZeroAcces'a. jessi Odnośnik do komentarza
sentek70 Opublikowano 6 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2013 Moje wczorajsze zapytanie "A jaka?" wynikało z faktu, że w Twoim poście zobaczyłem tylko info, że jest infekcja bez instrukcji co z tym zrobić. Chyba byłem mocno zmęczony Dzisiaj wykonałem Twoje polecenia. W załączeniu aktualne logi. Dzięki. Fixlog.txt Addition.txt FRST.txt OTL.Txt FSS.txt Odnośnik do komentarza
jessica Opublikowano 6 Listopada 2013 Zgłoś Udostępnij Opublikowano 6 Listopada 2013 Z logu FSS wynika, że usługa BFE jest zainstalowana, i nie jest uszkodzona. Zapis erroru pochodzi z 4 listopada, a nie ma z 5 i z dzisiejszego dnia, więc uznaję tę sprawę za przeszłość. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: :OTLO4 - HKCU..\Run: [Ykniviicf] C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe[2013-10-13 10:40:15 | 000,000,000 | ---D | C] -- C:\windows\SysWow64\searchplugins[2013-10-13 10:40:15 | 000,000,000 | ---D | C] -- C:\windows\SysWow64\ExtensionsO16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found:FilesC:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exeC:\Users\Natalia\AppData\Roaming\Ciuh:Reg[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}":Commands[emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowe logi z OTL i FRST (za każdym razem upominam się nowe logi, bo nie wiem, kiedy @Picasso zacznie znów pomagać, a chcę, by od razu miała wgląd do aktualnych logów) Do >SystemLook-64 wklej: :filefindlydac.exe:regfindlydac.exe Naciśnij Look i pokaż raport. jessi Odnośnik do komentarza
sentek70 Opublikowano 6 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2013 Wykonane, pliki zamieszczone 11062013_212834.log.txt OTL.Txt Addition.txt FRST.txt SystemLook.txt Odnośnik do komentarza
jessica Opublikowano 6 Listopada 2013 Zgłoś Udostępnij Opublikowano 6 Listopada 2013 Ja w logach nie widzę już infekcji. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>plik uruchom (dwuklik i OK). C:\Program Files\Windows Defender\pl-PL => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender Nie wiem, dlaczego FRST to pokazuje - w logu FSS nie było żadnych zastrzeżeń do "Windows Defender" Chyba trzeba będzie użyć GrantPerms? Ale to musi być wyjaśnione. Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. jessi Odnośnik do komentarza
sentek70 Opublikowano 6 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2013 Jessi, bardzo dziękuję za pomoc :) Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się