xardas313 Opublikowano 24 Stycznia 2014 Zgłoś Udostępnij Opublikowano 24 Stycznia 2014 Witam. Mam problem z wirus Polizja Biuro Służby Kryminalnej Nie jestem pewien czy go usunąłem. Zastosowałem combofix zgodnie z waszymi poradami. Mam loga. Co dalej? Proszę o pomoc. Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2014 Zgłoś Udostępnij Opublikowano 24 Stycznia 2014 Tytuł tematu dostosowałam, tytułem ma być problem zasadniczy. Zacznij od zasad działu: KLIK. Jest tam wyraźnie napisane jakie raporty są tu obowiązkowe (FRST / OTL i GMER) i są podane linki do instrukcji ich tworzenia. Proszę dostarczyć wszystkie wymagane raporty. Użycie ComboFix nie jest zgodne z "naszymi poradami". Na temat używania ComboFix, dlaczego nie należy tego robić na własną rękę: KLIK. I podane wyżej zasady działu wyraźnie mówią, że jeśli użyto narzędzie, należy przedstawić log C:\ComboFix.txt. . Odnośnik do komentarza
xardas313 Opublikowano 24 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2014 Czy oto chodziło? OTL.Txt Extras.Txt Addition.txt FRST.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 25 Stycznia 2014 Zgłoś Udostępnij Opublikowano 25 Stycznia 2014 Do uzupełniania wypowiedzi / poprawiania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Wszystko skleiłam. Dałeś też za dużo logów, miały być OTL i FRST, DDS nie (usunęłam). Wracając do sprawy z infekcją "Polizja Biuro Służby Kryminalnej": w ComboFix nie ma żadnych śladów usuwania czegokolwiek od infekcji, pozostałych logach także brak znaków infekcji. Wnioski: to był wariant infekcji o charakterze "tymczasowym", komunikat na poziomie przeglądarki internetowej, nie trzeba było uruchamiać ComboFix. Stosowałeś także SpyHunter, jest to skaner wątpliwej reputacji. W związku z tym, że nie widzę tu oznak infekcji, tylko drobne działania do wykonania: 1. Usunięcie wpisów pustych i inne korekty (w tym usuwanie niepoprawnie odinstalowanego Ad-aware). Otwórz Notatnik i wklej w nim: ProxyServer: :0 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {1C7E4478-89AC-425E-930B-BA1621C09F19} URL = SearchScopes: HKCU - {5244BBA0-0BB0-4D02-9B73-31B97DA0E5F4} URL = http://websearch.ask.com/redirect?client=ie&tb=ALSV5&o=1665&src=kw&q={searchTerms}&locale=&apn_ptnrs=AU&apn_dtid=YYYYYYYYPL&apn_uid=f88a341d-a47d-4cfc-a160-78c0f8bdb8e9&apn_sauid=37B1C728-4006-4BD1-834C-E24E76049F08& SearchScopes: HKCU - {EDC1EABF-64C5-48AD-8065-1AF5BF5BD1A0} URL = FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml Task: {A439E2B9-4A02-4EB6-9CBF-D7E33756DF37} - System32\Tasks\{F1E0A289-B1FC-4C69-AAF9-A0753A6EA736} => Firefox.exe S3 GDPkIcpt; C:\Windows\system32\drivers\PktIcpt.sys [59768 2012-07-09] (G Data Software AG) S3 Lavasoft Kernexplorer; C:\Program Files (x86)\Lavasoft\Ad-Aware\KernExplorer64.sys [17152 2011-09-07] () R1 SbFw; C:\Windows\System32\drivers\SbFw.sys [253528 2011-04-05] (Sunbelt Software, Inc.) S3 SBFWIMCL; C:\Windows\System32\DRIVERS\sbfwim.sys [84568 2011-02-08] (Sunbelt Software, Inc.) R3 SBFWIMCLMP; C:\Windows\System32\DRIVERS\SBFWIM.sys [84568 2011-02-08] (Sunbelt Software, Inc.) S3 sbhips; C:\Windows\System32\drivers\sbhips.sys [60504 2011-04-05] (Sunbelt Software, Inc.) R1 SbTis; C:\Windows\System32\drivers\sbtis.sys [94296 2011-04-05] (Sunbelt Software, Inc.) S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [x] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [x] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] S1 inspect; system32\DRIVERS\inspect.sys [x] S3 PCDSRVC{D3412D80-CF3B4A27-06020200}_0; \??\c:\program files\my dell\pcdsrvc_x64.pkms [x] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [x] S1 SBRE; \??\C:\Windows\system32\drivers\SBREdrv.sys [x] S3 usbbus; system32\DRIVERS\lgx64bus.sys [x] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [x] S3 USBModem; system32\DRIVERS\lgx64modem.sys [x] U2 wuaserv; C:\Program Files\Enigma Software Group C:\Program Files (x86)\Lavasoft C:\Users\Wiki\AppData\Roaming\Ad-Aware Antivirus C:\Users\Wiki\AppData\Roaming\ArcaBit C:\Users\Wiki\AppData\Roaming\ArcaVirMicroScan C:\Users\Wiki\AppData\Roaming\f-secure C:\Windows\System32\drivers\SbFw.sys C:\Windows\System32\DRIVERS\sbfwim.sys C:\Windows\System32\DRIVERS\SBFWIM.sys C:\Windows\System32\drivers\sbhips.sys C:\Windows\System32\drivers\sbtis.sys C:\Windows\System32\Tasks\{B27A2A36-8081-4C05-835E-46C972A5129F} C:\Windows\System32\Tasks\{35686AED-AFA1-4988-98DB-D4650D8ADC6E} C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP Unlock: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Pozbądź się nadmiaru skanerów. Odinstaluj: Kaspersky Security Scan, Panda ActiveScan 2.0, Skaner on-line mks_vir, Spybot - Search & Destroy. Te dwa ostatnie to starocie. 3. Odinstaluj ComboFix w poprawny sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Wiki\Desktop\ComboFix.exe /uninstall 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
xardas313 Opublikowano 25 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2014 Bardzo dziękuję za pomoc. Dołączam log, o który prosiłaś. Mam jeszcze jedną prośbę. Niewiem od kiedy ale cofnął mi się zegar w kompie o 1 godz. Może masz jakiś pomysł? FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 25 Stycznia 2014 Zgłoś Udostępnij Opublikowano 25 Stycznia 2014 Skrypt FRST pomyślnie wykonany. Poprawki zadam potem, bo teraz już wychodzę z domu. W kwestii: Niewiem od kiedy ale cofnął mi się zegar w kompie o 1 godz. Może masz jakiś pomysł? Zacznij od sprawdzenia ustawień w Windows: - Panel sterowania > Zegar, język i region > Data i godzina. W karcie karta Data i godzina > Zmień strefę czasową > czy jest wybrana pozycja (UTC +01:00) Sarajewo, Skopie, Warszawa, Zagrzeb oraz zaznaczona opcja "Automatycznie dostosuj zegar do zmiany czasu"? W karcie Czas z internetu > Zmień ustawienia > czy jest zaznaczona opcja "Synchronizuj z internetowym serwerem czasu" a ów serwer to time.windows.com? - Start > w polu szukania wpisz services.msc > jaki Typ uruchomienia ma Usługa Czas systemu Windows: Ręczny czy Wyłączony? A jeśli to nie kwestia ustawień Windows, to jest możliwość sprzętowa (bateryjka BIOS siada). . Odnośnik do komentarza
xardas313 Opublikowano 25 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2014 Pomogło. Jeszcze raz serdecznie dziękuję Odnośnik do komentarza
xardas313 Opublikowano 26 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 26 Stycznia 2014 Musiałem przywrócić system z przed combofixa. Wszystkie karty sieciowe w menadżerze urządzeń system opisał, że rejestr jest uszkodzony lub brakuje wpisów. I jeszcze jedno. Mam laptop Dell inspiron N7010. Na klawiaturze są tak zwane klawisze multimedialne. Poprzednio kiedy zgłaśniałem lub rozjaśniałem pojawiało sie na ekranie stosowne powtwierdzenie. Teraz tego nie ma. Proszę o pomoc. Aha- IE przestał działać. Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2014 Zgłoś Udostępnij Opublikowano 29 Stycznia 2014 Musiałem przywrócić system z przed combofixa. Wszystkie karty sieciowe w menadżerze urządzeń system opisał, że rejestr jest uszkodzony lub brakuje wpisów. Efekt budzi skojarzenia z następującymi wydarzeniami, albo albo: - ComboFix coś nabroił w ustawieniach sieci. - Skutek uboczny mojego skryptu do FRST, który usuwał m.in. szczątki niepoprawnie odinstalowanego antywirusa Ad-aware. Byś może te odpadkowe sterowniki (z sygnaturą Sunbelt) były jako filtry na kartach sieciowych i przed ich usunięciem należało sprawdzić komponenty sieciowe. Skoro cofnąłeś system, to niestety wszystko co było dotychczas zrobione wróciło na miejsce. Proponuję: - Cofnąć to Przywracanie systemu, by wrócić do czasu po moich operacjach. - Następnie: Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > po kolei na każde widoczne tam połączenie z prawokliku pobierz Właściwości > w pierwszej karcie na liście komponentów sprawdź czy nie ma czegoś od Sunbelt lub innych programów wtórnych > znalezione podświetl, odinstaluj i zresetuj system. Mam laptop Dell inspiron N7010. Na klawiaturze są tak zwane klawisze multimedialne. Poprzednio kiedy zgłaśniałem lub rozjaśniałem pojawiało sie na ekranie stosowne powtwierdzenie. Teraz tego nie ma. Tu nie wiem o co chodzi i o jakie potwierdzenie chodzi. Nie posiadam Della do porównania. Aha- IE przestał działać. Ale jak to się objawia? . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się