kibolkks Opublikowano 1 Lutego 2014 Zgłoś Udostępnij Opublikowano 1 Lutego 2014 Mam ogromną prośbę o pomoc w usunięciu tego dziadostwa bfgminer.exe. Próbowałem ComboFix ale po uruchomieniu ponownie komputera wirus znów był aktywny w procesach. Poniżej przesyłam logi z programów. FRST.txt Addition.txt ComboFix.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Hotex Opublikowano 2 Lutego 2014 Zgłoś Udostępnij Opublikowano 2 Lutego 2014 Poczytaj: https://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/ Chyba wiedziałeś co robisz, jeśli użyłeś ComboFixa? Jeśli nie, to pogorszyłeś sprawę. Odnośnik do komentarza
muzyk75 Opublikowano 4 Lutego 2014 Zgłoś Udostępnij Opublikowano 4 Lutego 2014 Problemem jest proces kopalni bitcoin. Poprzez Panel sterowania-->Dodaj / usuń programy - odinstaluj: vShare.tv plugin 1.3 i starą wersję Java 6 Update 24 Otwórz notatnik i wklej: Task: {D64769F2-8FE8-43AE-9096-03083A1F7B21} - \Program aktualizacji online firmy InstallShield Software. No Task FileHKU\S-1-5-21-3814756808-2815619750-2659763186-1000\...\Run: [minerd] - C:\Users\Damian\AppData\Roaming\minerd\nircmd.exe [44032 2013-08-11] (NirSoft)SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =SearchScopes: HKCU - {043C5167-00BB-4324-AF7E-62013FAEDACF} URL = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dspSearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&src=sp&cf=56202236-f75e-11e0-ba8f-00242cc7b1bc&q={searchTerms}SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4EAF000000000007&affID=121564&tsp=4963SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=1F678C85-2F83-4151-A73B-BD3A0E65147B&apn_sauid=D10F27C5-7124-4EEC-9F66-56E571CAA75CBHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No FileFF user.js: detected! => C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\zq7o3gyl.default\user.jsFF DefaultSearchEngine: Search the webFF SearchEngineOrder.1: Search the webFF SelectedSearchEngine: Search the webFF Keyword.URL: hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=FF SearchPlugin: C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\zq7o3gyl.default\searchplugins\babylon.xmlFF SearchPlugin: C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\zq7o3gyl.default\searchplugins\startsear.xmlFF SearchPlugin: C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\zq7o3gyl.default\searchplugins\web-search.xmlCHR HKLM\...\Chrome\Extension: [bildoibdboopgomcbiplincneeicgipj] - C:\Program Files\StartSearch plugin\startsplg.crx [2013-06-15]CHR HKLM\...\Chrome\Extension: [edcbaedcbaedcbaedcbaedcbaedcbajk] - C:\Program Files\vShare.tv plugin\vshareplg.crx [2011-08-31]CHR HKLM\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files\vShare.tv plugin\vshareplg.crx [2011-08-31]CHR HKLM\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files\StartSearch plugin\vshareplg.crx [2011-08-31]S3 catchme; \??\C:\Users\Damian\AppData\Local\Temp\catchme.sys [x]S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [x]S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x]S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x]S3 emusba10; system32\DRIVERS\emusba10.sys [x]C:\QooboxCMD: netsh winsock reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera. Pobierz ADW-Cleaner: https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/ . Po uruchomieniu kliknij "szukaj" , po zakończeniu skanu "usuń". Reset komputera. Pobierz: TFC Temp File Cleaner by Oldtimer: https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/ Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych. Zaktualizuj Adobe Reader do wersji 11 ( pobierz instalator AR 11 ), Adobe Flash Player do wersji 12 Firefox-->Dodatki - odinstaluj: Virtus Search Opt-in, MakeItLive, toolplugin, Easy YouTube Video Downloader Firefox reset wtyczek: kliknij pomarańczowy napis "Firefox"-->"Pomoc"-->"Informacje dla pomocy technicznej'-->"Resetuj program Firefox" Chrome-->Rozszerzenia - odinstaluj: StartSearch Video plug-in Google Chrome: zresetuj wtyczeki. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Usuń wtyczki: vshare plugin, LiveVDO plugin Załącz powstały Fixlog i nowe logi z FRST i Adition Odnośnik do komentarza
kibolkks Opublikowano 4 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2014 Bardzo dziękuję użytkownikowi @muzyk75 za odzew i pomoc. Generalnie wykonałem wszystko według instrukcji jednak w Firefoxie nie znalazłem takich rozszerzeń Virtus Search Opt-in, MakeItLive, toolplugin oraz w Chrome StartSearch Video plug-in, vshare plugin, LiveVDO plugin. Załączam logi. Przy okazji chciałbym zapytać o ochronę komputera. Obecnie używam darmowego programu Avira + Comodo Firewall. W pewnym serwisie aukcyjnym można tanio kupić klucz do ESET NOD 32. Może ten będzie lepszy albo sam firewall ? Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
Hotex Opublikowano 4 Lutego 2014 Zgłoś Udostępnij Opublikowano 4 Lutego 2014 Wybierz program, który będzie najlepiej spełniał Twoje oczekiwania. Jeśli masz problem z wyborem, poradź się kogoś, kto na co dzień zajmuje się antywirusami. Jeśli nie masz kogoś takiego, musisz sam zadecydować. Ja mogę tylko podpowiedzieć, że wybrałbym GData, Nortonowi nie ufam, NOD32 jest dla mnie coś podejrzany - nie wiem czemu ale nie mam do niego zaufania; Avira może być, AVG też bym polecił, MSE wybrałbym w ostateczności; Avasta w ogóle nie biorę pod uwagę-też nie mam do niego zaufania. To samo się tyczy firewalla, albo bym kogoś zapytał, kto się zna, albo sam wybrał. Co do firewalla, po pierwsze: czy systemowy firewall nie spełnia twoich wymagań? Po drugie: Comodo, nie wiem, może kiedyś bym wziął. Na moją uwagę zasługują: Sygate Personal Firewal, PC Tools Firewall Plus. Odnośnik do komentarza
muzyk75 Opublikowano 5 Lutego 2014 Zgłoś Udostępnij Opublikowano 5 Lutego 2014 Używaleś Combofix, do poczytania o skutkach https://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/ ComboFix odinstaluj w prawidłowy sposób, Start > tam gdzie jest napis "Rozpocznij wyszukiwanie"> wklej: C:\ComboFix /uninstall Otwórz notatnik i wklej: C:\ProgramData\McAfee C:\Program Files\AskPartnerNetwork C:\ProgramData\AskPartnerNetwork Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Obecnie używam darmowego programu Avira + Comodo Firewall. Może zacznij od wyszukania w internecie instrukcji jak dobrze skonfigurować firewall Comodo. Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 muzyk75 1. Uwagi na temat pierwszego zestawu instrukcji: - O Firefox już Ci mówiłam gdzie indziej: reset Firefox podważa zasadność usuwania wpisów preferencji + user.js skryptami + ręczną deinstalację dodatków strony użytkownika. Reset Firefox to wszystko likwiduje (nowy profil jest generowany). To czego właśnie reset nie likwiduje to wtyczek... - Rozszerzenia vs wtyczki Google Chrome: podałeś dokładnie na odwrót typy. To StartSearch Video plug-in było wtyczką a nie rozszerzeniem i w związku z tym nie można tego było tam odinstalować (wtyczki nie dopuszczają takiej akcji). - Nie zadawaj bez potrzeby resetu Winsock. Przecież tą komendą usunąłeś mu wszystkie rejestracje Avira w Winsock zdejmując ochronę Web. 2. Uwagi na temat drugiego zestawu instrukcji: - Niepoprawna komenda deinstalacji ComboFix, skierowanie na wyekstraktowany folder C:\ComboFix. Komenda musi kierować na główny plik wykonywalny, a tym był wg raportu ComboFix: "Uruchomiony z: E:\ComboFix.exe" - Nie usuwaj skryptem FRST folderów "AskPartnerNetwork" bez poprawnej deinstalacji paska Avira, który jest w pełni zainstalowany (zrobisz masę uszkodzonych wpisów, uniemożliwisz poprawną deinstalację): ==================== Installed Programs ====================== Avira SearchFree Toolbar (Version: 12.10.0.2951 - APN, LLC) BHO: Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport.dll (APN LLC.) Toolbar: HKLM - Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport.dll (APN LLC.) CHR Extension: (Avira SearchFree Toolbar plus Web Protection) - C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcoohmdcpejoeggdnihdfhohjgdbllgm [2014-02-02] CHR HKLM\...\Chrome\Extension: [pcoohmdcpejoeggdnihdfhohjgdbllgm] - C:\ProgramData\AskPartnerNetwork\Toolbar\AVIRA-V7C\CRX\ToolbarCR.crx [2013-12-20] R2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-12-20] (APN LLC.) kibolkks Nigdzie nie widzę, by został usunięty folder "minerd" Bitcoin minera, załączono tylko wpis rejestru. Poza tym, tu są tak jakby nowe elementy adware Ask (foldery AskPartnerNetwork + VNT) sugerujące pochodną instalacji CPUID, tylko że nie można tego ruszyć bez deinstalacji komponentu Avira, bo z folderów Ask korzysta Avira. 2014-02-02 13:05 - 2014-02-02 13:05 - 00000000 ___DC () C:\Program Files\VNT 2014-02-02 13:05 - 2014-02-02 13:05 - 00000000 ___DC () C:\Program Files\AskPartnerNetwork 2014-02-02 13:05 - 2014-02-02 13:05 - 00000000 ____D () C:\Users\Damian\AppData\Local\VNT 2014-02-02 13:05 - 2014-02-02 13:05 - 00000000 ____D () C:\ProgramData\AskPartnerNetwork 2014-02-02 12:55 - 2014-02-02 12:55 - 00001087 _____ () C:\Users\Public\Desktop\CPUID HWMonitor.lnk 2014-02-02 12:55 - 2014-02-02 12:55 - 00000000 ___DC () C:\Program Files\CPUID Do przeprowadzenia następujące akcje poprawkowe: 1. W Google Chrome: - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres sponsora Yahoo (wprowadzony przez COMODO). - Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną 2. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Damian\AppData\Roaming\rmi C:\Users\Damian\AppData\Roaming\minerd C:\ProgramData\McAfee SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File FF Plugin: @pages.tvunetworks.com/WebPlayer - E:\Programy\TVUPlayer\npTVUAx.dll No File FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File S2 matlabserver; E:\Matlab 7.1+keygen\webserver\bin\win32\matlabserver.exe [x] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Dostarcz także zaległe utworzone przez AdwCleaner logi (są w folderze C:\AdwCleaner), gdyż musi być sprawdzone co i skąd usuwał. 3. Zakładając, że ComboFix nadal jest na dysku E, poprawna komenda deinstalacji to: E:\ComboFix.exe /uninstall 4. W związku z tym, że pierwszy skrypt znokautował osłonę Web Avira i tak tę funkcję trzeba przeinstalować zakładając, że ma być używana. Z tym że ja mam poważne zastrzeżenia do Avira. Ta osłona Web jest gwarantowana poprzez zgodę na instalację omawianego wyżej adware Ask (KLIK). To adware jest u Ciebie w systemie pod "zmanipulowaną" nazwą Avira SearchFree Toolbar. Jego deinstalacja jest równa deinstalacji funkcji Web. Avira może być, AVG też bym polecił, MSE wybrałbym w ostateczności; Avasta w ogóle nie biorę pod uwagę-też nie mam do niego zaufania. Mam przeciwne zdanie. Avira budzi mój niesmak i tego antywirusa tu po prostu nie polecam. Za darmo nie taki oszałamiający zakres funkcji i jeszcze wymuszanie sponsora, by ... nabyć funkcję zabezpieczającą (przecież to sprzeczność zabezpieczeń). I to jakiego, starego manipulanta Ask (którego wielu bagatelizuje): IAC Toolbars and Traffic Arbitrage in 2013 Ten zdawałoby się "drobny" fakt posłużenia się sponsorem Ask powoduje mój ogromny spadek zaufania do tego antywirusa, marka się skompromitowała i tyle (zresztą Symantec też się tym skaził). Kto to widział, by antywirus wymuszał wyszukiwarkę tego rodzaju. I nie wiem co Wy macie z tym "brakiem zaufania do Avast". Dobry antywirus, dużo funkcji (więcej niż w Avirze). A MSSE to przecież podstawowa ochrona (choć lepsza taka niż żadna). . Odnośnik do komentarza
kibolkks Opublikowano 8 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2014 Naprawdę bardzo dziękuje wszystkim za pomoc. Avira juz usunięta, teraz zastanowię się nad innym programem antyvirusowym. Poniżej przedstawiam logi. To już chyba wszystko ? Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2014 Zgłoś Udostępnij Opublikowano 8 Lutego 2014 Skrypt pomyślnie wykonany, a katalog minerd od Bitcoin Minera był na dysku. Ale przy wpisie nie znalezienia katalogu McAfee naszły mnie wątpliwości czy przypadkiem nie uruchomiłeś jednak ostatniego skryptu podanego przez muzyk75. On nie miał być uruchamiany, co wyjaśniłam dostatecznie jasno w poprzednim poście (konsekwencja to zdewastowana instalacja paska Avira). I w związku z tym proszę o wykonanie nowego skanu FRST prezentującego aktualną sytuację. . Odnośnik do komentarza
kibolkks Opublikowano 8 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2014 @ picasso Wszystko było wykonane według Twojej ostatniej instrukcji + 2 stare logi AdwCleaner. FRST.txt Odnośnik do komentarza
Hotex Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Picasso Avast!, to antywirus, który nie zdobył mojego zaufania a tego względu, że nie jest tak do końca darmowy, poza tym to jest taki rupieć, że złe pliki uważa za dobre, a dobre uważa za złe. Można to tak ująć jednym zdaniem. Czytałem wiele informacji na wielu forach i taki wniosek mi się nasunął, więc nie wziąłem tego z powietrza. Poza tym usuwając obojętnie jakie pliki Avastem, można przez pomyłkę wyrzucić pliki które zapewniają stabilne działanie Win'a. Także Avast odpada. Poza tym przeglądając statystyki antywirusów, można zauważyć, że Avast nie jest na pierwszym miejscu w skuteczności klasyfikowania zagrożeń. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się