totolotek Opublikowano 12 Marca 2014 Zgłoś Udostępnij Opublikowano 12 Marca 2014 Od wczoraj nie uruchamiają się niektóre strony na wszystkich przeglądarkach.Zamieszczam Logi z programu OTL Extras.Txt OTL.Txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 12 Marca 2014 Zgłoś Udostępnij Opublikowano 12 Marca 2014 W systemie jest infekcja, uruchamiany w starcie skrypt data.js zlokalizowany w sfałszowanym katalogu "Lenovo", ale nie jestem pewna czy ma to związek z otwieraniem stron.Przeprowadź następujące działania:1. Otwórz Notatnik i wklej w nim:HKLM-x32\...\Run: [TaskMngr] - wscript.exe "C:\Program Files (x86)\Common Files\Lenovo\data.js"HKLM-x32\...\Run: [] - [X]HKLM-x32\...\Run: [e-Kiosk] - "C:\Program Files (x86)\e-Kiosk Reader\eGazetaST.exe"HKU\S-1-5-21-2167699055-471404779-3156854112-1001\...\Run: [Reasonable NoClone] - "C:\Program Files (x86)\Reasonable NoClone 2013\NoClone.exe" null /startupFF NetworkProxy: "no_proxies_on", ""FF NetworkProxy: "type", 0FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.fdf - C:\Program Files (x86)\Foxit Software\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll No FileC:\Program Files (x86)\Common Files\LenovoC:\Program Files (x86)\MobogenieC:\Users\Nikodem\AppData\Local\SwvUpdaterC:\Users\Nikodem\AppData\Roaming\OpenCandyCMD: sc config "PLAY ONLINE. RunOuc" start= demandReg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Raport notuje brak systemowego pliku HOSTS: Hosts: Hosts file not detected in the default directory Włącz pokazywanie rozszerzeń: Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:# 127.0.0.1 localhost# ::1 localhostZ menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzeniaPlik wstaw w golderze C:\Windows\system32\drivers\etc.3. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z katalogu C:\AdwCleaner (był używany).. Odnośnik do komentarza
totolotek Opublikowano 13 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2014 Zrobiłem wszystko według podanej instrukcji logi z AdwCleaner zamieściłem wszystkie jakie tam były. Z tym katalogiem Lenovo to wiedziałem że coś jest nie tak, po uruchomieniu komputera jakiś tam komunikat wyskakiwał o braku pliku. Ale już nie wyskakuje . Zerknij może czy już wszystko jest ok. FRST.txt Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 13 Marca 2014 Zgłoś Udostępnij Opublikowano 13 Marca 2014 Zostawiam tylko te logi AdwCleaner, które pokazują co było usuwane. W międzyczasie skrzyżowałeś zadania i odinstalowałeś PLAY ONLINE, a w skrypcie była rekonfiguracja usługi aktualizatora tego softu, stąd skrypt tego nie przetworzył (usługi już nie było). Poza tą drobnostką reszta wykonana. Czy są jakieś zmiany w otwieraniu stron? I skoro PLAY ONLINE wyleciał, to usuń jego szczątki. Otwórz Notatnik i wklej w nim: S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X] C:\Program Files (x86)\PLAY ONLINE C:\ProgramData\PLAY ONLINE C:\ProgramData\DatacardService C:\Windows\system32\WdfCoInstaller01007.dll C:\Windows\system32\Drivers\WdfCoInstaller01007.dll C:\Windows\system32\Drivers\Msft_Kernel_ew_jucdcacm_01007.Wdf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
totolotek Opublikowano 13 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2014 Przedstawiam fixlog który zrobiłem. Tak strony lepiej już chodzą i się otwierają prócz jednej która jest zainfekowana. Będę omijał ją szerokim łukiem. To chyba wszystko. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Marca 2014 Zgłoś Udostępnij Opublikowano 13 Marca 2014 Kończymy: 1. Zastosuj TFC - Temp Cleaner. 2. Usuń używane narzędzia via DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
totolotek Opublikowano 13 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2014 Wszystko zrobione log DelFix zamieszczam. DelFix.txt Odnośnik do komentarza
Rekomendowane odpowiedzi