cooboos Opublikowano 14 Marca 2014 Zgłoś Udostępnij Opublikowano 14 Marca 2014 Witam, prawdopodobnie z punktu ksero przyniosłem na pendrivie wirusa home.vbe, którego działanie polega na tym, że zamienia foldery na skróty, podłączenie zainfekowanego nośnika do komputera powoduje potem infekowanie każdego kolejnego pendrive'a podłączanego do tego samego komputera. Dane zawarte na pendrivie miałem także zgromadzone w innym miejscu, więc próbowałem go sformatować, ale to nic nie zmieniło - tylko to, że wirus jest widoczny w postaci pliku home.vbe.Zanim zorientowałem się, że problem jest aż tak poważny, podłączyłem do komputera również programator USB ASP i programowałem mikrokontroler Atmega32, przepraszam, jeśli to głupie pytanie, wiem, że to nie jest wymienny nośnik pamięci, ale czy istnieje ryzyko, że infekcja zapisała się również gdzieś w pamięci mikrokontrolera?Gdyby miało się to okazać istotne przy analizie raportu, to dodam, że poprzedniej próbie wykonania loga za pomocą GMER-a zakończyło się to niebieskim ekranem śmierci, prawdopodobnie przez to, że zapomniałem o tym, że jednak mam zainstalowanego Daemon Tools-a.Załączam wymagane logi i będę wdzięczny za pomoc.Pozdrawiam. Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... GMER.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Marca 2014 Zgłoś Udostępnij Opublikowano 15 Marca 2014 cooboos, dodaj jeszcze raport USBFix z opcji Listing zrobiony przy podpiętym pendrive. . Odnośnik do komentarza
cooboos Opublikowano 15 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2014 W międzyczasie udało mi się rozwiązać problem, korzystałem z tej instrukcji: http://cocodrilabs.wordpress.com/2012/04/16/virus-my-files-turned-into-shortcuts-solved/Przepraszam za kłopot, temat do zamknięcia. Odnośnik do komentarza
picasso Opublikowano 15 Marca 2014 Zgłoś Udostępnij Opublikowano 15 Marca 2014 cooboos, w związku z tym, że podjąłeś działania na własną rękę, musi być sprawdzone co tak naprawdę wykonano, czyli nowe logi z FRST oraz log USBFix z opcji Listing przy podpiętym urządzeniu. . Odnośnik do komentarza
cooboos Opublikowano 15 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2014 Faktycznie, okazało się, że to nie było jedyne miejsce, w którym się zagnieździł. Dołączam log z USBFix.EDIT: Zapomniałem o FRST, za chwilę będą. UsbFix_Report.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Marca 2014 Zgłoś Udostępnij Opublikowano 15 Marca 2014 Podany log USBFix jest ze złej opcji, czyli Research, a nie Listing. Wg moich podejrzeń infekcja nie została usunięta, w starcie nadal uruchamia się robak skryptowy. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe () HKLM-x32\...\Runonce: [] - [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 SearchScopes: HKCU - {06042CED-CF63-498E-9B78-94DA126BF5BA} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=5E4C8EB2-5A46-4A09-ABDA-815B8F0E19AA&apn_sauid=78C8B3AD-9514-4E4A-B0A0-9DC773E7924E BHO-x32: Winamp Toolbar Loader - {4accc990-3dc7-4456-a734-5cb4b610a7f5} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File Toolbar: HKLM-x32 - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File Toolbar: HKCU - No Name - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @adobe.com/FlashPlayer - C:\windows\system32\Macromed\Flash\NPSWF32.dll No File FF Plugin-x32: @adobe.com/ShockwavePlayer - C:\windows\system32\Adobe\Director\np32dsw_1209149.dll No File FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird Task: {500E1D44-FAD7-4F79-A2E5-2B51561CA286} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {88277488-3E8A-40B9-BD81-B6C05DECD0AE} - System32\Tasks\{C0895016-4D2F-4A79-BABB-C6B35A3528F2} => C:\Users\Kuba\Desktop\dsj210\DSJ.EXE Task: {A2EB9C28-F202-4565-B106-E9EFE09E3A72} - System32\Tasks\{569AD91A-3351-4DC0-AE96-DBE6B5D14208} => C:\Users\Kuba\Pictures\A\FIFAWC2002DemoEnglish.exe AlternateDataStreams: C:\Windows:64C1E9E914948AE1 Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware FindRight. Wpis jest szczątkowy, ale Windows powinien zapytać czy usuwać pusty wpis. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowe logi: FRST (bez Addition i Shortcut) + USBFix z opcji Listing przy podpiętych urządzeniach. Dołącz plik fixlog.txt. . Odnośnik do komentarza
cooboos Opublikowano 17 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2014 Zrobione:Miałem problem z dodaniem załącznika z logiem z UsbFix, więc skopiowałem zawartość do notatnika i zapisałem w innej lokalizacji. FRST.txtPobieranie informacji ... UsbFix Listing 1 KUBA-KOMPUTER.txtPobieranie informacji ... Odnośnik do komentarza
cooboos Opublikowano 28 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2014 Czy brakuje jeszcze jakiegoś loga? Coś jest nie tak i powinienem jeszcze dodać? Odnośnik do komentarza
picasso Opublikowano 5 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 Tak, brakuje pliku fixlog.txt z wynikami przetwarzania skryptu. Nie uruchamiaj skryptu ponownie, log już jest na dysku. Gdy go sprawdzę, zadam czynności końcowe. Jeśli chodzi o log USBFix: pendrive podmontowany jako G jest wykryty jako pusty, więc tu nie ma nic do roboty. . Odnośnik do komentarza
cooboos Opublikowano 13 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2014 Ok, dołączam fixlog.txt: Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2014 Na zakończenie: 1. Odinstaluj USBFix. Ręcznie skasuj pobrane narzędzia z folderu C:\Users\Kuba\Pliki instalacyjne. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK 3. Wg starego raportu Addition te programy były do aktualizacji: ==================== Installed Programs ====================== Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.42.34 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) -----> wtyczka dla FF Gadu-Gadu 10 (HKLM-x32\...\Gadu-Gadu 10) (Version: - GG Network S.A.) Google Chrome (HKCU\...\Google Chrome) (Version: 33.0.1750.146 - Google Inc.) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.510 - Oracle) Microsoft Office Starter 2010 - Polski (HKLM-x32\...\{90140011-0066-0415-0000-0000000FF1CE}) (Version: 14.0.4763.1000 - Microsoft Corporation) Mozilla Firefox 14.0.1 (x86 en-US) (HKLM-x32\...\Mozilla Firefox 14.0.1 (x86 en-US)) (Version: 14.0.1 - Mozilla) OpenOffice.org 3.4.1 (HKLM-x32\...\{18192D3F-5537-4560-AD89-D695F72AF91D}) (Version: 3.41.9593 - Apache Software Foundation) Trochę czasu upłynęło, więc porównaj co się zmieniło. A zamiast przeterminowanego potwora Gadu-Gadu 10 albo najnowsze GG (jest nieco lepsze), albo lifting WTW: KLIK. . Odnośnik do komentarza
cooboos Opublikowano 14 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2014 Wszystko zrobione, zgodnie z instrukcjami pod linkiem dołączam loga z DelFix. Dziękuję bardzo za pomoc, mam tylko jeszcze jeden problem, kiedy powstał ten problem zanim zorientowałem się, że za zamienianie folderów na skróty na tym pendrivie jest odpowiedzialny wirus podłączyłem pendriva do innego komputera u mnie w domu. Oczywiście nie robiłem nic z rzeczy, które tutaj zostały podane (zdaję sobie sprawę z tego, że te skrypty są unikatowe), wykonałem tylko kroki takie same jak w podanym wcześniej linku (http://cocodrilabs.w...ortcuts-solved/) co prawdopodobnie tak samo jak tutaj połowicznie rozwiązało problem. Czy mógłbym liczyć na pomoc również przy tej sprawie? I ewentualnie czy logi z drugiego komputera mogę wrzucić tutaj, czy założyć w tym celu nowy temat? Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2014 Podaj pełny zestaw logów z tego drugiego komputera oraz USBFix z opcji Listing przy podpiętym urądzeniu. Odnośnik do komentarza
cooboos Opublikowano 2 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2014 Przepraszam za opóźnienie, załączam wymagane logi. Dzisiaj McAffee wykrył obecność wirusa home.vbe. Ponadto wcześniej pojawił się drugi, odrębny problem. Po próbie obejrzenia transmisji telewizyjnej online przez stream zainstalował się dodatkowy program (FreeHD Sport TV), który dodał nakładkę na przeglądarkę - qone8. Spowodowało to, że jako strona startowa i domyślna wyszukiwarka ustawiła się qone8. Po zmianie strony startowej i ponownym uruchomieniu komputera problem pojawia się ponownie. Z tego co udało mi się przeczytać, qone8 to wyszukiwarka, która podaje przekłamane informacje celem zwiększenia liczby wyświetleń na wybranych stronach. Usunięcie programu FreeHD Sport TV przez panel sterowania było niemożliwe, program został usunięty ręcznie, ponadto z rejestru usunięto wpis "path" odnaleziony po wpisaniu nazwy programu w przeszukiwaniu rejestru. Odinstalowanie i ponowne zainstalowanie przeglądarki Chrome nie pomogło, ponadto problem pojawia się we wszystkich przeglądarkach zainstalowanych na komputerze. Niedługo po wygenerowaniu wszystkich logów pojawił się błękitny ekran śmierci (sprawdziłem wcześniej, nie ma zainstalowanych żadnych programów emulujących napędy) i po restarcie komputer dosyć długo się uruchamiał. Wydłużenie czasu uruchamiania zauważyłem też na komputerze, na którym była dokonywana poprzednia naprawa, czy nie może być to efektem działania programów generujących logi?Pozdrawiam. Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... GMER.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Shortcut.txtPobieranie informacji ... UsbFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 2 Maja 2014 Zgłoś Udostępnij Opublikowano 2 Maja 2014 Cytat Dzisiaj McAffee wykrył obecność wirusa home.vbe. W raportach brak śladów tej infekcji, wnioskuję więc, iż McAfee sobie poradził. Cytat Po próbie obejrzenia transmisji telewizyjnej online przez stream zainstalował się dodatkowy program (FreeHD Sport TV), który dodał nakładkę na przeglądarkę - qone8. Spowodowało to, że jako strona startowa i domyślna wyszukiwarka ustawiła się qone8. Po zmianie strony startowej i ponownym uruchomieniu komputera problem pojawia się ponownie. Z tego co udało mi się przeczytać, qone8 to wyszukiwarka, która podaje przekłamane informacje celem zwiększenia liczby wyświetleń na wybranych stronach. Usunięcie programu FreeHD Sport TV przez panel sterowania było niemożliwe, program został usunięty ręcznie, ponadto z rejestru usunięto wpis "path" odnaleziony po wpisaniu nazwy programu w przeszukiwaniu rejestru. Odinstalowanie i ponowne zainstalowanie przeglądarki Chrome nie pomogło, ponadto problem pojawia się we wszystkich przeglądarkach zainstalowanych na komputerze. Problem z adware nadal występuje, gdyż jest czynny proces ochronny qone8 (PluginService.exe), dodatkowo nadal multum modyfikacji w rejestrze, a także niektóre skróty LNK są zmodyfikowane, by otwierać ten URL. Cytat Niedługo po wygenerowaniu wszystkich logów pojawił się błękitny ekran śmierci (sprawdziłem wcześniej, nie ma zainstalowanych żadnych programów emulujących napędy) i po restarcie komputer dosyć długo się uruchamiał. Wydłużenie czasu uruchamiania zauważyłem też na komputerze, na którym była dokonywana poprzednia naprawa, czy nie może być to efektem działania programów generujących logi? FRST i OTL to narzędzia nieinwazyjne, więc odpadają. Jedynie GMER mógłby mieć coś do rzeczy (wróć do opisu GMER i sekcji "Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP)"), ale to przeważnie dotyczy XP, ponadto notowalne byłyby szersze objawy. Tu co innego zwraca uwagę: oba komputery łaczy rozgałęziona instalacja McAfee. Czyszczenie adware: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) S2 Update WebSpades; "C:\Program Files (x86)\WebSpades\updateWebSpades.exe" [X] U3 BcmSqlStartupSvc; U2 IviRegMgr; U2 RichVideo; U3 SQLWriter; HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 Task: {1667B1D9-00E7-4A1B-802E-752B7C7A631B} - System32\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-4 => C:\Program Files (x86)\FreeHD-Sport TV V9.0\711bd280-00bb-4a68-b469-95176701eb0f-4.exe Task: {846548C0-B959-4D7E-A54C-9A8AA9EA273C} - System32\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-1 => C:\Program Files (x86)\FreeHD-Sport TV V9.0\FreeHD-Sport TV V9.0-codedownloader.exe Task: {DF5FBBCB-C339-4AA1-B4D8-8863B1A33BB9} - System32\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-3 => C:\Program Files (x86)\FreeHD-Sport TV V9.0\711bd280-00bb-4a68-b469-95176701eb0f-3.exe Task: {F811DF53-895A-4F28-952C-EFD73C9B99D4} - System32\Tasks\{FB1EB8AF-ABC6-478B-97C6-3F3B8652C20A} => Chrome.exe http://ui.skype.com/ui/0/6.3.59.105/pl/abandoninstall?page=tsBing Task: C:\windows\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-1.job => C:\Program Files (x86)\FreeHD-Sport TV V9.0\FreeHD-Sport TV V9.0-codedownloader.exe Task: C:\windows\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-3.job => C:\Program Files (x86)\FreeHD-Sport TV V9.0\711bd280-00bb-4a68-b469-95176701eb0f-3.exe Task: C:\windows\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-4.job => C:\Program Files (x86)\FreeHD-Sport TV V9.0\711bd280-00bb-4a68-b469-95176701eb0f-4.exe ShortcutWithArgument: C:\Users\WIECZORECZKI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 ShortcutWithArgument: C:\Users\WIECZORECZKI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 ShortcutWithArgument: C:\Users\WIECZORECZKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} SearchScopes: HKCU - DefaultScope {E613F2CF-288A-42B9-8D47-D4E572DCE99A} URL = http://www.google.com/search?hl=pl&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119776&tt=100313_9111pl&babsrc=SP_ss&mntrId=E08F002682B13EEB SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL No File Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\SupTab C:\ProgramData\IePluginService C:\ProgramData\WPM C:\Users\WIECZORECZKI\AppData\Roaming\Babylon C:\Users\WIECZORECZKI\AppData\Roaming\ESET C:\Users\WIECZORECZKI\AppData\Roaming\Mozilla C:\Users\WIECZORECZKI\AppData\Roaming\SupTab C:\windows\SysWow64\unrar.dll Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres qone8, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres qone8 Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy qone8. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
cooboos Opublikowano 2 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2014 McAffee umieścił tego wirusa w kwarantannie, więc go usunąłem (za pośrednictwem McAffee). Wszystkie kroki wykonane, dołączam logi: (nie byłem pewny o który log z AdwCleanera chodziło, więc dołączyłem obydwa). AdwCleanerR0.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 5 Maja 2014 Zgłoś Udostępnij Opublikowano 5 Maja 2014 Jeśli chodzi o logi z AdwCleaner, to jeden jest z opcji Szukaj (AdwCleanerR0.txt), a drugi z Usuń (AdwCleanerS0.txt). Wszystko zostało wykonane. 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. Dokasuj ręcznie poniższe (DelFix ich nie ruszy): C:\Windows\SysWOW64\sqlite3.dll C:\Users\WIECZORECZKI\Downloads\7l4rbcb2.exe C:\Users\WIECZORECZKI\Downloads\ku4zsdln.exe C:\Users\WIECZORECZKI\Downloads\Shortcut.txt 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji te trzy programy: ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla FF/Opera (deinstalacja) Microsoft Office 2010 (HKLM-x32\...\{95140000-0070-0000-0000-0000000FF1CE}) (Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP2 . Odnośnik do komentarza
cooboos Opublikowano 6 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 6 Maja 2014 Firefoxa i Opery nie ma zainstalowanej na tym komputerze (tzn. były zainstalowane, ale zostały odinstalowane dawno temu). Wykonałem powyższe kroki, okazało się tylko, że Shortcut.txt został już usunięty przez DelFixa (taki był zapis w logu i pliku nie było w lokalizacji), ale zostawił za to log z GMER-a, który usunąłem ręcznie. Załączam log z DelFixa (znowu pokazał się błąd "Wysyłanie ominięte (Nie wybrano pliku do importu)", więc skopiowałem tekst z loga do nowego pliku i zapisałem w innym miejscu. Dziękuję bardzo za pomoc! Rozumiem, że to już wszystko? DelFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Maja 2014 Zgłoś Udostępnij Opublikowano 6 Maja 2014 Cytat Firefoxa i Opery nie ma zainstalowanej na tym komputerze (tzn. były zainstalowane, ale zostały odinstalowane dawno temu). Tak, o tym wiem z raportów. W moim poprzednim poście był omyłkowo obcięty wtręt "lacja)", poprawiłam to teraz, bo zaznaczyłam, że ta pozycja akurat na wylocie. Cytat Wykonałem powyższe kroki, okazało się tylko, że Shortcut.txt został już usunięty przez DelFixa (taki był zapis w logu i pliku nie było w lokalizacji), ale zostawił za to log z GMER-a, który usunąłem ręcznie. Skoro Shortcut.txt został usunięty DelFixem, to autor zaktualizował definicje, bo jeszcze niedawno plik nie był adresowany. A GMER zadałam ręcznie do usunięcia, gdyż ze względu na losowe nazwy nie jest on usuwany przez żadne automaty. Cytat znowu pokazał się błąd "Wysyłanie ominięte (Nie wybrano pliku do importu) Nie mam pojęcia skąd ten błąd. Może McAfee coś kombinuje? Cytat Rozumiem, że to już wszystko? Tak. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się