Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zanieczyszczony komputer

SzalonyKefir

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Na temat używania ComboFix: KLIK. Log z niego już zostaw, bo musi być wiadome co robił. Zasady działu jakie raporty się tu podaje: KLIK. OTL to jedynie część zestawu. Uzupełnij brakujące FRST i GMER.

 

 

EDIT: Raporty dodane. W systemie nadal jest aktywne adware Jump Flip, ponadto jest tu sterownik rootkita Necurs e499e4613efaba4d (ale wyłączony). Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files (x86)\Jump Flip\bin\utilJumpFlip.exe
() C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe
() C:\Program Files (x86)\Jump Flip\bin\JumpFlip.BrowserAdapter.exe
R2 Update Jump Flip; C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe [316704 2014-05-04] ()
R2 Util Jump Flip; C:\Program Files (x86)\Jump Flip\bin\utilJumpFlip.exe [316704 2014-05-04] ()
S4 e499e4613efaba4d; C:\Windows\System32\Drivers\e499e4613efaba4d.sys [77776 2014-03-31] ()
S4 LMIRfsClientNP; No ImagePath
R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-17] (StdLib)
U3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S2 LMIInfo; \??\C:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X]
S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X]
S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X]
S4 NVHDA; system32\drivers\nvhda64v.sys [X]
S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X]
S3 Passthru; system32\DRIVERS\PPFlt.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 X6va005; \??\C:\Users\user\AppData\Local\Temp\0058067.tmp [X]
testsigning: ==> Check for possible unsigned rootkit driver 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.myhoome.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.myhoome.com/
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
BHO: No Name - {11111111-1111-1111-1111-110411411160} - No File
BHO-x32: No Name - {6db9fdfe-b718-4962-be0c-0a5fce7f7f7b} - No File
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
CHR HKLM-x32\...\Chrome\Extension: [debmkdhphjfcbaomiknnceliiclnpmfg] - C:\Program Files (x86)\Jump Flip\debmkdhphjfcbaomiknnceliiclnpmfg.crx [2013-05-30]
Task: {44FEDF0A-4CA7-49EA-921A-74C537209743} - System32\Tasks\{955C82A5-80E5-4283-8595-765024B22509} => Chrome.exe http://ui.skype.com/ui/0/6.9.0.106/pl/abandoninstall?page=tsProgressBar
Task: {5A12B617-212D-4EEB-8006-714D5603CEA2} - System32\Tasks\{C07F798B-77A9-4DD7-828D-52ADA19803AF} => Chrome.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsMain
AlternateDataStreams: C:\Program Files\Common Files\System:sskqXZIQ9bHfFGvXqq2j7hz7
AlternateDataStreams: C:\ProgramData\Microsoft:rhXbf41apdpllrPc
AlternateDataStreams: C:\ProgramData\Microsoft:UQBCz5f2uUei71sA3T
AlternateDataStreams: C:\Users\user\Ustawienia lokalne:6rbIfiVzk2wPWyB2MvDuO
AlternateDataStreams: C:\Users\user\AppData\Local:6rbIfiVzk2wPWyB2MvDuO
AlternateDataStreams: C:\Users\user\AppData\Local\Dane aplikacji:6rbIfiVzk2wPWyB2MvDuO
C:\Windows\System32\Drivers\e499e4613efaba4d.sys
C:\Windows\system32\Drivers\wStLibG64.sys
C:\Program Files (x86)\Mozilla Firefox
C:\Users\user\AppData\Roaming\Mozilla
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f
Reg: reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=54896" /f
CMD: netsh advfirewall reset
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj:

- Adware Jump Flip, Mobogenie, Recover My Files Packages, VIS. "Recover My Files Packages" to wrapper adware a nie program zasadniczy.

- Stare wersje Adobe Reader 9.3, Java™ 6 Update 26, Java™ 6 Update 26, Java 7 Update 45 oraz zbędny problematyczny firewall NVIDIA ForceWare Network Access Manager.

 

3. Wyczyść Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj Jump Flip, VIS, Widget context (części może nie być po w/w deinstalacjach)
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Ustawienia > karta Historia > wyczyść
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

Odpowiadasz mi już w nowym poście. Nie edytuj pierwszego.

 

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...