Colors Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Na starcie włącza się wiersz polecenia "cmd" i nagle znika, po czym włącza się Mozilla i otwiera stronę z reklamą, którą blokuje adblocker. Przeskanowałam i znalazło adware, lecz nie nie udało mu się wirusa usunąć. Z pewnością coś jeszcze siedzi w systemie, dlatego proszę o pomoc w zlikwidowaniu zagrożeń. Dodaję logi System Windows 7, x64. OTL.Txt Extras.Txt checkup.txt gmer.txt Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Za opisywane zachowanie odpowiada jeden prosty wpis "CMD" w starcie. Dodatkowo, w przeglądarkach są szczątki obiektów adware. Przeprowadź poniższe działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2176411516-3333787489-937677154-1001\...\Run: [CMD] => cmd.exe /c start http://extendedunlimited.org && exit Task: {FC94AEA3-F260-43FB-80F3-A7474576FD81} - \AutoKMS No Task File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S2 hjlkfdajklfed3dfa; \??\C:\Program Files (x86)\SupTab\cfgdrv64.cfg [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S1 MpKsl79e54222; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{39A6E709-9DF0-4A1E-832F-393F34B67496}\MpKsl79e54222.sys [X] C:\ProgramData\pkeimendennphbobgjmacnnkbglgfpkg C:\ProgramData\pcpgkhkhigppdedocfembbglnapkinoi C:\ProgramData\Temp C:\Users\Sayuri\AppData\Roaming\* C:\Users\Sayuri\Downloads\*(*).exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uninstall C:" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Używany AdwCleaner źle naprawił specjalny skrót IE: Shortcut: C:\Users\Sayuri\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Sayuri\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Colors Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 Zrobiono wszystko jak powyżej Dołączam logi. Problem z cmd i reklamą zniknął. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Prawie wszystko zrobione, nie wykonała się jednak zbiorcza komenda usuwania plików śmieci. Poprawki: 1. W pasku adresów eksploratora Windows wklej poniższą ścieżkę i ENTER: C:\Users\Sayuri\AppData\Roaming Przez SHIFT+DEL (omija Kosz) skasuj wszystkie alfanumeryczne pliki. Tu przykład o co mi chodzi: 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\ffe3cf02 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\ff5396f2 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\f78af34 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\f41745fa 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\f387b5c0 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\ef889c5a 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\ee744215 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\d569b1dc 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\d4d6cb34 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\99eeaf8d 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\993ad5ba 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7d1f2050 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7ca0ea57 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7c186f7c 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7b91c277 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7a216c19 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\789bab0c 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\754f1be 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\6b630c 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\5c5cba8 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\102a1148 etc... 2. Na wszelki wypadek zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). . Odnośnik do komentarza
Colors Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 Tego było aż 650... dołączam log FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Finalizujemy sprawy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj te stare pozycje, zastąp najnowszymi: ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM-x32\...\{60AED4A0-3092-4DF4-A0A2-31F121122E92}) (Version: 12.0.0.70 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 14 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 14.0.0.179 - Adobe Systems Incorporated) -----> wtyczka dla Firefox/Opera Adobe Reader X (10.1.12) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Java 7 Update 51 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417051FF}) (Version: 7.0.510 - Oracle) . Odnośnik do komentarza
Colors Opublikowano 19 Września 2014 Autor Zgłoś Udostępnij Opublikowano 19 Września 2014 Dziękuję bardzo za pomoc, można zamknąć temat Odnośnik do komentarza
Rekomendowane odpowiedzi