t00kie Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Witam, Komputer nie jest mój, dostałem go do przejrzenia, okazało się, że w lutym (po moich zaleceniach) zainstalowana Panda Cloud, któy wykrył trochę wirusów. Dopiero teraz wpadł mi w ręce "bo wolno pracuje". Chciałem przeskanować go odpowiednim urządzeniem Malwarebytes ale nie wpuszcza mnie na stronę. To samo jeśli chodzi o pobranie FRST, pendrivem przegrałem zatem OTL, FRST i Gmer i bardzo proszę o interpretację logów. Logi z OTL są z 360 dni na wszelki wypadek.. Addition.txt Extras.Txt FRST.txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Chciałem przeskanować go odpowiednim urządzeniem Malwarebytes ale nie wpuszcza mnie na stronę. To samo jeśli chodzi o pobranie FRST Hmmm, a jaki błąd widzisz? W raportach nie widać żadnych oznak czynnej infekcji... Ale system jest kompletnie nieaktualizowany i na dodatek scrackowany, manipulacje z aktywacją: S2 TimerStop; C:\Windows\SysWOW64\TimerStop.sys [4096 2006-12-18] () [File not signed] Na razie: 1. Na próbę odinstaluj całkowicie Panda Cloud Antivirus, Panda Security URL Filtering i sprawdź jakie to ma rezultaty. Odinstaluj też stare dziurawe niebezpieczne aplikacje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.0.1, Java 6 Update 20. 2. Doczyść wpisy szczątkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: AV: Trend Micro Internet Security (Disabled - Up to date) {48929DFC-7A52-A34F-8351-C4DBEDBD9C50} AS: Trend Micro Internet Security (Disabled - Up to date) {F3F37C18-5C68-ACC1-B9E1-FFA9963AD6ED} S2 TimerStop; C:\Windows\SysWOW64\TimerStop.sys [4096 2006-12-18] () [File not signed] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesDriver64.sys [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0 Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TorpedoCopy.lnk Task: {0C102F9E-9437-4842-9F1B-B34D75E8353A} - System32\Tasks\{07283C7A-FC79-4C1C-B284-8EEDE3AB860B} => Chrome.exe Task: {2F06CDA8-5C86-4AAD-BF1A-1FAF484D0AB7} - System32\Tasks\{1F7CE098-1D91-4EBE-B4E0-B6A1CBF29BE8} => Chrome.exe Task: {3A392F85-614C-4277-8A1A-2C3B56127611} - System32\Tasks\{60C95E64-B2B6-47F4-8DAF-5B5EED98F94A} => Chrome.exe Task: {A18C9D1D-FB34-4122-9EE8-DB92029268D7} - System32\Tasks\{7DB585FC-EDED-4757-BAD8-74C0585276F7} => Chrome.exe Task: {B19E2FD7-5C77-494D-89B9-8B84C5127490} - System32\Tasks\{ECB57B04-CBDF-46A2-AC97-F028EFD15F52} => Chrome.exe Task: {B7D99AD0-FC9E-4F59-86B7-E5B4CA93E400} - \{70C8B7F6-41C8-460D-BDE6-F4FA759B6DCD} No Task File Task: {BE156545-6A2C-455C-9C3F-E33E8AB90227} - \{89502FA8-E06D-4210-86EE-F883508F65ED} No Task File Task: {FDEF212A-848A-4BEF-9698-FA0F8DE7EE8A} - \{E8A1E74E-FA56-4221-B97E-E50BA4D5B9A4} No Task File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Kamil\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://pandasecurity.mystart.com/results.php?gen=ms&pr=vmn&id=pandasecuritytb&v=4_1&ent=ch_653&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\ProgramData\rvlkl C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Roaming\Acymit C:\Users\Kamil\AppData\Roaming\AudioConverterPackages C:\Users\Kamil\AppData\Roaming\Fyagmo C:\Users\Kamil\AppData\Roaming\Mexo C:\Users\Kamil\AppData\Roaming\Mipony C:\Users\Kamil\AppData\Roaming\MiponyDownloadManagerPackages C:\Users\Kamil\AppData\Roaming\Mozilla C:\Users\Kamil\AppData\Roaming\Nazoo C:\Users\Kamil\AppData\Roaming\Search The Web C:\Windows\pss\Empty.pif.Startup C:\Windows\SysWOW64\TimerStop.sys CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Audio Converter Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Mipony Download Manager Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xrhir" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i wypowiedz co się dzieje. . Odnośnik do komentarza
t00kie Opublikowano 3 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2014 Odinstalowałem produkty Adobe i Java, odinstalowałem Panda URL Security, nie mogę odinstalować Panda Antyvirus bo sypie błędem w języku, którego nie znam (włoski lub hiszpański) :/ W załączniku screen z błędu odinstalowywania, screen z próby wejścia na stronę Malwarebytes i 2 logi o których była mowa. EDIT: Poradziłem sobie z odinstalowaniem pandy, jednak na stronę malwarebytes nadal nie mogę wejść. W załączniku jest teraz log po odinstalowaniu Pandy. EDIT #2: O dziwo udało mi się pobrać Kaspersky Virus Removal Tool, przeskanowałem - nic. Chciałem pobrać CCleanera ale ten sam błąd wyskakiwał, zauważyłem jednak, że adres strony zaczyna się na https, skasowałem ostatnią literkę i bez problemu dostałem się na stronę i pobrałem. Po wyczyszczeniu CCleanerem, sprawdzeniu ADWCleanerem i zresetowaniu do ustawień fabrycznych IE wszystko działa jak trzeba. Wychodzi na to, że coś z IE było nie halo jeśli chodzi o te nieładujące się strony. W każdym razie instaluję teraz AVG Antivirus Free i chyba oddam mu już tego kompa bo skoro mówisz, że nie widziałeś infekcji to pewnie jej nie ma. Tak czy inaczej dziękuję bardzo za pomoc! Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2014 Zgłoś Udostępnij Opublikowano 5 Listopada 2014 Ad "widziałeś" = jestem kobietą. - Fix do FRST kompletnie nie wykonany. Popatrz co wkleiłeś do Notatnika, wszystkie linie sklejone. To się w żadnym wypadku nie przetworzy. Skrypt ma wyglądać identycznie jak w moim poście (przejścia do nowej linii). I problemem jest prawdopodobnie fakt, że używałeś Internet Explorer do przeklejania, to jedyna przeglądarka która wariuje tu na forum, inne poprawnie przeklejają nowe linie. - Deinstalacja Panda pozorowana, wszystkie sterowniki pozostały. Konieczne poprawki: 1. Zastosuj Panda Cloud Antivirus Uninstaller. Program uruchom w Trybie awaryjnym Windows. 2. Wklej do Notatnika: CloseProcesses: AV: Trend Micro Internet Security (Disabled - Up to date) {48929DFC-7A52-A34F-8351-C4DBEDBD9C50} AS: Trend Micro Internet Security (Disabled - Up to date) {F3F37C18-5C68-ACC1-B9E1-FFA9963AD6ED} S2 TimerStop; C:\Windows\SysWOW64\TimerStop.sys [4096 2006-12-18] () [File not signed] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesDriver64.sys [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0 Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TorpedoCopy.lnk Task: {0C102F9E-9437-4842-9F1B-B34D75E8353A} - System32\Tasks\{07283C7A-FC79-4C1C-B284-8EEDE3AB860B} => Chrome.exe Task: {2F06CDA8-5C86-4AAD-BF1A-1FAF484D0AB7} - System32\Tasks\{1F7CE098-1D91-4EBE-B4E0-B6A1CBF29BE8} => Chrome.exe Task: {3A392F85-614C-4277-8A1A-2C3B56127611} - System32\Tasks\{60C95E64-B2B6-47F4-8DAF-5B5EED98F94A} => Chrome.exe Task: {A18C9D1D-FB34-4122-9EE8-DB92029268D7} - System32\Tasks\{7DB585FC-EDED-4757-BAD8-74C0585276F7} => Chrome.exe Task: {B19E2FD7-5C77-494D-89B9-8B84C5127490} - System32\Tasks\{ECB57B04-CBDF-46A2-AC97-F028EFD15F52} => Chrome.exe Task: {B7D99AD0-FC9E-4F59-86B7-E5B4CA93E400} - \{70C8B7F6-41C8-460D-BDE6-F4FA759B6DCD} No Task File Task: {BE156545-6A2C-455C-9C3F-E33E8AB90227} - \{89502FA8-E06D-4210-86EE-F883508F65ED} No Task File Task: {FDEF212A-848A-4BEF-9698-FA0F8DE7EE8A} - \{E8A1E74E-FA56-4221-B97E-E50BA4D5B9A4} No Task File ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Kamil\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - {007DF9E9-3326-4192-B6CD-6F33F0FC0ACF} URL = https://www.google.com/search?q={searchTerms} SearchScopes: HKCU - {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://pandasecurity.mystart.com/results.php?gen=ms&pr=vmn&id=pandasecuritytb&v=4_1&ent=ch_653&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\ProgramData\rvlkl C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Roaming\Acymit C:\Users\Kamil\AppData\Roaming\AudioConverterPackages C:\Users\Kamil\AppData\Roaming\Fyagmo C:\Users\Kamil\AppData\Roaming\Mexo C:\Users\Kamil\AppData\Roaming\Mipony C:\Users\Kamil\AppData\Roaming\MiponyDownloadManagerPackages C:\Users\Kamil\AppData\Roaming\Mozilla C:\Users\Kamil\AppData\Roaming\Nazoo C:\Users\Kamil\AppData\Roaming\Search The Web C:\Windows\pss\Empty.pif.Startup C:\Windows\SysWOW64\TimerStop.sys CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Audio Converter Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Mipony Download Manager Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xrhir" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Przejścia do nowej linii mają wyglądać jak w moim poście, nic nie może być sklejone w jednej linii Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się