beybzz Opublikowano 11 Listopada 2014 Zgłoś Udostępnij Opublikowano 11 Listopada 2014 Witam serdecznie! Doceniam Wasze codzienne zaangażowanie, pracę i to, jaką nieocenioną pomoc niesiecie na co dzień, lecz tym razem sama o nią proszę! Jestem użytkownikiem win8. x64, chce wyleczyć system z Waszą pomocą. Pierwsza "poważniejsza" infekcja na nim miała miejsce kilka m-cy temu. Po drodze przytrafiły się następne, a od przedwczoraj "to" zaczęło bardziej utrudniać życie... Z góry dziękuję za pomoc! Pozdrawiam ========================================================= Mój problem wygląda następująco: 1-sza infekcja Objawy: zmieniona strona startowa na każdej www. pełno reklam wyskakujące okienka obciążona (spowolniona) przeglądarka Podjęte czynności: skan i kasacja AdwCleaner'em (pliki w załączeniu) Spostrzeżenia: reklamy i wyskakujące okienka pozostały w dalszym ciągu, choć nie były już tak uciążliwe. 2. [Rtk] O: przekierowania na inne strony i automatyczne pobieranie pliku systemowe komunikaty o jav'ie PCz:avast wykrywa i umieszcza w kwarantannie [Rtk] (screen w zał.) S: utrzymanie stanu poprzedniego bardzo dużo folderów i plików ukrytych stało się widocznych (?) 3. [susp], [Adw], [Rtk] O: zmiana strony startowej busz reklam wyskakujące okienka brak internetu (problem z serv proxy) PCz: avast wykrywa i umieszcza w kwarantannie nowy/e [susp], [Adw], [Rtk] skan AdwCleaner (*zaktualizowany) przygotowywanie raportów OLT restart - ponownie uruchomienie systemu zakończone niebieskim " + komunikat o błędzie z którym nie uporał się system" win8. (u dołu tekstu był ten raport jakoś nazwany - niestety nie zapamiętałam "kodu?" błędu który go wywołał...) po restarcie odcięcie od internetu i komunikat: "pliki, które zostaną wysłane do firmy Microsoft C:\Windows\Minidump\111014-12593-01.dmp C:\Users\KAROLINA\AppData\Local\Temp\WER-67906-0.sysdata.xml C:\Windows\MEMORY.DMP" przygotowywanie rap. GMER (*ograniczenie antywirusa) problemy z GMER'em. komunikat w sekcji: C:\WINDOWS\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. C:\Users\KAROLINA\ntuser.dat: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. system w tryb awaryjny i rap. z GMER (*mało waży) S: spowolniony czas reakcji systemu po przeskanowaniu AdwC. i ponownym uruchomieniu brak internetu - komunikat, że ustawienie proxy zostało zmienione (*ten problem po części rozwiązany - przez przywrócenie systemu, jednakże przywracanie systemu nie zostało ukończone pomyślnie [screen w zał]) INFO: Nie udało mi się zamieścić zipa z raportami AdwC. wrzucam pierwsze i ostatnie logi. Tak to ogólnie wyglądało. Mam nadzieję, że w miarę podanych informacji uda się również dokonać szczegółowej naprawy Bardzo proszę o weryfikację Pozdrawiam! GMER.txt GMER awaryjny.txt FRST.txt Addition.txt Shortcut.txt OTL.Txt Extras.Txt AdwCleanerS0.txt AdwCleanerS6.txt Odnośnik do komentarza
picasso Opublikowano 11 Listopada 2014 Zgłoś Udostępnij Opublikowano 11 Listopada 2014 Nie wiem skąd były pobierane narzędzia, ale użyte wersje nie są najnowsze: - Posługujesz się wersją FRST z 4 listopada, bieżąca wersja jest wczoraj. Link w przyklejonym: KLIK. - Zastosowany AdwCleaner v3.214, a najnowsza wersja to v4.101. Link w przyklejonym: KLIK. INFO: Nie udało mi się zamieścić zipa z raportami AdwC. wrzucam pierwsze i ostatnie logi. Rozszerzenie ZIP jest niedopuszczalne w załącznikach, każdy by sobie mógł ładować paczki niewiadomego pochodzenia (nawet z wirusami). Jedyne dopuszczalne formaty to TXT. Logi AdwCleaner należy dołączać z osobna. Proszę o dostarczenie wszystkich raportów z oznaczeniem S: AdwCleaner[s0].txt - [4438 octets] - [01/07/2014 15:00:45] AdwCleaner[s1].txt - [1595 octets] - [23/07/2014 13:07:15] AdwCleaner[s2].txt - [1082 octets] - [29/07/2014 22:10:46] AdwCleaner[s3].txt - [1888 octets] - [13/08/2014 19:38:00] AdwCleaner[s4].txt - [1323 octets] - [14/08/2014 23:53:22] AdwCleaner[s5].txt - [1443 octets] - [02/10/2014 13:58:22] AdwCleaner[s6].txt - [3553 octets] - [09/11/2014 22:43:27] bardzo dużo folderów i plików ukrytych stało się widocznych (?) Skan OTL przestawia opcje Widoku związane z pokazywaniem ukrytych. Ma to na celu uproszczenie pomocy, gdyby była konieczność ręcznego skasowania czegoś. Po prostu w Opcjach folderów zaznacz z powrotem Ukryj chronione pliki systemu operacyjnego. spowolniony czas reakcji systemu po przeskanowaniu AdwC. i ponownym uruchomieniu brak internetu - komunikat, że ustawienie proxy zostało zmienione (*ten problem po części rozwiązany - przez przywrócenie systemu, jednakże przywracanie systemu nie zostało ukończone pomyślnie [screen w zał]) Jeśli chodzi o stan systemu, to są odpadki adware wiodoczne, Proxy w Internet Explorer nadal czynne, a system jest zgwałcony instalacjami antywirusowymi, tu należy się dziwić, że się uruchomił i nie został zablokowany. W tle działają mocarne pakiety kolidujące ze sobą: avast! Free Antivirus i McAfee Internet Security. To jest z pewnością conajmiej jedna z przyczyn spowolnienia. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware WindowsMangerProtect20.0.0.502, nadwyżkową instalację McAfee Internet Security oaz stare dziurawe wersje Adobe Reader 6.0.2 CE, Java 7 Update 55 (ten Adobe Reader to przegięcie!). 2. Pobierz najnowszy FRST z przyklejonego. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1415565385&from=amt&uid=ST1000LM014-1EJ164_W380KHNAXXXXW380KHNA" CHR DefaultSearchKeyword: Default -> mystartsearch ProxyEnable: Internet Explorer proxy is enabled. ProxyServer: http=127.0.0.1:51404;https=127.0.0.1:51404 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: NetCrawl -> {769a91da-209f-47fe-88b9-b0321b0982c8} -> C:\Program Files (x86)\NetCrawl\NetCrawlbho.dll No File Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 Task: {A55B8F54-709F-4B58-B239-456B51DE9BD1} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {E86A6D5D-F91B-4E18-8470-C2EB8CAF2FBB} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [535936 2014-07-01] (Fuyu LIMITED) C:\ProgramData\WindowsMangerProtect C:\Users\KAROLINA\CD95F661A5C444F5A6AAECDD91C240E0.TMP C:\Users\KAROLINA\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\KAROLINA\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\KAROLINA\AppData\Roaming\LookThisUp C:\Users\KAROLINA\AppData\Roaming\mystartsearch Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0261933D-98CF-45FA-A42A-09272D60CF6B} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0261933D-98CF-45FA-A42A-09272D60CF6B} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch (o ile nadal będzie widzialny). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
beybzz Opublikowano 11 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2014 Dziękuję Pani picasso za odpowiedź! Nie wiem skąd były pobierane narzędzia, ale użyte wersje nie są najnowsze: - Posługujesz się wersją FRST z 4 listopada, bieżąca wersja jest wczoraj. Link w przyklejonym: KLIK. - Zastosowany AdwCleaner v3.214, a najnowsza wersja to v4.101. Link w przyklejonym: KLIK. Wszystko pobrałam wczoraj z Waszego manuala w dniu wczorajszym. Myślę, że mogło coś się pozmieniać w ciągu ostatniej doby. tak AdwC był stary ale został wcześnie rano 10.11 zaktualizowany do v4.101 "... a system jest zgwałcony instalacjami antywirusowymi" aż mi głupio ... (ten Adobe Reader to przegięcie!). w załaczeniu: pozostałe logi z AdwCleaner'a nowy frst Dziękuję raz jeszcze za pomoc udanego wieczoru! Pozdrawiam FRST.txt AdwCleanerS0.txt AdwCleanerS1.txt AdwCleanerS2.txt AdwCleanerS3.txt AdwCleanerS4.txt AdwCleanerS5.txt AdwCleanerS6.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Skrypt do FRST w ogóle nie został wykonany. Powtarzaj punkt 2 z poprzedniej instrukcji, dostarcz wynikowy fixlog.txt, a po tym zrób nowy log z FRST (bez Addition i Shortcut). Adobe Reader to przegięcie! Tu mi chodziło, iż jest to tak stara wersja (z 2006), zresztą instalowana na nowoczesnym Windows 8, że aż strach korzystać. Przeterminowane oprogramowanie ma luki zabezpieczeń i może być używane do infekowania systemu. Ten stary Adobe Reader to chodząca bomba zegarowa. Wszytsko pobrałam wczoraj z Waszego manuala w dniu wczorajszym. Myślę, że mogło coś się pozmieniać w ciągu ostatniej doby. Nie wiem dlaczego takie wersje zostały pobrane, bo w czasie gdy je pobierałaś były z pewnością nowsze dostępne pod tymi linkami... . Odnośnik do komentarza
beybzz Opublikowano 13 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2014 ok, dałam ciała z pkt 2... euforia wzięła górę ponieważ system działa znacznie lepiej. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. (error). podany skrypt już został przeze mnie użyty 11.11 o 22.04. fixlog powstał w tym katalogu jak mówisz, ale oprócz danych w nagłówku nie zawierał treści. komp nie został zresetowany. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch (o ile nadal będzie widzialny). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. pkt. wykonany w 100% i tu się za bardzo podekscytowałam 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. zrobiłam nowy log FRST i go poprzednio zamieściłam zamiast fixloga. więcej grzechów nie pamiętam. chyba bardziej namieszać się nie dało?! co teraz zrobimy Sensei? (jeśli nie było restartu to zmiany nie zostały w ogóle wprowadzone? - nie chce snuć tu swoich teorii więc proszę o ponowny instruktaż w zaistniałej sytuacji) przyjmij moje przeprosiny pozdrawiam! Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 fixlog powstał w tym katalogu jak mówisz, ale oprócz danych w nagłówku nie zawierał treści. komp nie został zresetowany. Nic nie zostało wykonane, czyli powtarzasz całą akcję jak mówiłam: Powtarzaj punkt 2 z poprzedniej instrukcji, dostarcz wynikowy fixlog.txt, a po tym zrób nowy log z FRST (bez Addition i Shortcut). Odnośnik do komentarza
beybzz Opublikowano 13 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2014 pkt 2. - 100% operation successfully completed! w załączeniu świeże i jeszcze ciepłe logi pozdrawiam! Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Tak jest, tym razem Fix przetworzony. Jeszcze małe korekty do wdrożenia. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\mcafee RemoveDirectory: C:\Program Files\mcafee RemoveDirectory: C:\ProgramData\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny. . Odnośnik do komentarza
beybzz Opublikowano 13 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2014 aye! aye! Capt'n! mission is completed! aplikacja tym razem nie "zakomunikowała" konieczności reset'u. przesyłam najnowszy fixlog. pozdrawiam K. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Nie było restartu, bo takowy był zbędny i nie został zaplanowany przeze mnie w Fix. Zadania wykonane i kończymy: 1. Jeszcze jeden Fix, bo jakoś pominęłam dwie szczątkowe pozycje adware na liście zainstalowanych. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LookThisUp /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń ręcznie C:\Users\KAROLINA\Desktop\raporty, log FIXITPC. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Stare aplikacje były tu już częściowo usuwane. Został jeszcze ten babol: ==================== Installed Programs ====================== Gadu-Gadu 6.1 (HKLM-x32\...\Gadu-Gadu) (Version: - ) Kompletnie nieużytkowa (brak obsługi nowego protokołu GG), przestarzała i dziurawa wersja. Zainteresuj się nowoczesnym WTW (bardzo dobra obsługa GG): KLIK. . Odnośnik do komentarza
beybzz Opublikowano 13 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2014 srry! myślałam, że już koniec. ad. 1 - Huston, we have a problem. "...\Uninstall\LookThisUp /f "...\Uninstall\mystartsearch uninstall" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. załączam w razie w. ostatni fixlog. zostawiamy tak temat i rozchodzimy się do domów, czy coś jeszcze uda się tu zdziałać? ad.2 process on hold. "... Zastosuj DelFix..." ale jak to rozumieć? gdzie komendę wpisać? ad.3 dzięki, sprawdzę Zainteresuj się nowoczesnym WTW (bardzo dobra obsługa GG): KLIK. INFO: od 18.30 - 20.30 chwilowo bd niedostępna. pozdrawiam! Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 ad. 1 - Huston, we have a problem. Fix nie znalazł tych wpisów, czyli w jakiś sposób zostały już usunięte. ale jak to rozumieć? gdzie komendę wpisać? Żadnych komend. Wejdź w link "KLIK" i tam masz opis narzędzia DelFix. . Odnośnik do komentarza
beybzz Opublikowano 13 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2014 done. Arigato Sensei! stawiam teraz kosz słodyczy, chyba, że nie lubimy ( ?) to leci przysłowiowa kratka poniżej prezentuje swojego DelFixa. pozdrawiam! DelFix.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 DelFix wykonał robotę, możesz usunąć plik C:\DelFix.txt z dysku. To tyle. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi