MalefistO Opublikowano 26 Listopada 2014 Zgłoś Udostępnij Opublikowano 26 Listopada 2014 Witam Zainfekowane wszystkie konta oraz zablokowany tryb awaryjny, wykonałem scan za pomocą FRst. Proszę o pomoc FRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Listopada 2014 Zgłoś Udostępnij Opublikowano 26 Listopada 2014 Logi proszę umieszczaj jako załączniki forum - przeniosłam. Jest tu większa ilość infekcji, nie tylko blokada, w tym rootkit Necurs. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: testsigning: ==> Check for possible unsigned rootkit driver S0 1eda5e59793b3525; C:\Windows\System32\Drivers\1eda5e59793b3525.sys [79288 2014-03-05] () S2 syshost32; C:\Windows\Installer\{E960CBA0-2107-3402-9C04-0C667BC65210}\syshost.exe [234496 2014-03-04] () S2 Winmgmt; C:\ProgramData\82vjrrv.cpp\vrrjv28.dot [332544 2014-05-12] (Microsoft Corporation) HKLM-x32\...\Run: [x86kernel2] => c:\users\ania\appdata\roaming\49244439\svchost.exe [80686 2014-02-25] (Flash ceza nasabuk me xaz me iolpolko lace vaziknpyni.) HKLM\...\Policies\Explorer\Run: [58602] => C:\ProgramData\Local Settings\Temp\mszfhxow.scr [69120 2009-07-13] ( (Fusion Workstation)) HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\ania\...\Run: [Tok-Cirrhatus-1794] => \"C:\Users\ania\AppData\Local\smss.exe\" HKU\ania\...\Run: [Tok-Cirrhatus] => \"C:\Users\ania\AppData\Local\smss.exe\" (the data entry has 824 more characters). HKU\ania\...\Run: [Google Update] => \"C:\Users\ania\AppData\Local\Google\Update\GoogleUpdate.exe\" /c HKU\ania\...\Run: [lime pro] => C:\Program Files (x86)\Lime PRO\LimePro.exe [3670528 2011-08-16] (Lime PRO LLC) HKU\ania\...\Run: [Policies] => C:\Users\ania\AppData\Roaming\uwrbiecf\fiwevevr.exe [66560 2009-07-13] (Fusion Workstation) HKU\ania\...\Run: [vmware-unity] => C:\Users\ania\AppData\Roaming\vmware-unity.exe [40960 2014-07-16] () HKU\ania\...\Run: [{3A34F601-E061-53C1-84B5-B94694F01E5B}] => C:\Users\ania\AppData\Roaming\Ywkoam\gite.exe [202752 2012-11-03] (Tridia Corporation) HKU\ania\...\Run: [Osmari] => C:\Users\ania\AppData\Roaming\Atah\osmari.exe [398336 2011-04-30] () HKU\ania\...\Run: [Tech Net Audio] => \"C:\ProgramData\Tech Net Audio\odoaztybt.exe\" HKU\ania\...\Run: [updater] => C:\Users\ania\AppData\Roaming\Microsoft\Windows\Update\Update.exe [150219 2001-05-23] (gbhnbhgvfc) HKU\ania\...\Run: [aaaaaaaa] => C:\Users\ania\aaaaaaaa.exe [52736 2014-05-23] () HKU\ania\...\Run: [x86kernel2] => c:\users\ania\appdata\roaming\49244439\svchost.exe [80686 2014-02-25] (Flash ceza nasabuk me xaz me iolpolko lace vaziknpyni.) HKU\ania\...\CurrentVersion\Windows: [Load] C:\Users\ania\LOCALS~1\Temp\msfaxypoa.exe HKU\ania\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\ania\...\Policies\Explorer: [HideSCAHealth] 1 HKU\ania\...\Winlogon: [shell] C:\Users\ania\AppData\Roaming\Microsoft\Windows\Cache\Cache.exe [150219 2003-08-12] (gbhnbhgvfc) HKU\anuśka\...\CurrentVersion\Windows: [Load] C:\Users\ANUKA~1\LOCALS~1\Temp\msefiq.exe HKU\UpdatusUser\...\Run: [Tech Net Audio] => \"C:\ProgramData\Tech Net Audio\odoaztybt.exe\" IFEO\mbam.exe: [Debugger] yqjukxels.exe IFEO\mbamgui.exe: [Debugger] zpyemhvct.exe IFEO\rstrui.exe: [Debugger] iuznign.exe Startup: C:\Users\ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download App.lnk Startup: C:\Users\ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\flashsec.lnk Startup: C:\Users\ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\flashupdate.lnk Startup: C:\Users\ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vrrjv28.lnk Startup: C:\Users\ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xhostsys.lnk Startup: C:\Users\anuśka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vrrjv28.lnk AlternateShell: C:\ProgramData\82vjrrv.cpp C:\ProgramData\Local Settings C:\ProgramData\Tech Net Audio C:\ProgramData\xwatchsys C:\Users\ania\*.exe C:\Users\ania\AppData\Local\*.exe C:\Users\ania\AppData\Local\Temp C:\Users\ania\AppData\Roaming\*.exe C:\users\ania\AppData\roaming\49244439 C:\Users\ania\AppData\Roaming\Atah C:\Users\ania\AppData\Roaming\uwrbiecf C:\Users\ania\AppData\Roaming\Ywkoam C:\Users\ania\AppData\Roaming\Microsoft\Windows\Cache C:\Users\ania\AppData\Roaming\Microsoft\Windows\Update C:\Users\anuska\AppData\Local\Temp C:\Windows\Installer\{E960CBA0-2107-3402-9C04-0C667BC65210} C:\Windows\System32\Drivers\1eda5e59793b3525.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. System powinien zostać odblokowany. Przejdź w Tryb normalny i zrób raporty FRST (mają powstać trzy FRST.txt, Addition.txt i Shortcut.txt): KLIK. Zaloguj się na każde konto po kolei poprzez pełny restart systemu (a nie opcję Wyloguj czy Przełącz użytkownika) i z poziomu każdego konta zrób osobny zestaw raportów FRST. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
MalefistO Opublikowano 27 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2014 Komputer włączył się normalnie zrobiłem skan brak pliku shortcuts.txt nie wygenerował go Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2014 Zgłoś Udostępnij Opublikowano 27 Listopada 2014 brak pliku shortcuts.txt nie wygenerował go Zaznacz pole o tej nazwie w oknie programu > Scan > dostarcz brakujący log. I brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu - uzupełnij. Odnośnik do komentarza
MalefistO Opublikowano 10 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 WItaj No niestety brakujących logów nie mam jak dostarczyć po tych operacjach komputer włączy się normalnie i działał zrobiłem ten jeden skan i po wyłączeniu go już ponowny raz nie chce się odpalić w każdym trybie (normalny, awaryjny, napraw) staje na czarnym ekranie z paskiem wczytywanie microsoft corporation i cały czas leci ten zielony paseczek nic się nie dzieje więcej. Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2014 Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 Proszę ponownie dostarcz log z FRST z poziomu środowiska zewnętrznego RE: KLIK. Odnośnik do komentarza
MalefistO Opublikowano 10 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 Poczekałem po około 20 min uruchomił się zrobiłem skany na normalnym windowsie załączam raporty. Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2014 Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 Mamy kolejne problemy do rozwiązania, tzn. pozbycie się starych instalacji oprogramowania zabezpieczającego: archaiczny (z 2007!) Agnitum Outpost Firewall Pro skombinowany z niepoprawnie odinstalowanym McAfee który nadal się ładuje. To z pewnością blokuje normalny start systemu. Akcja: 1. Rozpocznij od poprawnych deinstalacji via Panel sterowania następujących pozycji: - Stare wersje: Adobe AIR, Adobe Flash Player 14 ActiveX, Adobe Reader 9.1 - Polish, Agnitum Outpost Firewall Pro, Java 6 Update 30, Skype™ 4.2. - Adware/niepożądane aplikacje: FoxTab FLV Player, FoxTab Music Converter, FoxTab PDF Creator. 2. Zastosuj McAfee Consumer Products Removal tool. 3. Posługujesz się starym FRST - pobierz najnowszą wersję z przyklejonego i zrób nowe logi: główny + Addition, Shortcut niepotrzebny już ponownie. . Odnośnik do komentarza
MalefistO Opublikowano 11 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Programy usunięte, nie dało się tylko usunąć Adobe Reader 9.1 - Polish wyskoczył komunikat że nie można otworzyć klucza...... Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2014 Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Wymagane poprawki na odpadki po infekcjach i programach: 1. Uruchom specjalny usuwacz firmowy dla Adobe Reader linkowany w przyklejonym w sekcji aktualizacji oprogramowania: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AV: McAfee VirusScan (Disabled - Out of date) {86355677-4064-3EA7-ABB3-1B136EB04637} AS: McAfee VirusScan (Disabled - Up to date) {3D54B793-665E-3129-9103-206115370C8A} FW: McAfee Personal Firewall (Disabled) {BE0ED752-0A0B-3FFF-80EC-B2269063014C} R1 MPFP; C:\Windows\System32\Drivers\Mpfp.sys [176144 2010-07-15] (McAfee, Inc.) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" HKLM\...\Policies\Explorer\Run: [58602] => C:\PROGRA~3\LOCALS~1\Temp\mszfhxow.scr No File HKLM-x32\...\Run: [Microsoft Default Manager] => "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume HKU\S-1-5-21-1414786907-1554109764-266369702-1001\...\Run: [EpicScale] => C:\ProgramData\EpicScale\EpicScale.exe [339848 2014-11-27] (EpicScale Inc.) Task: {68A4F1BC-944B-410C-AD28-A84B2FA2FEDF} - System32\Tasks\Windows Update Check - 0x10C30379 => C:\ProgramData\Tech StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-1414786907-1554109764-266369702-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File C:\ProgramData\EpicScale C:\Users\ania\AppData\Local\Adobe C:\Users\ania\Desktop\programy\Adobe Reader 9.lnk C:\Users\ania\Desktop\programy\McAfee Security Center.lnk C:\Windows\System32\Drivers\Mpfp.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ania\AppData\Local CMD: dir /a C:\Users\ania\AppData\LocalLow CMD: dir /a C:\Users\ania\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też bieżący plik fixlog.txt (z folderu C:\Users\ania\Desktop\frst) oraz ten pierwszy nie dostarczonony wtedy (najstarszy zarchiwizowany plik C:\FRST\Logs\Fixlog_data_czas.txt). . Odnośnik do komentarza
marcin878787 Opublikowano 11 Grudnia 2014 Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Picasso Skoro mowa o poprawnych deinstalacjach to proponuje ci abyś zalecała do deinstalacji bardzo dobry program ( Iobit Unistaller ) który usuwa także pozostałości po programach jak i w rejestrze, a co za tym idzie jest mniej usuwania poprzez frst . Jak dla mnie jest on po prostu nie oceniony. A poza tym byłoby dobrze gdybyś umieściła w sygnaturze porady dotyczące zapobiegania instalowania kolejnego adware. Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2014 Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 marcin878787 W tematach na forum sugeruję wszędzie deinstalację wszelkich produktów IOBit (choć użytkownik sam zdecyduje), a są dla tego określone powody. Cytuję powtarzający się wątek w moich wypowiedziach: (...) nie polecam żadnego programu IOBit tutaj na forum. Nie dość, że adware w instalatorach, to jeszcze inne podejrzane związki partnerskie i niewiarygodne praktyki (w przeszłości zostali złapani na kradzieży bazy definicji MBAM, którą sobie wsadzili w swój program do walki z malware). (...) firma ma grzeszki na sumieniu i jest to marka w której nie pokładam żadnego zaufania: KLIK. Odnośnik do komentarza
marcin878787 Opublikowano 11 Grudnia 2014 Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Większość deinstalatorów usuwa programy bardzo powierzchownie. Osobiście nie miałem jeszcze problemów z tym programem i nie każdy program tej firmy musi być z założenia zły. A poza tym trzeba uważać co i jak się instaluje bo jak się okazuje najczęściej to sami użytkownicy są sobie winni za to co się dzieje z ich systemem. Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2014 Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Tu nie chodzi o to czy ktoś ma problemy z daną aplikacją i czy jest ona zła per se, tylko o wątpliwego producenta o niskim morale. Jest to Twój i tylko Twój wybór, że wybierasz tę markę. Po prostu nie polecam i na swoim systemie nie zainstaluję żadnego programu tej firmy. Skoro ktoś kradł w przeszłości i palił głupa, w instalatorach stosuje perfidne zagrywki z instalacją inwazyjnych adware, nie respektuje dialogu about:newaddon Firefox, to nie jest elementem godnym zaufania, nawet jeśli jego program "działa dobrze". Jeśli chodzi o deinstalatory firm trzecich (IOBit Uninstaller, Revo Uninstaller i podobne): do antywirusów, adware i kilku określonych aplikacji nie stosuję tego, a przynajmniej nie jako pierwszą instancję rozwiązywania problemów. - Dlaczego do adware zalecam w pierwszej kolejności deinstalację via panel sterowania: adware może odkręcić poczynione przez siebie modyfikacje w przeglądarkach, czego może nie zrobić deinstalator firmy trzeciej. - Do instalacji opartych na MSI używam coś innego, czyli narzędzie Microsoftu do czyszczenia rejestracji MSI, bo to określone zadanie jest robione dobrze. Nie mam teraz czasu szukać, ale na forum były tematy obrazujące problemy. Po użyciu deinstalatora firmy trzeciej i tak było co czyścić. Odnośnik do komentarza
marcin878787 Opublikowano 11 Grudnia 2014 Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Dzięki za wypowiedź. Umieść linka w sygnaturze do utworzonego przez siebie tematu dotyczącego instalatorów itp. a być może więcej ludzi go zobaczy i będą bardziej uważać na przyszłość. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się