tosterkowa Opublikowano 20 Stycznia 2015 Zgłoś Udostępnij Opublikowano 20 Stycznia 2015 Serdecznie proszę o pomoc z komputerem.Po ściągnięciu programu do tworzenia obrazów płyt (16 stycznia) ze strony dobre programy zaczęły się duże problemy z komputerem, które uniemożliwiają pracę, gł. z internetem. Zainstalowały się omiga plus i youtube accelerator. Chcąc naprawić zainstalowaliśmy spy hunter co oczywiście okazało się błędem i teraz on także jest problemem (ciągle wyskakujące okna). Spy Hunter podał, że w kompterze jest 1131 zagrożeń (lista w pliku .png w załączniku). Usunęliśmy emulatory. W załącznikach przesyłam raport z FRST.Niestety nie mogę zrobić raportu GMER wg instrukcji. Mam nieaktywne do zaznaczenia pola od "system" do "biblioteki". Proszę o pomoc i pokierowanie w tym.Poniżej opis ogólny problemów: Nieuzasadnione skrócenie żywotności baterii: ze 100% do 10% z ok. 4h do ok. 1,5h W przeglądarce Chrome zainstalowała się strona startowa: hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS W panelu sterowania nie można usunąć/odinstalować programów: „omiga-plus” oraz „you tube accelerator”. O tych wiem na pewno, nie mam pewności czy na liście wyświetlanych programów nie ma kolejnych takich, które są wirusami Po otwarciu przeglądarek (Chrome, firefox) pojawiają się dziwne puste ramki, jakby reklamowe, tylko że są puste (pod ramką małymi literami napisane: „ADS BY Info” oraz „AD OPTIONS”). Jak klikam na jakieś odniesienie do kolejnej strony wyskakują nowe karty z różnymi reklamami. Nawet jak nic nie robię na danej stronie (np. gazeta.pl) to po kilku minutach samoistnie odpala się nowa karta, albo przeskakuje z obecnej na inną, reklamową, jedną, drugą, trzecią... Pojawia się np. takie okienko: „Skrypt na tej stronie może być zajęty lub przestał odpowiadać. Można przerwać ten skrypt teraz, otworzyć go w debuggerze albo pozwolić mu kontynuować. Skrypt: hxxp://luu.lightquartrate.com/sd/apps/griddy/griddy-1.9.9.4.3-cmjs.js?cb=6:1” Pojawia się czasem komunikat: „Runtime error (at 78:221): could not call proc”; albo jakieś okienko z chińskimi/japońskimi znaczkami, też w stylu jakiegoś komunikatu; albo na pasku zadań ikonka telefonu, tak jakby był podłączony przez kabel, a nie jest. Przy starcie systemu problemy z uruchomieniem, propozycja naprawy systemu, komunikat, że system windows nie został zamknięty poprawnie. Bardzo proszę o pomoc. Praktycznie nie da się już korzystać z przeglądarek przez wyskakujące okna. Pozdrawiam!Monika FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2015 Zgłoś Udostępnij Opublikowano 23 Stycznia 2015 Adware to nie jest podstawowy problem tutaj - w systemie grasuje rootkit Necurs. On ma pierwszeństwo usuwania. Dopiero po tym można zająć się adware. Działania wstępne: 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć Rootkit.Win32.Necurs.gen (dwie pozycje: 1c2a86b7768b5cf3 i syshost32) - dla tych wyników zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller. Odnośnik do komentarza
tosterkowa Opublikowano 23 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2015 Dziękuję za odpowiedź. Wykonałam polecenia. Załączam potrzebne pliki.Logi TDSSKiller zrobiły mi się cztery (nie wiem czemu, raz wzięta pauza w skanowaniu).Pozdrawiam! FRST.txt TDSSKiller.3.0.0.44_23.01.2015_20.29.09_log.txt TDSSKiller.3.0.0.44_23.01.2015_20.39.27_log.txt TDSSKiller.3.0.0.44_23.01.2015_20.46.46_log.txt TDSSKiller.3.0.0.44_23.01.2015_21.07.04_log.txt Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2015 Zgłoś Udostępnij Opublikowano 23 Stycznia 2015 Rootkit pomyślnie usunięty. Przechodzimy do usuwania adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-13] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158864 2015-01-04] (XTab system) R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2015-01-14] (GOOBZO) HKLM-x32\...\Run: [smart File Advisor] => C:\Program Files (x86)\Smart File Advisor\sfa.exe [280824 2011-04-04] (Filefacts.net) HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [GoobzoYouTubeAccelerator] => C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe [2227048 2015-01-14] (GOOBZO) HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [YpPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\admin\AppData\Local\Ozics\EP0NOE12.DLL HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [Eltion] => regsvr32.exe C:\Users\admin\AppData\Local\Eltion\CNHL08A.dll HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230059&from=cor&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230059&from=cor&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll (Goobzo Ltd.) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\admin\AppData\Local\PriceFountain\PriceFountainIE.dll No File BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll (Goobzo Ltd.) Task: {0C9CE307-51C4-464D-8FD6-0CCB436996E3} - System32\Tasks\YTAUpdate => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2015-01-14] (Goobzo) Task: {1047211C-5FE9-481E-98B4-9DE650703E7B} - System32\Tasks\Price Fountain => C:\Users\admin\AppData\Roaming\PriceFountain\UpdateProc\UpdateTask.exe [2015-01-14] () Task: {132A5AB7-E187-4EBF-A5FE-6DA2355D2F38} - System32\Tasks\AdobeFlashPlayerUpdate => C:\windows\SysWOW64\FlashPlayerUpdateService.exe Task: {1F45BDFA-213D-4E5A-8E6F-434A1FD950AA} - System32\Tasks\DSite => C:\Users\admin\AppData\Roaming\DSite\UpdateProc\updatetask.exe [2014-01-14] () Task: {37F30370-B076-4B56-B878-84485F70F2D1} - System32\Tasks\EPUpdater => C:\Users\admin\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-04-07] () Task: {49CCC7BC-996A-4A99-BE8B-3148630467BB} - System32\Tasks\YTAUpdate_logon => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2015-01-14] (Goobzo) Task: {6F072A49-9EF7-4875-BC2F-85EFE2E38976} - System32\Tasks\{402429A3-AD80-47F2-B019-FD4EA2A104D0} => pcalua.exe -a C:\Users\admin\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {7F8ABB9C-5D6F-4D2E-834B-0E9F930E4018} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\windows\SysWOW64\FlashPlayerUpdateService.exe Task: {C43A4654-5150-429B-9772-2670BDC719FE} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe [2014-06-15] (Goobzo LTD) Task: {D9E57034-BE63-4D26-ADBE-29EFDEBF4C1D} - System32\Tasks\Digital Sites => C:\Users\admin\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {FE6BB7F9-A821-4A5E-A9CA-195F39DE7E55} - System32\Tasks\{64B1E721-462F-4A10-972F-D71B77213CCD} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: C:\windows\Tasks\Digital Sites.job => C:\Users\admin\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\windows\Tasks\Price Fountain.job => C:\Users\admin\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS" CHR DefaultSearchKeyword: Default -> omiga-plus CHR HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - C:\Users\admin\AppData\Local\newhb2.crx [2013-10-23] CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\admin\AppData\Roaming\BabSolution\CR\BabylonChrome1.crx [Not Found] CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\Program Files\Enigma Software Group C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\GUT3BD8.tmp C:\Program Files (x86)\XTab C:\ProgramData\AVG C:\ProgramData\IHProtectUpDate C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\admin\AppData\Local\Avg C:\Users\admin\AppData\Local\CrashDumps C:\Users\admin\AppData\Local\CrashRpt C:\Users\admin\AppData\Local\Eltion C:\Users\admin\AppData\Local\globalUpdate C:\Users\admin\AppData\Local\Ozics C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\admin\AppData\Roaming\BabMaint.exe C:\Users\admin\AppData\Roaming\AVG C:\Users\admin\AppData\Roaming\BabSolution C:\Users\admin\AppData\Roaming\omiga-plus C:\Users\admin\AppData\Roaming\OpenCandy C:\Users\admin\AppData\Roaming\PriceFountain C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Public\Documents\GOOBZO C:\Windows\Installer\{B13EA808-3A8F-8E31-3851-661E1839DC64} C:\Windows\System32\Drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI CMD: for /d %f in (C:\Users\admin\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\omiga-plus uninstall" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware/PUP: Babylon Chrome Toolbar, Smart File Advisor 1.1.1, Update for Video Converter, Video Converter Packages, YouTube Accelerator. - Stare wersje: Adobe Flash Player 11 ActiveX, Adobe Reader X (10.1.13) MUI, Java 6 Update 20 W przypadku błędów kontynuuj z dalszymi pozycjami. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Fun Dial. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dołącz też plik fixlog.txt. Poproszę również o zrzuty ekranu z następującego miejsca Internet Explorer: Opcje Internetowe > Programy > Zarządzaj dodatkami > Paski narzędzi i rozszerzenia. Odnośnik do komentarza
tosterkowa Opublikowano 23 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2015 W Chrome nie mogliśmy znaleźć Fun Dial. Było za to inne rozszerzenie "inoeonmfapjbbkmdafoankkfajkcphgd", które miało w uprawnieniach „odczyt i zmiana wszystkich twoich danych na otwieranych stronach”. Wykasowaliśmy. Printscreen z chrome z rozszerzeń w załaczniku. Reszta wykonana. Wymagane pliki w załącznikach.Pozdrawiam Fixlog.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2015 Zgłoś Udostępnij Opublikowano 24 Stycznia 2015 W Chrome nie mogliśmy znaleźć Fun Dial. Było za to inne rozszerzenie "inoeonmfapjbbkmdafoankkfajkcphgd", które miało w uprawnieniach "odczyt i zmiana wszystkich twoich danych na otwieranych stronach". Wykasowaliśmy. Printscreen z chrome z rozszerzeń w załaczniku. "Fun Dial" było, ale już go nie widać. Natomiast "inoeonmfapjbbkmdafoankkfajkcphgd" widziałam w logu i myśląc, że to niewidoczny na liście rozszerzeń odpadek (nazwa nie jest interpretowana, pokazywane ID rozszerzenia jako nazwa) załączyłam w skrypcie FRST. Twój opis definitywnie wskazuje, że nie był to jednak szczątek tylko pełne rozszerzenie. Usunięcie folderu z dysku nie usuwa wpisu rozszerzenia z listy zainstalowanych. To mamy z głowy. Wszystko zrobione. Idziemy dalej. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [] => [X] BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\00824150.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\10881240.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\24602589.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\00824150.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\10881240.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\24602589.sys => ""="Driver" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\IsoBuster w sieci.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\Zamów teraz.lnk C:\Users\Public\Documents\GOOBZO CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. Zaprezentuj go. Odnośnik do komentarza
tosterkowa Opublikowano 24 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2015 Dziękuję za wyjaśnienia.Zrobione wszystko.Przesyłam plik fixlog.txt. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2015 Zgłoś Udostępnij Opublikowano 24 Stycznia 2015 Hmmm.... w dodatkowym skanie są ślady infekcji szyfrującej CryptoWall - czy dane są w porządku? Katalog: C:\Users\admin\AppData\LocalLow 2015-01-19 19:47 8.542 HELP_DECRYPT.HTML 2015-01-19 19:47 45.541 HELP_DECRYPT.PNG 2015-01-19 19:47 4.214 HELP_DECRYPT.TXT 2015-01-19 19:47 272 HELP_DECRYPT.URL I kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\AVAST Software C:\Program Files (x86)\GUM3BD7.tmp C:\Program Files (x86)\McAfee C:\Program Files (x86)\Opera C:\Program Files (x86)\Temp C:\Program Files (x86)\VideoConverter C:\Program Files (x86)\Common Files\mcafee C:\Program Files (x86)\Common Files\Symantec Shared C:\ProgramData\AVAST Software C:\ProgramData\Babylon C:\ProgramData\DAEMON Tools Lite C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\McAfee C:\ProgramData\Nero C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Partner C:\ProgramData\Sun C:\ProgramData\TEMP C:\Users\admin\AppData\Local\burnaware.ini C:\Users\admin\AppData\Local\DICOMViewer C:\Users\admin\AppData\Local\Installer C:\Users\admin\AppData\Local\Nero C:\Users\admin\AppData\Local\Nero_AG C:\Users\admin\AppData\Local\Opera Software C:\Users\admin\AppData\Local\webkit C:\Users\admin\AppData\LocalLow\HELP_DECRYPT.* C:\Users\admin\AppData\Roaming\burnaware.ini C:\Users\admin\AppData\Roaming\Babylon C:\Users\admin\AppData\Roaming\DAEMON Tools Lite C:\Users\admin\AppData\Roaming\DigitalSites C:\Users\admin\AppData\Roaming\DSite C:\Users\admin\AppData\Roaming\Nero C:\Users\admin\AppData\Roaming\Opera Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz log z folderu C:\AdwCleaner. Odnośnik do komentarza
tosterkowa Opublikowano 24 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2015 Nie wiem czy dobrze rozumiem pytanie. Dane na komputerze wyglądają normalnie; zdjęcia, dokumenty itp - poprawnie się otwierają. Załączam pliki fixlog i adwcleaner.Dziękuję za dotychczasową pomoc! AdwCleanerR0.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2015 Zgłoś Udostępnij Opublikowano 24 Stycznia 2015 Nie wiem czy dobrze rozumiem pytanie. Dane na komputerze wyglądają normalnie; zdjęcia, dokumenty itp - poprawnie się otwierają. Pytałam, bo są ślady infekcji, która ma na celu zaszyfrować dane. Skoro jednak określone pliki się poprawnie otwierają, to może nie zdążyło się szyfrowanie wykonać. I kolejne poprawki: 1. Uruchom ponownie AdwCleaner, ale tym razem zaaplikuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Users\admin\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\admin\Downloads\qhilom7d.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Odnośnik do komentarza
tosterkowa Opublikowano 24 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2015 Zrobione. Przesyłam log. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2015 Zgłoś Udostępnij Opublikowano 24 Stycznia 2015 Fix wykonany. Uruchom Malwarebytes Anti-Malware. Przy instalacji odznacz opcję trial. Wykonaj pełny skan systemu. Jeśli coś wykryje, przedstaw wynikowy raport. Odnośnik do komentarza
tosterkowa Opublikowano 24 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2015 Znalazło takie coś: PUP.Optional.SensePlus.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\APPDATALOW\SOFTWARE\SensePlus, , [9f9ae417a0e9e650a81b710f867d20e0]Raport w załączeniu. 2015.01.24.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2015 Zgłoś Udostępnij Opublikowano 24 Stycznia 2015 1. MBAM wykrył tylko drobny szczątek adware. Usuń za pomocą programu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zmień hasła logowania w serwisach (bank / poczta / serwisy społecznościowe itd.). To tyle. Odnośnik do komentarza
tosterkowa Opublikowano 25 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2015 Wszystko zrobione. Dziękuję bardzo! :)Mam pytanie, które dopiero mi sie narodziło. Jakiś czas temu do tego komputera był podłączany dysk zewnętrzny. Którym programem go przeskanować? DelFix.txt Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2015 Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Mam pytanie, które dopiero mi sie narodziło. Jakiś czas temu do tego komputera był podłączany dysk zewnętrzny. Którym programem go przeskanować? Tu były infekcje nie przenoszące się na inne dyski. Wyjątkiem są ślady tego "szyfratora", który jakoby nie zrobił nic. Do skanowania dysku zewnętrznego można zastosować dowolnie wybranego antywirusa. Jeśli masz na myśli wersje skrócone, to np. Kaspersky Virus Removal Tool - w konfiguracji skanera trzeba wskazać dysk. Skasuj z dysku plik C:\Delfix.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się