kuciak78 Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Witam. Zaczęło się od "kosza". Był pusty, ale ikona kosza była pełna i przy próbie opróżnienia go pokazywał się komuniat: czy na pewno usunąć "WINDOWS". Po przeskanowaniu Esetem, znalazł w.w. kryptik, sirefef i parę innych. Oprócz sytuacji z "koszem" nie zaobserwowałem żadnych niepokojących objawów: spowolnienie/zamulenie komputera, podmienionej strony startowej czy samoistnie otwierających się niechacianych stron internetowch. W załączniku logi z: Gmer, FRST oraz Eset Z góry dziękuje za pomoc. Addition.txt Eset scanner.txt FRST.txt Gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Brak oznak czynnej infekcji. Zaś wynikami ESET nie trzeba się przejmować. ESET wykrył martwe obiekty w C:\Qoobox = to jest kwarantanna ComboFix, której nie usunięto po użyciu ComboFix (ComboFix nie został poprawnie odinstalowany). Czyli do usunięcia tylko zablokowane foldery Qoobox + RECYCLER oraz drobne wpisy puste, w tym odpadkowy Dziennik zdarzeń Dr. Web. Wypięcie dziennika Dr. Web będzie wymagało tymczasowego wyłączenia Dziennika zdarzeń, co wymusza dwa skrypty FRST. Akcja: 1. Odinstaluj bardzo stare wersje: Adobe Flash Player 10 ActiveX, ffdshow [rev 3154], Java 7 Update 51, Java 6 Update 34, Java 6 Update 7, OpenOffice.org 3.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [] => [X] S2 ADILOADER; System32\Drivers\adildr.sys [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] S3 catchme; \??\C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\catchme.sys [X] S3 eapihdrv; \??\C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\ehdrv.sys [X] R4 mbamchameleon; \??\C:\WINDOWS\system32\drivers\mbamchameleon.sys [X] U3 TlntSvr; Brak ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1935655697-725345543-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1935655697-725345543-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1935655697-725345543-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKU\S-1-5-21-1935655697-725345543-682003330-1003\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programs\SUPERAntiSpyware RemoveDirectory: C:\Documents and Settings\Właściciel\Doctor Web RemoveDirectory: C:\Documents and Settings\Właściciel\Menu Start\Programy\Hugin RemoveDirectory: C:\Program Files\Malwarebytes Anti-Malware RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Qoobox RemoveDirectory: C:\RECYCLER RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh firewall reset CMD: sc config Eventlog start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. System może się dłużej uruchamiać ze względu na wyłączenie Dziennika. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Skopiuj go w inne miejsce niż siedzi FRST, bo kolejny punkt nadpisze bieżący log. 3. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Jest zainstalowany najnowszy Firefox, ale widać w nim niekompatybilne stare rozszerzenia i pewne odpadki. Czas na odświeżenie ustawień: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Greasemonkey, Flashblock, MEGA, Stylish) trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też oba pliki fixlog.txt. Odnośnik do komentarza
kuciak78 Opublikowano 15 Października 2015 Autor Zgłoś Udostępnij Opublikowano 15 Października 2015 Dziękuję za szybką odpowiedź. Zalecenia wykonane. Poniżej logi. Fixlog1.txt Fixlog2.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2015 Zgłoś Udostępnij Opublikowano 15 Października 2015 Wszystko zrobione, ale zapomniałam włączyć ponownie Dziennik zdarzeń. Mini poprawki: Otwórz Notatnik i wklej w nim: FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\dtplugin\npDeployJava1.dll [brak pliku] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Właściciel\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\Właściciel\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\Właściciel\Pulpit\FRST-OlderVersion RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\UsbFix CMD: del /q C:\Documents and Settings\Właściciel\Pulpit\iyir9nfj.exe CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
kuciak78 Opublikowano 19 Października 2015 Autor Zgłoś Udostępnij Opublikowano 19 Października 2015 Zrobione. W załączniku log. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2015 Zgłoś Udostępnij Opublikowano 21 Października 2015 Kończymy: 1. Był uruchamiany GMER. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. GMER dokasuj ręcznie. Odnośnik do komentarza
Rekomendowane odpowiedzi