clameur Opublikowano 14 Czerwca 2011 Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 Witam, dzisiaj ściagnąłem plik, ktory się okazał czym szkodliwym. Otóż mam ten sam problem co użytkownicy damian 1521 oraz jurek. Komunikat przy trayu "1 ważna wiadomość", gdy wchodze w centrum akcji po przyciśnięciu przycisku Włącz teraz - przy usludze centrum zabezpieczen systemu windows(wazne) pojawia się komunikat wymieniony w tytule, ponadto zauwazylem chcąc przywrócic system do poprzedniego stanu że przywracanie systemu mam tez wylaczone. W trayu ciagle ikonka flagi z czerwonym znaczkiem Skanowałem system Malwarebytes' Anti Malware, oraz ccleaner czyscilem rejestr, niestety nic nie pomoglo, mimo iz oba te programy wiele wykryly. Bardzo prosze o pomoc, gdyż rozwiazania w podobnych problemach z tym komunikatem u mnie nia dzialaja... Posiadam system Windows 7 Profesional x64 Service Pack 1 Logi w załączniku - robiłem według poradników, mam nadzieje ze wszystko dobrze wstawilem, wrazie czego prosze nie usuwać tematu a szybko uzupelnie o brakujace dane. Z gory bardzo dziekuje za jakakolwiek pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2011 Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 Otóż mam ten sam problem co użytkownicy damian 1521 oraz jurek. (...) rozwiazania w podobnych problemach z tym komunikatem u mnie nia dzialaja... I próbowałeś zapewne używać jednego ze skryptów przeznaczonych do ich przypadków, gdyż widzę wyraźnie, że skrypt był puszczany. Na przyszłość: tego nie wolno robić, każdy skrypt jest konstruowany na bieżąco do widoku danego systemu, ergo jest unikatowy. Na zasadzie kompletnego przypadku jeden czy dwa wpisy mogą się zgodzić, ale tym sposobem to się gra w totolotka a nie usuwanie malware. Przy tej infekcji trafienie nie jest możliwe, infekcja generuje parę plików o losowych nazwach, u każdego występują inne pliki, u Ciebie: [2011-06-14 19:08:38 | 000,136,704 | RHS- | C] () -- C:\Windows\SysWow64\d3dim7003.dll[2011-06-14 19:08:38 | 000,000,314 | -HS- | C] () -- C:\Windows\tasks\Unlsy.job Skanowałem system Malwarebytes' Anti Malware, oraz ccleaner czyscilem rejestr, niestety nic nie pomoglo, mimo iz oba te programy wiele wykryly. Interesują mnie wyniki skanera MBAM, ile i skąd usuwał. Dołącz te dane. zauwazylem chcąc przywrócic system do poprzedniego stanu że przywracanie systemu mam tez wylaczone To na samym końcu włączysz, a nie teraz gdy infekcja ma być usuwana. Będą tu usuwane pliki infekcji + rekonfiguracja Centrum, sprzątanie po śmieciach paskowych i czynnościach GG10 oraz usunięcie plików tymczasowych. Natomiast nie będę włączać Windows Defender (infekcja też go wyłącza), gdyż pracuje tu Kaspersky Anti-Virus 2011 i Windows Defender jest zbędny. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\d3dim7003.dll C:\Windows\tasks\Unlsy.job C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml C:\Users\Clameur\AppData\Roaming\mozilla\Firefox\Profiles\oplx8e79.default\extensions\ffxtlbr@Facemoods.com C:\Users\Clameur\AppData\Roaming\mozilla\Firefox\Profiles\oplx8e79.default\extensions\DTToolbar@toolbarnet.com C:\Users\Clameur\AppData\Roaming\Mozilla\Firefox\Profiles\oplx8e79.default\searchplugins\askcom.xml C:\Users\Clameur\AppData\Roaming\Mozilla\Firefox\Profiles\oplx8e79.default\searchplugins\daemon-search.xml C:\Users\Clameur\AppData\Local\Temp*.html sc config wscsvc start= delayed-auto /C :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-614235650-3472308271-149237455-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddrnw" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - HKLM\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files (x86)\MyWebSearch\bar\1.bin O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKU\S-1-5-21-614235650-3472308271-149237455-1000..\Run: [skrybot] File not found :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartował, a po restarcie otrzymasz z tego działania log. 2. Przejdź do apletu deinstalacji programów i odmontuj adware / śmieci: DAEMON Tools Toolbar + Facemoods Toolbar. 3. Wygeneruj nowe logi z: OTL opcji Skanuj + AD-Remover w trybie skanu. Dorzuć log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
clameur Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Wszystko zrobilem wedlug instrukcji. Wrzucam logi , pierwszy to ten z mbam na samym poczatku, nastapne wedlug instrukcji. W trakcie ponownego robienia loga z OTL wyskoczył dziwny błąd o treści: "W stacji nie ma dysku. Włóż dysk do stacji\Device\Harddisk2\DR2, kliknąłem "Ponów próbę" i ruszyło dalej. Już z gory dziekuje za pomoc, widzę profesionalne podejscie do sprawy mbam-log-2011-06-14 (19-51-30).txt 06152011_015249.txt OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 1. Poprawka usuwająca odpadki po paskach narzędziowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Conduit] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar] "{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Fun Web Products] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\MyWebSearch] :Files C:\Program Files (x86)\facemoods.com Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W Google Chrome także jest śmieć facemoods: **** Google Chrome Version [12.0.742.91] **** Extension\ihflimipbcaljfnojhhknppphnnciiif (C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\facemoods.crx) (?) W pasku adresów Google Chrome wklep chrome://extensions i ENTER. W menedżerze rozszerzeń wymontuj facemoods. 3. Przedstaw log z usuwania OTL z punktu 1 (nie potrzebuję już ze Skanuj) + nowy AD-Remover. . Odnośnik do komentarza
clameur Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 W menedżerze rozszerzeńw przegladarce chrome wyswietlił się napis "Ech... żadne rozszerzenia nie zostały zainstalowane :-(" wiec nie udalo mi sie wymontować tego facemoods. Zauważyłem że oprócz wymienionych w pierwszym poscie problemów nie moge robiz kopii zapasowych, wszystko mam powylaczane tam w tym centrum akcji ( Logi z wykonania skryptu i z AD-Remover w zalaczniku. 06152011_085420.txt Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Jeszcze trzy kluczyki nie zostały skasowane. Przepraszam, już byłam zmęczona pisząc post, za późno poprawiłam pomyłkę w jednym, a dwa pozostałe dałam jako HKLM a nie HKCU. 1. Ładuj mini poprawkę do OTL, w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\AppDataLow\Software\MyWebSearch] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] Klik w Wykonaj skrypt. 2. Po ukończeniu zadania użyj funkcję Sprzątanie w OTL, która usunie kwarantannę z infekcją oraz program OTL z dysku. Funkcja wymaga restartu. 3. Odinstaluj AD-Remover, upewnij się że zniknął z dysku folder C:\Program Files (x86)\Ad-Remover. W menedżerze rozszerzeńw przegladarce chrome wyswietlił się napis "Ech... żadne rozszerzenia nie zostały zainstalowane :-(" wiec nie udalo mi sie wymontować tego facemoods. Widocznie to jest odpadek. Skasuj ręcznie folder rozszerzenia. W pasku adresów eksploratora wklej %localappdata%\Google\Chrome\Application i ENTER. Zostanie otworzony katalog, w którym będzie folder o nazwie wersji przeglądarki, wchodzisz weń, a następnie w obecny tam podfolder Extensions. I kasujesz przez SHIFT+DEL ihflimipbcaljfnojhhknppphnnciiif. Zauważyłem że oprócz wymienionych w pierwszym poscie problemów nie moge robiz kopii zapasowych, wszystko mam powylaczane tam w tym centrum akcji Wszystko naprawimy. Po prostu należy włączyć nieaktywne funkcje. Przedstaw na obrazku co widzisz w Centrum Akcji. Podaj co i gdzie nie działa, jakie błędy widzisz. Wspominałeś o nieczynnym Przywracaniu systemu, to teraz możesz je już włączyć: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznaczasz dysk z Windows i klik w Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików": . Odnośnik do komentarza
clameur Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Kojne instrukcje wykonałem Dziala przywracanie systemu tylko poprzednie punkty mi zniknely, ale dodlaem teraz punkt przywracania i mozna Została tylko ta nieszczesna usluga Centrum zabezpieczen systemu windows, ikonka w trayu ciagle czerwona (Flaga z czerwonym znaczkiem), klikając na "włącz teraz" pojawia se ten komunikat widoczny na obrazku w zalaczniku Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Została tylko ta nieszczesna usluga Centrum zabezpieczen systemu windows, ikonka w trayu ciagle czerwona (Flaga z czerwonym znaczkiem), klikając na "włącz teraz" pojawia se ten komunikat widoczny na obrazku w zalaczniku Ale przecież usługę już rekonfigurowałam skryptem OTL i było to pomyślne: [sC] ChangeServiceConfig SUKCES Nie rozumiem co się dzieje w kilku tematach, w których komenda się wykonuje (po usunięciu plików malware), a usługa nadal rzekomo wyłączona. Ręcznie więc ją włącz (to odpowiednik mojej komendy): Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator > na liście dwuklik w Centrum zabezpieczeń i Typ uruchomienia ustaw na Automatycznie (opóźnione uruchomienie) a usługę zastartuj przyciskiem. Dziala przywracanie systemu tylko poprzednie punkty mi zniknely, ale dodlaem teraz punkt przywracania i mozna Oczywiście, że poprzednich punktów nigdy nie będzie, jeśli Przywracanie jest wyłączone. Wyłączenie Przywracania jest równoznaczne z usunięciem wszystkich punktów. Ta procedura jest zresztą tu stosowana po ukończeniu dezynfekcji w celu wyczyszczenia potencjalnie nagranych kopii malware w punktach: KLIK. Oczywiście tu nie aplikuje się ten proces, bo już miałeś zdeaktywowane Przywracanie, czyli malware nie było tam kopiowane. . Odnośnik do komentarza
clameur Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Teraz wszystko już działa Kolega mi polecił fixitpc.pl i nie żałuje że tu napisałem Dziekuje najmocniej za pomoc Trzeba bardziej uważać co się uruchamia na kompie Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Jeszcze aktualizacje do wykonania: 64bit- An unknown product Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstationInternet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 24"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish Czyli Internet Explorer, 32-bitowa wersja Java i Adobe Reader: INSTRUKCJE. . Odnośnik do komentarza
Rekomendowane odpowiedzi