critu Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Witam ponownie. Mam problem z komputerem bratanka. Chodzi o winlog i cross.exe Avast diagnozuje je jako wirusy. W załączniku potrzebne logi Extras.Txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Log z GMER został wykonany w niewłaściwych warunkach, przy czynnym sterowniku SPTD od emulatora napędów wirtualnych. Uruchamiałeś jakiś skrypt do OTL, co to było? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe () O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe () O3 - HKLM\..\Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O20 - Winlogon\Notify\dimsntfy: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found [2012-02-03 21:25:45 | 000,004,096 | ---- | M] () -- C:\WINDOWS\System32\crash :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@funwebproducts.com/Plugin] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 2. Przejdź do Dodaj / Usuń programy i odinstaluj śmieci sponsoringowe: Ask Toolbar, Acala 3GP Movies FileBulldog Toolbar, Babylon toolbar on IE, DAEMON Tools Toolbar, facemoods, QuickStores-Toolbar 1.0.0. Powtórz usuwanie w menedżerze rozszerze Firefox obiektów z listy, plus dodatkowo Winamp Toolbar. 3. Zaprezentuj nowe logi: OTL z opcji Skanuj (bez Extras) oraz AdwCleaner z opcji Search. Dołącz też log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
critu Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Tak, uruchomiłem ten skrypt, gdyż problem wydawał się być podobny jednak to nie pomogło. Zaraz spróbuję zastosować wskazówki z powyższego posta. Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Tamten skrypt nie ma zazębienia z Twoją sytuacją ... Wykonać się nie mógł (inne ścieżki), poza ogólnikową komendą czyszczenia Tempów. Skrypty są unikatowe dla danego systemu i nie wolno ich sobie brać i używać w ciemno. Każdy jest tworzony korespondująco do logów danego użytkownika. Odnośnik do komentarza
critu Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 W załączniku log po skanowaniu 02232012_110229.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Skrypt pomyślnie wykonany. Nie wygląda jednak na to, że deinstalacje śmieci sponsoringowych były kompletne. Nadal widzę w rozszerzeniach Firefox grupę wtrętów oraz w tle proces Facemoods. Ponadto, miałeś podać log z AdwCleaner. Odnośnik do komentarza
critu Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Wrzucam jeszcze raz pliki do przeglądu. Trwa to tak długo bo nie zawsze mam dostęp do tego kompa. AdwCleanerR4.txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 O GMER już nie prosiłam po raz drugi, a log z GMER konsekwentnie robiony w nieprawidłowych warunkach (czynny sterownik SPTD), przecież opis GMER kieruje do ogłoszenia: KLIK. W OTL nadal widnieją drobniutkie odpadki po sponsorach. Mini poprawka: 1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4C350B19-6CA1-4569-B14C-296D8D65300B} - No CLSID value found. FF - prefs.js..browser.search.defaultenginename: "Winamp Search" [2010-09-26 15:41:05 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\9cjd8bfb.default\searchplugins\winamp-search.xml [2011-09-28 20:15:01 | 000,000,000 | ---D | M] (Babylon) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2010-12-13 13:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml Klik w Wykonaj skrypt. 2. Do oceny wystarczy tylko log z usuwania wygenerowany w punkcie 1. Nie potrzebuję już nowych logów. . Odnośnik do komentarza
critu Opublikowano 25 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2012 Proszę o sprawdzenie. O jakich rozszerzeniach firefoxa też mowa. OTL.txt Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2012 Zgłoś Udostępnij Opublikowano 25 Lutego 2012 O jakich rozszerzeniach firefoxa też mowa. Ale o czym mówisz? To już nieaktualne, skrypty / narzędzia usunęły co należy ... I tu już czyszczenie końcowe: 1. Porządki po narzędziach: opcja Sprzątanie w OTL + opcja Uninstall w Adwcleaner. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie Malwarebytes Anti-Malware. O ile coś wykryje, przedstaw log. . Odnośnik do komentarza
critu Opublikowano 25 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2012 oto log mbam-log-2012-02-25 (19-15-41).txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2012 Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Oceniając wyniki z MBAM: Wykryte wpisy rejestru systemowego: 3HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. Te wyniki nie są stricte infekcyjne. One oznaczają, że są wyłączone powiadomienia Centrum zabezpieczeń. Akcję tę może wykonać: użytkownik osobiście, tweaker, infekcja. MBAM nie ma zdolności rozpoznania pochodzenia modyfikacji. Wykrytych plików: 7C:\Program Files\RALINK\RT2400 Wireless LAN Card\Installer\WIN2K\CCS24.exe (Adware.Agent) -> Nie wykonano akcji.C:\Program Files\RALINK\RT2400 Wireless LAN Card\Installer\WIN9X\CCS24.exe (Adware.Agent) -> Nie wykonano akcji.C:\Program Files\RALINK\RT2400 Wireless LAN Card\Installer\WINME\CCS24.exe (Adware.Agent) -> Nie wykonano akcji.C:\Program Files\RALINK\RT2400 Wireless LAN Card\Installer\WINXP\CCS24.exe (Adware.Agent) -> Nie wykonano akcji.C:\WINDOWS\system32\CCS24.exe (Adware.Agent) -> Nie wykonano akcji. O tym nie wiem co sądzić. Plik znajduje się w ścieżce Ralink. Pozostałe do usunięcia. . Odnośnik do komentarza
critu Opublikowano 26 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Bardzo dziękuję za pomoc, która oczywiście była ogromna. Szacun i jeszcze raz dzięki. Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Na zakończenie wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 22"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6 System w proszku (brak SP3+IE8). Szczegóły aktualizacyjne: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi