rasaka Opublikowano 1 Czerwca 2012 Zgłoś Udostępnij Opublikowano 1 Czerwca 2012 Witam, po porządkowaniu komputera przestały mi działac wszystkie programy, działaja jedynie przez polecenie uruchom jako administrator. Wklejam log z OTL: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2012 Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 po porządkowaniu komputera przestały mi działac wszystkie programy, działaja jedynie przez polecenie uruchom jako administrator. To "porządkowanie" to wygląda na usuwanie skanerem (z czego nie przedstawiłeś raportu). Problem stanowi ten wpis infekcji przejmujący skojarzenie EXE: O37 - HKCU\...exe [@ = 529C5] -- "C:\WINDOWS\Temp\hq8eieiu.exe" -s "%1" %* 1. Wstępne rozkojarzenie EXE, usunięcie innych odpadków i włączenie Centrum zabezpieczeń. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O37 - HKCU\...exe [@ = 529C5] -- "C:\WINDOWS\Temp\hq8eieiu.exe" -s "%1" %* O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\r266m2mapnqt5j2xjk82j0q7c07n3xs82x C:\Documents and Settings\All Users\Dane aplikacji\r266m2mapnqt5j2xjk82j0q7c07n3xs82x C:\Documents and Settings\All Users\Dane aplikacji\529C50A80000319B60D23C1E0CDF108C C:\Documents and Settings\oem\Dane aplikacji\Mozilla\Firefox\Profiles\pluc26c2.default\extensions\4fc548be56dfe@4fc548be56e39.info C:\Documents and Settings\oem\Dane aplikacji\fpvx.exe C:\WINDOWS\tasks\systems.job C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000002 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "4fc548be56dfe@4fc548be56e39.info"=- "{336D0C35-8A85-403a-B9D2-65C292C39087}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{40525A66-DB98-480D-BCF9-7AF88C1AF438}] :Services catchme :Commands [emptytemp] Klik w Wykonaj skrypt. Syste zostanie zrestartowany i otrzymasz log z wynikami. Programy zaczną normalnie funkcjonować. 2. W dalszej kolejności deinstalacja adware: Firefox: w menedżerze dodatków odinstaluj ADDICT-THING, Babylon, Browser Companion Helper, DAEMON Tools Toolbar, Free Lunch Design Toolbar, incredibar.com, Softonic-Eng7 Toolbar, toolplugin Google Chrome: w menedżerze rozszerzeń odinstaluj Web Assistant + ADDICT-THING Przez Dodaj / Usuń programy odinstaluj Web Assistant 2.0.0.439. Poza tym, również wtyczka vShare Plugin ma taką kwalifikację (instaluje adware). Po wszystkich deinstalacjach zastosuj AdwCleaner z opcji Delete. 3. Kolejna sprawa, usunięcie sterowników ArcaBit: DRV - [2009-12-06 13:17:58 | 000,034,384 | ---- | M] (ArcaBit) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\abndis.sys -- (ABndisMP)DRV - [2009-12-06 13:17:58 | 000,034,384 | ---- | M] (ArcaBit) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\abndis.sys -- (ABndis) W pierwszej kolejności musi zostać zdjęty filtr z połączeń siweciowych, w przeciwnym wypadku po usunięciu sterowników ArcaBit padnie internet. Panel sterowania > Połączenia sieciowe > z prawokliku na każde pobierasz Właściwości. W karcie Ogólne sprawdzasz jakich komponentów używa połączenie. Szukaj wpisów w rodzaju ABndis Driver, znalezione podświetl i odinstaluj. Start > Uruchom > devmgmt.msc. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście "Sterowników niezgodnych z Plug and Play" wyszukaj pozycje związane z Arcabit, podświetl i odinstaluj. 4. Wygeneruj nowy log z OTL z opcji Skanuj. Dołącz logi uzyskane z usuwania OTL (punkt 1) i AdwCleaner (punkt 2). . Odnośnik do komentarza
rasaka Opublikowano 2 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Dziękuje baardzo, programy działają! Wszystko wykonane, tylko na liscie "Sterownikow niezgodnych z Plug and Play" nie znalazlam nic skojarzonego z Arcabit. Ogólnie widze, ze staszny syf mam w tych sterownikach. Po wlaczeniu komputera pokazuja mi się komunikaty typu : znaleziono kontrolel magazynowania masowego i kreator znajdowania sprzetu. Co do daemona: niby odinstalowany, a po restarcie wyskakuje blad. Załączam logi i screen bledu: Extras.Txt OTL.Txt AdwCleanerS1.txt 06022012_105916.txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2012 Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Co do daemona: niby odinstalowany, a po restarcie wyskakuje blad. Załączam logi i screen bledu Uściślij co likwidowałeś i w jaki sposób. Jeżeli w pierwszej kolejności usunąłeś sterownik SPTD, program DAEMON Tools przestanie się uruchamiać (sypiąc błędami jak z obrazka) i nie jest nawet możliwa jego deinstalacja. Kolejność musi być następująca: deinstalacja programu, a dopiero po tym deinstalacja sterownika SPTD. Wg logów z OTL wygląda na to, że DAEMON Tools nie został odinstalowany (Alcohol bardziej na to wygląda), gdy wpis startowy jest pełny, to SPTD jest poszkodowany: DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd)SRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)O4 - HKCU..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount File not foundO4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) W tym momencie należy przywrócić sterownik SPTD za pomocą narzędzia SPTDinst, tym razem wybierając w nim przeciwstawną opcję instalacji. Po restarcie systemu DAEMON Tools powinien się uspokoić. I albo albo: deinstalujesz DAEMON Tools > po tym znów usuwasz SPTD, albo zostawiasz wszystko jak jest (przy założeniu, że program ma być używany). Ogólnie widze, ze staszny syf mam w tych sterownikach. Po wlaczeniu komputera pokazuja mi się komunikaty typu : znaleziono kontrolel magazynowania masowego i kreator znajdowania sprzetu. Może to jest "kontroler" emulacji napędów wirtualnych. Wszystkie zadania pomyślnie wykonane. Zostało kosmetyzowanie. 1. W Google Chrome ostała się wtyczka vShare (tylko wpis, gdyż AdwCleaner usunął już ten plik z dysku): CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll Usunięcie wtyczki z konfiguracji tej przeglądarki wymaga edycji pliku Preferences wg kroków nakreślonych tu w punkcie 3: KLIK. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\mozilla firefox\searchplugins\Search the web.src C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\AskToolbar C:\Documents and Settings\oem\Dane aplikacji\toolplugin C:\Documents and Settings\All Users\Dane aplikacji\ADDICT-THING C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Premium :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndisMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndis) SRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) :Commands [emptytemp] Klik w Wykonaj skrypt. Do oceny wystarczy tylko log z usuwania OTL. . Odnośnik do komentarza
rasaka Opublikowano 2 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Daemona usunelam, wtyczka usunięta, załączam log, co do sterowników narazie mi nie przeszkadza Dziękuje bardzo za pomoc, jestem pod ogromnym wrażeniem Pani profesjonalizmu. 06022012_163059.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2012 Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 (edytowane) Kończąc sprawę czyszczenia systemu: 1. Porządki po używanych narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner zastosuj Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy log, o ile coś zostanie wykryte ("pusty" zbędny). Po wlaczeniu komputera pokazuja mi się komunikaty typu : znaleziono kontrolel magazynowania masowego i kreator znajdowania sprzetu. Ja jednak poproszę o informację na temat identyfikatora tego sprzętu. Start > Uruchom > devmgmt.msc, z prawokliku na to urządzenie pobierz Właściwości, przejdź do karty Szczegóły i z menu rozwijanego ustaw "Identyfikatory sprzętu" oraz "Usługa", przeklej tu co się tam pokazuje. . Edytowane 1 Lipca 2012 przez picasso 1.07.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi