Ejoh Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Witam, kolejna ofiara pisze o pomoc, tylko zacznę od innego pytania, otóż czy jeżeli sformatuję komputer to wirus się usunie i nie wróci? Bo ja wysłałbym już godzinę temu te 2 pliki z OLT, tylko jak mam tryb awaryjny to nie mogę załączyć tej sieci bezprzewodowej. Więc czy lepiej sformatować komputer czy wysłać (nie wiem czy jest to możliwe z telefonu Avilli) te 2 pliki, aby to naprawić? Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 otóż czy jeżeli sformatuję komputer to wirus się usunie i nie wróci? Ależ po co format na taką błachostkę... Owszem, z Twojej strony to jak "tragedia", ale to jest kwestia tylko jednego wpisu w stacie. Format nieopłacalny, działanie przeinwestowane. Bo ja wysłałbym już godzinę temu te 2 pliki z OLT, tylko jak mam tryb awaryjny to nie mogę załączyć tej sieci bezprzewodowej. Z poziomu Trybu awaryjnego utwórz nowe konto, zaloguj się na nie i zuploduj z jego poziomu logi. Ale: logi mają być zrobione z poziomu konta, na którym jest problem, gdyż rejestry kont są różne. Więc czy lepiej sformatować komputer czy wysłać (nie wiem czy jest to możliwe z telefonu Avilli) te 2 pliki, aby to naprawić? Ekhm ... ale po formacie to po ptakach i logi do niczego. . Odnośnik do komentarza
Ejoh Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Mam 3 konta na trybie awaryjnym: Administrator, Bob (zarażone) i Tom (zarażone). Z któerego zrobić logi? I co zrobić, aby był plik Extras? Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Skoro na dwóch kontach widzialny defekt, to przypuszczalnie wpis infekcji jest globalny i będzie widoczny z poziomu dowolnego konta. Dla ułatwienia na początek zrób logi z poziomu konta Administrator, a jeśli ten log nic nie wykaże, poproszę o logi zrobione z Boba i Toma. By pozyskać log Extras, należy opcję Rejestr - skan dodatkowy ustawić na Użyj filtrowania. . Odnośnik do komentarza
Ejoh Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Trudna jest ta wysyłka plików przez telefon, ale się udało. Próbowałem jeszcze przez komputer wysłać, ale konto padło również ofiarą, także są logi ze 4 kont: http://hostuje.net/file.php?id=aeebc2b3f84200440e182e0254070830 Czy mógłbym mieć do Ciebie jeszcze jedną prośbę, otóż żebyś tą komendę nie dawała w tej ramce, bo wtedy mi się tekst ucina jak widziałem na innych tematach. Odnośnik do komentarza
Ejoh Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 I co, da jeszcze radę coś z tym zrobić? Bo wiem, że ten folder hellomoto jest w Danych aplikacji tych 3 kont: Bob, Tom i Wysylka. W rejestrze nie potrafiłem niczego znaleźć. Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Ejoh, proszę bez podbić tematu. Przecież chyba widzisz, że pomagają tu dwie osoby na setki potrzebujących pomocy... Infekcja jest zapisana globalnie, toteż usuwanie może iść z dowolnego konta, ale już sprzątanie dodatkowych adware z konfiguracji przeglądarek jest zależne od konta. W tej materii najbardziej zaśmiecony Tom. Zadanie muszę nieco podzielić, doczyszczeniem Toma zajmę się na końcu. 1. Spod dowolnego konta które jest dostępne (Administrator?) uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [TSTheme] C:\Documents and Settings\Bob\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2452\TSTheme.exe () O4 - HKLM..\Run: [VaultCredProvider] C:\Documents and Settings\Tom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\645\VaultCredProvider.exe File not found O4 - HKLM..\Run: [] File not found SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) :Files C:\Documents and Settings\Bob\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2452 C:\Documents and Settings\Tom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\645 C:\Documents and Settings\Tom\Dane aplikacji\hellomoto C:\Documents and Settings\Bob\Dane aplikacji\hellomoto C:\Documents and Settings\Tom\Dane aplikacji\Mozilla\Firefox\Profiles\dd2i4ufl.default\searchplugins\startsear.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware / nośniki adware IObit Toolbar v5.1 + LiveVDO plugin 1.3. 3. Zastosuj AdwCleaner z opcji Delete, na koncie Tom i koncie Bob. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras), a wystarczy to zrobić z konta Tom. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
Ejoh Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Sory wtedy za doubla, edycja nie chciała wejść. Chciałbym jeszcze się zapytać jak się przed tym wirusem chronić, kiedy mogę załączyć internet oraz czy mogę tak po prostu usunąć te 2 konta: Wysylka i Wysylka2, i żeby nie było żadnych pozostałości po nich. No i tu są te logi: http://hostuje.net/file.php?id=148ba62c6d729b523bf4c67de871c486 Sory, że znowu double-post, ale wydaje mi się, że gdy przenosiłaś post dzodzo to temat jest oznaczony jako przeczytany. A tata mnie pogania, bo myśli, że specjalnie nie chcę go na kompa wpuścić. Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Nie podbijaj, gdy mówię wyrażnie, by tego nie robić. Błędne założenia, źle Ci się wydaje i następnym razem nie spekuluj co ja robię. Dla Twojej informacji: w ogóle nie oznaczam forum jako przeczytanego, bo muszę wiedzieć gdzie jest nowy post. Jest tu masa potrzebujących i nie spodziewaj się, że otrzymasz odpowiedź natychmiast ... I tak miałam przetwarzać teraz Twój temat. Co mamy: na koncie Tom nadal infekcja. Akcja z poziomu konta Tom: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [spoolss] C:\Documents and Settings\Wysylka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3378\spoolss.exe File not found O4 - HKLM..\Run: [taskschd] C:\Documents and Settings\Wysylka2\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2061\taskschd.exe File not found O4 - HKLM..\Run: [TSTheme] C:\Documents and Settings\Bob\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2452\TSTheme.exe File not found O4 - HKLM..\Run: [VaultCredProvider] C:\Documents and Settings\Tom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\645\VaultCredProvider.exe () IE - HKCU\..\URLSearchHook: {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - No CLSID value found FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaulturl: "http://home.speedbit.com/search.aspx?aff=206&q=" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "pl.v9.com/idg/idg_1329151642_120462" :Files C:\Documents and Settings\Wysylka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3378 C:\Documents and Settings\Wysylka2\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2061 C:\Documents and Settings\Bob\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2452 C:\Documents and Settings\Tom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\645 C:\Documents and Settings\Tom\Moje dokumenty\ligowyareen.hbr C:\Documents and Settings\Tom\Moje dokumenty\ligowywhite.hbr C:\Program Files\Adrykto :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1. czy mogę tak po prostu usunąć te 2 konta: Wysylka i Wysylka2, i żeby nie było żadnych pozostałości po nich Tak. Przy usuwaniu konta zaznacz opcję usuwania plików z dysku. . Odnośnik do komentarza
Ejoh Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Kolejna paczka logów. Tych 2 kont jeszcze nie usuwałem. http://hostuje.net/file.php?id=00df63bbaa6a068018208120b6aa10ea Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Wszystko zdaje się być wykonane. Przejdź do czynności końcowych: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Odnośnik do komentarza
Ejoh Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Nic nie wykryło więc to chyba wszystko? Jeśli tak to wielkie dzięki za pomoc i przepraszam za wszystkie nerwy związane ze mną. Postaram się w ciągu najbliższych tygodni wpłacić jakąś dotację. Jeszcze raz dzięki Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 1. Na zakończenie należy wykonać istotne podstawy aktualizacyjne / sprawdzian wersji: KLIK. Tutaj wyciąg z Twojej listy zainstalowanych jakie wersje są widoczne: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)"Opera 11.62.1347" = Opera 11.62 2. Dodatkowa uwaga spoza tematu zasadniczego. Polecam także deinstalację EXPERTool (Gainward). Jest to bardzo stary tweaker, sterowniki z roku 2002: DRV - [2002-07-27 18:01:06 | 000,005,306 | R--- | M] (Windows ® 2000 DDK provider) [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)DRV - [2002-07-27 18:01:06 | 000,005,306 | R--- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex) Ponadto, Gadu-Gadu 10 = może zainteresują Cię alternatywy, mniej zasobożerne i bardziej przyjazne dla szybkości systemu. Solidne opisy znajdziesz w moim artykule Darmowe komunikatory. Programy, które się dziś liczą (dobra obsługa Gadu) to: WTW, Miranda, AQQ, Kadu. WTW i AQQ obsługą także Skype, bez konieczności używania oryginalnego Skype. Postaram się w ciągu najbliższych tygodni wpłacić jakąś dotację. Oceniając po "niecierpliwości" w temacie tego nie spodziewałam się. Dziękuję bardzo. . Odnośnik do komentarza
Ejoh Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Ponadto, Gadu-Gadu 10 = może zainteresują Cię alternatywy, mniej zasobożerne i bardziej przyjazne dla szybkości systemu. Solidne opisy znajdziesz w moim artykule Darmowe komunikatory. Programy, które się dziś liczą (dobra obsługa Gadu) to: WTW, Miranda, AQQ, Kadu. WTW i AQQ obsługą także Skype, bez konieczności używania oryginalnego Skype. Tzn. zamiast Skype pobrać ten program AQQ z wtyczką SkypeCore? I co z tym Malwarebytes Anti-Malware? Na razie wersja testowa na 14 dni, ale dużo RAMu zżera. Odnośnik do komentarza
student Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 wtyczka Skype we AQQ wspiera Skype Jest to wersja testowa(z mocnym naciskiem na testowa), część rzeczy może nie działać - choć starają się jak mogą najlepiej -, ale duża większość powinna być w porządku. Bez dłuższego owijania w bawełnę, co działa: Dodawanie(pseudonim pobierany automatycznie), edycja, usuwanie kontaktów Synchronizacja listy Pobieranie wizytówki oraz awatara Rozmowy tekstowe, audio - także konferencyjne* - oraz wideo(tu brak konferencji) Transfery plików Wyszukiwanie kontaktów Powiadomienie o pisaniu(polecę ze swojej strony wtyczkę TabKit, która umieszcza ikonkę ołówka na karcie rozmowy) Ustawianie stanu oraz opisu konta Wysyłanie SMSów Malwarebytes Anti-Malware uruchomiony jest w trybie rzeczywistej ochrony co tak zabiera ci pamięci RAM możesz poczekaniu aż się skończy bo raczej będzie trzeba odinstalować i pobrać w wersji darmowej bez aktywowania 30 dni wersji pełnej. Wtedy nie powinno zabierać pamięci RAM (tylko przy skanowaniu). Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Tzn. zamiast Skype pobrać ten program AQQ z wtyczką SkypeCore? Tego nie mówiłam. Ja tylko wskazuję, że WTW i AQQ z wtyczkami do Skype potrafią również obsługiwać Skype i nie jest potrzebny do tego oryginalny Skype (w rozumieniu: uruchomiony). A co Ty wybierzesz to jak mówię: Twój wybór. I co z tym Malwarebytes Anti-Malware? Na razie wersja testowa na 14 dni, ale dużo RAMu zżera. Gdy zadawałam skan moją intencją był wybór wariantu darmowego (skan na żądanie) a nie triala komercyjnego 30-dni (dodatkowa osłona rzeczywista), bo w systemie już jest rezydent czasu rzeczywistego od Avira i to za dużo. Było zadawane pytanie przy pierwszym starcie programu, który wariant zaaplikować ... Aktualnie po prostu w opcjach MBAM wyłącz osłonę rezydentną. . Odnośnik do komentarza
Ejoh Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 OK, no to jeszcze raz wielkie dzięki za wszystko i mogę jeszcze tylko pogratulować wiedzy i zaangażowania. Odnośnik do komentarza
Rekomendowane odpowiedzi