jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Sality Killer - mignęło okienko CMD i tyle
nie, bo okienko powinno być cały czas widoczne w czasie skanu.
Sality Remover/rmsality - wykrył w pamięci że komputer jest zainfekowany, polecił wykonanie skanu po reboocie i teraz wypisał kilkanaście ścieżek ze statusem Not Found lub Can't open.to możliwe, choć lepiej by było, gdyby coś wykrył i wyleczył
jessi
-
Co do trybu awaryjnego, to wiem że nie wchodzi,
i widzę to w logu Additional.txt - przedtem nie zwróciłam na to uwagi.
Czy mógłbyś (mogłabyś?) mi napisać jak rozpoznałes jaka to infekcja?zjadłam już zęby na przeglądaniu logów, więc typowe infekcje, takie jak SALITY, rozpoznaję natychmiast.
jessi
-
2015-08-26 22:14 - 2015-08-26 22:14 - 00103140 __RSH C:\yrww.exe
S3 amsint32; \??\C:\WINDOWS\system32\drivers\oiqpk.sys [X]
StandardProfile\AuthorizedApplications: [F:\DTLite4491-0356.1394761051\DTLite4491-0356.1394761051.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\SYSTEM32\WISPTIS.EXE] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\NeroCheck.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\Explorer.EXE] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Microsoft Shared\Ink\TCServer.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\System32\tabbtnu.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [F:\enynq.pif] => Enabled:ipsec
Wirus SALITY/SECTOR!
Z zarażonego pendrive'a.
Niestety w ogóle nie wiem, jak postępować z infekcjami na tablecie.
Podam więc tylko, jak to by wyglądało na zwykłym komputerze:
(wszystkie skany z podpiętym zarażonym pendrive.)
Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >https://www.fixitpc.pl/topic/102-plyty-startowe-ze-skanerami/
Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) Użyj Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk
2) Użyj Sality Remover/rmsality>http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html
Link zapasowy >http://www.mediafire.com/?7lu3v8crhc9s8zc
3) Użyj Dr.Webcureit >http://www.freedrweb.com/download+cureit/?nc=t&lng=pl
(>>kliknij na: pobierz program Dr.WebCureIt i wyślij statystyki
>zaznacz: I accept Dr.Web License Agreement.
>kliknij: Continue)
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.mediafire.com/download/xj18w8qqnk5nsjc/dcureit.com
4) wszystkie skany powtarzaj wielokrotnie po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
6) wtedy zrobisz nowe logi z FRST
może coś z tego pasuje też do tableta?
jessi
-
2) Zrób nowe logi z FRST
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
a to?
-
1) Otwórz Notatnik i wklej w nim:
HKLM-x32\...\Run: [gmsd_pl_005010071] => [X]
S4 bohotigu; C:\Program Files (x86)\32444335-1440457429-4431-3332-28924A3F2221\knshB87A.tmp [355328 2015-08-26] () [brak podpisu cyfrowego]
C:\Program Files (x86)\32444335-1440457429-4431-3332-28924A3F2221
S4 gomugeje; C:\Program Files (x86)\32444335-1440457429-4431-3332-28924A3F2221\knsa8D7B.tmp [358912 2015-08-26] () [brak podpisu cyfrowego]
S4 jililoli; C:\Program Files (x86)\32444335-1440457429-4431-3332-28924A3F2221\knsbA01C.tmp [356864 2015-08-26] () [brak podpisu cyfrowego]
S4 pizolili; C:\Program Files (x86)\32444335-1440457429-4431-3332-28924A3F2221\knsq7FB3.tmp [356864 2015-08-26] () [brak podpisu cyfrowego]
C:\ProgramData\update
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\4WinManPro4
C:\Users\me\AppData\Local\nso6B80.tmp
C:\Users\me\AppData\Local\nsi9C7E.tmp
C:\ProgramData\DWinManProD
HKU\S-1-5-21-612962559-892298197-2467078322-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/HPALL13/175
HKU\S-1-5-21-612962559-892298197-2467078322-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPALL13/175
HKU\S-1-5-21-612962559-892298197-2467078322-1002\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://g.uk.msn.com/HPALL13/175
SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.2) Zrób nowe logi z FRST
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".jessi
-
Zrobiłem to co podałaś.. O to raport z AdwCleanera
teraz wykonaj zalecenie nr 3
-
1) Tylko kosmetyka:
Otwórz Notatnik i wklej w nim:
Task: {0BC37D1F-2190-46E5-BCD6-09E369FE63AC} - System32\Tasks\{8B645824-F172-4752-B31D-F9758AE2BC4C} => pcalua.exe -a C:\Users\SAMSUNG\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=sof
Task: {E6CD27A0-A75C-462F-952B-6DFD80541C16} - System32\Tasks\{C3A6C922-E3D6-4BF6-94C7-0FCFD8F1A6C8} => pcalua.exe -a "C:\Program Files (x86)\NortonInstaller\{92622AAD-05E8-4459-B256-765CE1E929FB}\NST\LicenseType\2013.2.0.18\InstStub.exe" -c /X /ARP
Toolbar: HKU\S-1-5-21-1576559145-2058236617-2237701349-1002 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku
C:\ProgramData\MakeMarkerFile.exe
C:\Users\EasySurvey\EasySurvey.exe
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).Potem kończymy:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).jessi
-
Nie mam teraz dostępu do tych pendrivów na których zniknęły dane.
to zrobisz, jak będziesz miał dostęp
jessi
-
1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego2) Zrób nowe logi FRST.
jessi
-
1) Odinstaluj
"gmsd_pl_005010071_is1" = GamesDesktop 008.005010071
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego3) Zrób logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
jessi
-
Hmm, tak patrzę na ten fixlog, i nie widzę w nim żadnych zaburzeń w uprawnieniach.
Może ten błąd jest już nieaktualny?
Zrób log z FRST - Additional.
jessi
-
jednak ADW Cleaner pokazuje wirusa w owej przeglądarce.
Nie zwracaj na to uwagi, to tylko jakieś bzdury stworzone przez Adw-Cleaner.
jessi
-
Jest już @Picasso (najpierw musi się zająć sprawami administracyjnymi forum) - jak tylko zauważysz, że zaczyna pomagać na forum, to zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
pewnie temat zostanie przesunięty do innego działu forum
jessi
-
Adw-Cleaner:
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
strona startowa zmienia mi się na jakąś pseudo-wyszukiwarke.jeśli to dalej aktualne, to zrób nowe logi FRST.
i napisz, w której przeglądarce tak się dzieje
jessi
-
Otwórz Notatnik i wklej w nim:
C:\ProgramData\dell.dll
C:\ProgramData\mup.exe
C:\ProgramData\Setup.exe
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Program Files\NixSrv\NixSrv.exe
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
C:\ProgramData\update
C:\Program Files\NixSrv
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 NixSrv; C:\Program Files\NixSrv\NixSrv.exe [379392 2015-08-25] () [File not signed]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicyScripts: Group Policy detected <======= ATTENTION
C:\Users\Cystersi\AppData\Roaming\3euHbylEk
C:\Users\Cystersi\AppData\Roaming\MI9vkyyT5oqhIv6pY4
HKU\S-1-5-18\...\Run: [] => [X]
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Odinstaluj program globalupdate Helper
Zrób nowe logi FRST.
jessi
-
Wg mnie - powinno już być OK.
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).jessi
-
Pytanie : w wielu miejscach na dysku powstały pliki jak na załączonym prtSc, czy to normalne ?
nie widzę w tych obiektach niczego nienormalnego - one zawsze były, tyle, że ukryte.
jessi
-
Nie widzę tu żadnej infekcji.
Tylko kosmetyka:
Otwórz Notatnik i wklej w nim:
BHO: Brak nazwy -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> Brak pliku
BHO-x32: Brak nazwy -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> Brak pliku
C:\Users\tada4\settings.dat
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.Jest już @Picasso (najpierw musi się zająć sprawami administracyjnymi forum) - jak tylko zauważysz, że zaczyna pomagać na forum, to zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
jessi
-
Wrzucić fixlog.txt?
Nie ma takiej potrzeby.
Chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.
jessi
-
1) Odinstaluj niepotrzebny Akamai NetSession Interface
2) Otwórz Notatnik i wklej w nim:
C:\Users\zawada\Desktop\INNE\µTorrent.lnk
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\1.59p.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\1045.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\6748509bf032a5f93deecf4d705bc092.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Andrzej Trzebiński - życie i twórczość.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\artykuły.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\asda.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\ASPEKTY PRAWNE.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\ch.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\CHEMIA.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\czarnob1.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\czarnob2.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\czarnobyl.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (H).LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (I).LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Excel - zajęcia nr 1 - arkusz z danymi.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Excel - zajęcia nr 2 - arkusz z danymi.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\exc_cw3.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\exc_s1.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\huta3.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\INFORMATYKA.LNK
HKU\S-1-5-21-3657831755-4128053780-3085122576-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Zasada ograniczeń <======= UWAGA
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF Extension: Pirrit Suggestor - C:\Users\zawada\AppData\Roaming\Mozilla\Firefox\Profiles\hhpy9j69.default\Extensions\suggestor@pirrit.com.xpi [2013-09-26]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 DNINDIS4; \??\C:\Windows\system32\DNINDIS4.SYS [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 SNPSTD3; system32\DRIVERS\snpstd3.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WPN111; system32\DRIVERS\WPN111vx.sys [X]
C:\ProgramData\hash.dat
C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml
Task: {2499FAED-4AA9-41AB-8422-8C06EAC48F22} - System32\Tasks\{8238A696-0171-4023-A522-1EF01FB7434B} => pcalua.exe -a C:\Users\zawada\Downloads\2010-07-12_7-16_WAVPL_DOR.exe -d C:\Users\zawada\Downloads
Task: {30128884-78B8-42B9-8EC7-E1D26E7BDA9D} - \Game_Booster_AutoUpdate -> Brak pliku <==== UWAGA
Task: {495477FC-608D-4B94-B820-0C19DD144241} - System32\Tasks\{D44FFD75-27B5-4560-A98C-6F0D0CA5A207} => pcalua.exe -a C:\Users\zawada\AppData\Local\Temp\vcredist_x64.exe -d "E:\Program Files\EslWire" -c /q:a
Task: {79AF20C6-9E10-47EE-BCD0-E7E8D593945F} - System32\Tasks\{0B07E5BE-74D3-4869-A429-83014EFCAA71} => pcalua.exe -a F:\Utility\setup.exe -d F:\Utility
AlternateDataStreams: C:\ProgramData\Microsoft:CctahoKmDWYqozh8ujqNPvjI
AlternateDataStreams: C:\ProgramData\Microsoft:QGdT1KTwW6DH5V39
AlternateDataStreams: C:\Users\zawada\AppData\Local\Temp:Hw5LG0CFrwQOSYjJxtgUe2jLXGH
AlternateDataStreams: C:\Users\zawada\AppData\Local\Temporary Internet Files:3254OnFzuOLSdKJ3
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).jessi
-
1) Odinstaluj te programy:
"SmartWeb" = SmartWeb
"HQ Video Pro 3.1cV12.08" = HQ Video Pro 3.1cV12.08
"CinemaPlus-3.2cV16.08" = CinemaPlus-3.2cV16.08
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego3) Zrób logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
jessi
-
Ja też tu nie widzę niczego podejrzanego.
Jest już @Picasso (najpierw musi się zająć sprawami administracyjnymi forum) - jak tylko zauważysz, że zaczyna pomagać na forum, to zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
W międzyczasie, na wszelki wypadek, zrób logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
jessi
-
zrób log z USBFix z opcji LISTING
jessi
-
Jeśli problem już nie będzie się pojawiał, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.jessi
Safe finder, websearch
w Dział pomocy doraźnej
Opublikowano
Albo tego programu nie było już na liście Twoich programów, albo System nie potrafi go zobaczyć.
Uruchom FRST. W polu SEARCH (SZUKAJ) wklej:
kliknij na przycisk "Search Files (Szukaj Plików)".Raport z tego będzie tam, gdzie jest FRST.
Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:
kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).Raport z tego będzie tam, gdzie jest FRST.
jessi