jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Nie widzę w logu niczego podejrzanego.
jessi
-
D:\Progamy\Best player
Przeinstaluj - może to pomoże.
Ale być może ten program potrzebuje jakichś dodatkowych składników, a trudno zgadną, jakich.
C:\WINDOWS\system\svchost.exeW tej lokalizacji nie powinno być pliku o tej nazwię - więc jest to plik infekcji.
Są też ślady śmieci, więc:
1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
2) Otwórz Notatnik i wklej w nim:
C:\WINDOWS\system\svchost.exeReg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21-527237240-484061587-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM\...\Winlogon: [userinit] userinit.exe,C:\WINDOWS\system\svchost.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S2 c81eb536; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1\daneap~1\fastan~1\FastAndSafeSvc.dll",service
c:\docume~1\alluse~1\daneap~1\fastan~1
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 HWiNFO32; \??\C:\DOCUME~1\Pawel005\USTAWI~1\Temp\HWiNFO32.SYS [X]
S3 ZDPSp50; System32\Drivers\ZDPSp50.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\b26468bdefe1b73b
C:\Documents and Settings\Pawel005\Ustawienia lokalne\Dane aplikacji\Genesis_07161020
Reboot:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
3) Zrób nowe logi FRST.
jessi
-
Czy jest ktoś kto może mi pomoc?
Jak widzisz, nie ma tu nikogo, kto potrafiłby Ci pomóc, niestety. (ja też nie!)
C:\Windows\System32\userinit.exe IS MISSING <==== ATTENTION!.Brak tego bardzo ważnego pliku Systemowego.
jessi
-
Tak, zrób tylko pozostałe kroki.
jessi
-
1. Odinstaluj te programy (o ile da się odinstalować w awaryjnym): Akamai NetSession Interface, Mobogenie, uTorrentControl_v2 Toolbar.
2. Użyj AdwCleaner. Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
3. Otwórz Notatnik i wklej w nim:
AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll => "c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll" File Not Found
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: {A1E469F5-EE9D-4E6B-9DC7-CC859E0F8A7C} - System32\Tasks\EPUpdater => C:\Users\Kabeks\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe <==== ATTENTION
MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
C:\Program Files (x86)\Mobogenie
C:\Users\wangzhisong
MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Kabeks\AppData\Local\Akamai\netsession_win.exe"
C:\Users\Kabeks\AppData\Local\Akamai\netsession_win.exe
URLSearchHook: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
URLSearchHook: HKCU - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
SearchScopes: HKCU - DefaultScope {217C1776-3A2C-4017-A88B-B29EF8F0C5E6} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ssbtis1&mntrId=E2DF582C80139263
SearchScopes: HKCU - {217C1776-3A2C-4017-A88B-B29EF8F0C5E6} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6R8QNm9CnW&i=26
BHO-x32: uTorrentControl_v2 Toolbar -> {7473b6bd-4691-4744-a82b-7854eb3d70b6} -> C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
Toolbar: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
Toolbar: HKCU - No Name - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No File
FF DefaultSearchEngine: Delta Search
FF SelectedSearchEngine: Delta Search
FF Homepage: hxxp://www2.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=E2DF582C80139263
FF SearchPlugin: C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\searchplugins\babylon.xml
FF SearchPlugin: C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\searchplugins\delta.xml
FF SearchPlugin: C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\searchplugins\MyStart Search.xml
FF SearchPlugin: C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\searchplugins\utorrentcontrolv2-customized-web-search.xml
FF Extension: Delta Toolbar - C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\Extensions\ffxtlbr@delta.com [2013-05-08]
CHR Extension: (uTorrentControl_v2) - C:\Users\Kabeks\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda
CHR Extension: (New tab for Chrome™) - C:\Users\Kabeks\AppData\Local\Google\Chrome\User Data\Default\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg
CHR HKCU\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Kabeks\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-11-19]
CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2012-11-19]
CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Kabeks\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-11-19]
C:\Users\Konferencja Lean\AppData\Roaming\Systweak
C:\Users\Konferencja Lean\daemonprocess.txt
C:\Users\Konferencja Lean\AppData\Local\Temp\COMAP.EXE
C:\Users\Konferencja Lean\AppData\Local\Temp\GURCCEA.exe
C:\Users\Konferencja Lean\AppData\Local\Temp\MotoCast_Installer_2.0031.exe
C:\Users\Konferencja Lean\AppData\Local\Temp\Shockwave_Installer_FF.exe
C:\Users\Kabeks\AppData\Roaming\3cab8a6de5ed842d9d9f01148a6192164816d25f
C:\ProgramData\3cab8a6de5ed842d9d9f01148a6192164816d25f
C:\Users\Kabeks\AppData\Roaming\b0aa5df4d755c86d155bd20c03c50c4194988cc2
C:\ProgramData\b0aa5df4d755c86d155bd20c03c50c4194988cc2
Reboot:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
Zrób nowy log z OTL.
jessi
-
Mbam znalazł zagrożenie ale nie wiem gdzie zapisał log ze skanowania, znalazłem tylko logi z aktualizacji, wszystkie wirusy są przeniesione do kwarantanny.
Mam nadzieję, że dałeś aktualne logi, zrobione już po użyciu MBAM.
1)
sweet-page uninstaller (HKLM-x32\...\sweet-page uninstaller) (Version: - sweet-page) <==== ATTENTIONOdinstaluj ten program.
2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLO36 - AppCertDlls: x64 - (C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll) - C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll ()
O36 - AppCertDlls: x86 - (C:\Program Files (x86)\Settings Manager\systemk\sysapcrt.dll) - C:\Program Files (x86)\Settings Manager\systemk\sysapcrt.dll ()
SRV - [2014-04-28 11:38:05 | 003,543,056 | ---- | M] () [Auto | Stopped] -- C:\Program Files (x86)\Settings Manager\systemk\SystemkService.exe -- (SystemkService)
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1934045388-852915893-379320470-500\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
3) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
4) Zrób nowy log z OTL
jessi
-
@Rucek:
W raporcie Adw-Cleaner było:
Folder Usunięto : C:\Users\Patryk\AppData\Local\Mobogenie
Mobogenie bardzo często instaluje dodatkowego Użytkownika: właśnie tego "wangzhisong"
W logach tego Użytkownika nie widać, można go natomiast zobaczyć, jeśli się usuwa przy pomocy Skryptu OTL.
Dlatego, tak na wszelki wypadek, daję "wangshisong" do usuwania zawsze, gdy był "Mobogenie", mimo że"wangshisong" w logach nie było widać. Jeśli go naprawdę nie ma, to nic się nie stanie, co najwyżej pojawi się w raporcie informacja => File/Directory not found.
jessi
-
W logach nie ma niczego podejrzanego.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
Task: {3F660A3C-D57A-42E2-BE5C-AEEEF2269561} - \BonanzaDealsUpdate No Task File <==== ATTENTION
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-2651791677-126434903-354596880-1000\...\Run: [ASRockXTU] => [X]
HKU\S-1-5-21-2651791677-126434903-354596880-1000\...\Run: [zASRockInstantBoot] => [X]
S3 HRMACPI; SYSTEM32\DRIVERS\HRMACPI.SYS [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 SOFTUSBTESTHUB; SYSTEM32\DRIVERS\SOFTUSBTESTHUB.SYS [X]
S3 SOFTWADP; SYSTEM32\DRIVERS\SOFTWADP.SYS [X]
S3 WSOFTUSBK; SYSTEM32\DRIVERS\WSOFTUSBK.SYS [X]
C:\Users\Merlin-hs\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpxeukvr.dll
Reboot:Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
jessi
-
W takim razie kończymy:
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRSTW OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
jessi
-
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
to może masz pod taką nazwą?
---
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixMyRegistry]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedUpMyComputer]
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
jessi
-
1. Odinstaluj ten program:
Google Update Helper (x32 Version: 1.3.23.0 - BonanzaDeals) Hidden <==== ATTENTION
2. Otwórz Notatnik i wklej w nim:
C:\Program Files (x86)\SmartTweak\FixMyRegistry\FixMyRegistry.exe
C:\Program Files (x86)\SmartTweak\FixMyRegistry
C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe
C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer
C:\Program Files (x86)\SmartTweak
Reg: reg delete HKLM\software\microsoft\shared tools\msconfig\startupreg\FixMyRegistry /f
Reg: reg delete HKLM\software\microsoft\shared tools\msconfig\startupreg\SpeedUpMyComputer /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
SearchScopes: HKCU - {CD351110-CA70-4132-BEB9-793DAFA88EF2} URL = http://www.mysearchresults.com/search?c=3524&t=01&q={searchTerms}
FF Plugin HKCU: BearSharePlugin -> C:\Program Files (x86)\BearShare Applications\BearShare\npBearSharePlugin.dll No File
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S3 OSFMount; \??\E:\Counter-Strike Global Offensive\image\x64\OSFMount.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WinRing0_1_2_0; \??\D:\Game Booster 3\Driver\WinRing0x64.sys [X]
:\Users\Patryk\AppData\Local\Temp\jre-7u67-windows-i586-iftw.exe
C:\Users\Patryk\AppData\Local\Temp\LiveSupport_setup.exe
C:\Users\Patryk\AppData\Local\Temp\OptimizerPro.exe
C:\Users\Patryk\AppData\Local\Temp\rcpsetup_sdl_es_sdl_es.exe
C:\Users\wangzhisong
Reboot:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
jessi
-
Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
Zrób nowe logi (Addition też zaznacz w FRST).
jessi
-
OTL częściowo załatwił sprawę ale folder FRST i w nim Quarantine nadal istnieją a kiedy chce wywalic do kosza jest info:
Program Eksplorator Windows przestał działaćTrudno, zostawiamy to, bo jakoś nic innego nie przychodzi mi na myśl.
jessi
-
W OTL kliknij na przycisk Sprzątanie - może przy okazji usunie się także FRST.
Nie wiem, dlaczego nie da się usunąć normalnie.
jessi
-
przez SHIFT+DEL nie moge usunąc folderu FRST co ciekawe do kosza tez nie mogę...
zrobiłeś najpierw to "DeleteQuarantine:" ?
-
jeszcze jakieś kroki finalizujące temat:
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRSTRogue Killer - usuń ręcznie.
ESET Service Repair - usuń ręcznie.
FSS - usuń ręcznie.
SETAcl - usuń ręcznie
Fix.Reg - usuń ręcznie (jeśli jeszcze jest).
To chyba wszystko.
jessi
-
Action Center:
============
wscsvc Service is not running. Checking service configuration:
The start type of wscsvc service is OK.
The ImagePath of wscsvc service is OK.
The ServiceDll of wscsvc service is OK.
Teoretycznie powinno się teraz dać włączyć.
>START >URUCHOM >wybierz (lub wpisz): services.msc
>po prawej wyszukaj i zaznacz: Centrum Zabezpieczeń
>po lewej kliknij na: Uruchom Usługę
Windows Update:============
wuauserv Service is not running. Checking service configuration:
The start type of wuauserv service is OK.
The ImagePath of wuauserv service is OK.
The ServiceDll of wuauserv service is OK.
Teoretycznie powinno się teraz dać włączyć.
>START >URUCHOM >wybierz (lub wpisz): services.msc
>po prawej wyszukaj i zaznacz: Windows Update
>po lewej kliknij na: Uruchom Usługę
Miejmy nadzieję, że to pomoże ...
jessi
-
MBAM wykrył tylko PUP'y. Nie wykrył niczego związanego z Facebookiem. Tak więc nic tu nie świadczy o istnieniu infekcji "facebookowej".
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST
MBAM - możesz albo odinstalować, albo sobie zostawić, by od czasu do czasu, po uprzedniej aktualizacji jego bazy wirusów, przeskanować komputer.
jessi
-
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Windows Firewall Control\wfcs.exe -- (_wfcs)\wfcs.exe -- (_wfcs)
Nie zauważyłam, że w Skrypcie pomyłkowo znalazł się też Windows Firewall Control.
Oczywiście został usunięty. Pozostała po nim ta usługa. Ją też usuniemy:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLSRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Windows Firewall Control\wfcs.exe -- (_wfcs)
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=0&systemid=405&v=a13350-303&apn_uid=2403428420794153&apn_dtid=BND405&o=APN10647&apn_ptnrs=AG8&q={searchTerms}
:Files
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnbfkdbbfjggldfggihdhjjincelkgak
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikgffpobhoklcdcnhciopbapkabiaefj
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\kmiknoeciigpjgopdeampbhffekpiohd
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt.
Potem możesz zainstalować od nowa Windows Firewall Control
Potem kończymy:
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
jessi
-
Swoje pliki możesz przenieść np. na pendrive'a, pod warunkiem, że na pendrive nie znajdzie się żaden plik *.exe, *.htm, *.html.
jessi
-
1. Odinstaluj Bundled software uninstaller.
2. Otwórz Notatnik i wklej w nim:
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\6_Offer_3.exe
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\DM1394570370.exe
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\drm_dyndata_7400009.dll
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\jre-7u55-windows-i586-iftw.exe
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\jre-7u65-windows-i586-iftw.exe
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\jre-7u67-windows-i586-iftw.exe
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\Mobogenie_INT.exe
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\NGM.exe
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\NGMDll.dll
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\NGMResource.dll
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\Uninstall.exe
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\uttB7.tmp.exe
CHR HKLM\...\Chrome\Extension: [gppomckgmefcejhfhfghdigjioaeejkd] - C:\DOCUME~1\Damian\USTAWI~1\DANEAP~1\SearchDial.crx
Reboot:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
3. W logach nie widzę żadnej infekcji, więc przeskanuj komputer przy pomocy Malwarebytes Anti-Malware. Zaznacz wszystko co wykryje, kliknij na Usuń zaznaczone.
Podaj z tego raport.
jessi
-
O20 - HKLM Winlogon: UserInit - (C:\Program Files\lasykjvx\tdklujfl.exe) - C:\Program Files\lasykjvx\tdklujfl.exe ()
Przeskanuj komputer przy pomocy Kaspersky Virus Removal Tool. Jeśli wykryje Ramnit/Nimnul, to szkoda czasu na wykonywanie innych moich zaleceń.
Trzeba będzie sformatować dysk i wgrać system od nowa. Zbyt duże uszkodzenia Systemu i programów, by opłaciło się kilkutygodniowe usuwanie wirusa!
jessi
-
"MediaBuzzV1mode7504" = Media Buzz
"MediaPlayerV1alpha663" = Media Player
"MediaViewerV1alpha264" = Media Viewer
"MediaViewV1alpha2703" = Media View
"MediaViewV1alpha2913" = Media View
"MediaWatchV1home635" = Media Watch
"savevidmoviestoolbarhaFF" = Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.)
"savevidmoviestoolbarhaIE" = Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.)
"TrustMediaViewerV1alpha6676" = Trust Media Viewer
"DefaultTab" = Defaulttab
"RichMediaViewV1release98" = Rich Media View
Jeśli któregoś z tych programów nie instalowałeś świadomie, to go odinstaluj.
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLIE - HKU\S-1-5-21-3048719043-573068598-484485261-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402582301&from=wpm0612&uid=SAMSUNGXHD250HJ_S17LJ9BPB00842&q={searchTerms}
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
[2014-07-20 10:54:44 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Systweak
[2014-07-14 10:03:30 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Firewall Control
[2014-07-14 10:02:38 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\NetCrawl
[2014-07-14 08:19:35 | 000,000,000 | -HSD | C] -- C:\found.001
[2014-03-02 14:40:44 | 000,000,000 | -HSD | M] -- C:\Users\User\AppData\Roaming\wyUpdate AU
:Services
be0fb33b
:Files
C:\Users\wangzhisong
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-3048719043-573068598-484485261-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}]
[-HKEY_USERS\S-1-5-21-3048719043-573068598-484485261-1000\Software\Microsoft\Internet Explorer\SearchScopes\{710E0C19-F266-4639-8279-7242FB6F81EF}]
[-HKEY_USERS\S-1-5-21-3048719043-573068598-484485261-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
=====================================================================================
Error - 2014-08-08 05:31:25 | Computer Name = User-Komputer | Source = WinMgmt | ID = 10Description =
Aby automatycznie rozwiązać ten problem, kliknij > Fix.it. na stronie http://go.microsoft.com/?linkid=9775756
Następnie kliknij przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonaj kroki w kreatorze Fix.it.
(Link zapasowy > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi )
jessi
-
>>START>>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
>rozwiń ten klucz,klikając na (+):HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
‘DisableTaskMgr’
czy jest tam takie coś?
D:\System Volume InformationTo folder zawierający kopie plików potrzebnych do "Przywracania Systemu".
Można go opróżnić poprzez chwilowe wyłączenie "Przywracania":
>>START >>PANEL STEROWANIA >> SYSTEM >> zakładka PRZYWRACANIE SYSTEMU >> zaznacz okienko przy "wyłącz przywracanie systemu na wszystkich dyskach" >ZASTOSUJ >> OK
Po kilku minutach usuń zaznaczenie przy "wyłącz przywracanie systemu na wszystkich dyskach"
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (age510ar)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a6g26but)
FF - prefs.js..browser.search.defaultenginename: "error"
FF - prefs.js..browser.search.order.1: "error"
FF - prefs.js..browser.search.selectedEngine: "error"
FF - prefs.js..browser.startup.homepage: "chrome://fastdial/content/fastdial.html"
FF - prefs.js..extensions.enabledAddons: fastdial%40telega.phpnet.us:4.11
FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.16: D:\Program Files\Veetle\VLCBroadcast\npvbp.dll File not found
[2014-08-01 19:54:18 | 000,000,000 | ---D | M] (Fast Dial) -- C:\Documents and Settings\Mrozie\Dane aplikacji\Mozilla\Firefox\Profiles\wc2kbnjv.default-1397922440250\extensions\fastdial@telega.phpnet.us
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O9 - Extra Button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - D:\Program Files\Eltima Software\Flash Decompiler Trillix\saveflash\iebt.dll File not found
O9 - Extra 'Tools' menuitem : Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - D:\Program Files\Eltima Software\Flash Decompiler Trillix\saveflash\iebt.dll File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
[2014-08-01 00:00:22 | 000,000,000 | ---D | C] -- C:\Program Files\Deal Keeper
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-746137067-1454471165-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-746137067-1454471165-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes\{518B7761-6125-40B0-B2D0-0F2A9F369C18}]
[-HKEY_USERS\S-1-5-21-746137067-1454471165-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes\{52262020-72A7-498F-BC44-70E8A0F035BF}]
:Commands
[emptytemp]Kliknij w Wykonaj Skrypt.
jessi
Wirus z fałszywej faktury Orange
w Dział pomocy doraźnej
Opublikowano
Raczej nie.
jessi