jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Log z USBFix robiony bez podpiętego pendrive'a, więc jest bezużyteczny.
Zrób nowy.
Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt
Otwórz Notatnik i wklej w nim:
Task: {2AC38E4A-A370-40AD-83B7-37BCEF08C68C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe
C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe
Task: {81542EFF-2C5B-4AFB-B303-3C104E72357A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000Core => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)
C:\Users\Filip\AppData\Local\Facebook\Update
Task: {BCA9BC77-E9D7-4F66-BF84-8CADE8C6A61C} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe
C:\Program Files (x86)\Desk 365
Task: {C7244538-00E5-4A9B-A3D1-2DA980D9A3FA} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000UA => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)
Task: {E189481D-A7D6-4782-B75A-5A60EBAABC71} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{88FA8008-2CEE-4F6C-8B62-A847FA896818}.exe
ask: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{88FA8008-2CEE-4F6C-8B62-A847FA896818}.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000Core.job => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000UA.job => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe
C:\Users\Filip\AppData\Local\Facebook\Update
C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll
C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll
C:\Users\Filip\AppData\Local\Lollipop
HKLM-x32\...\Runonce: [] - [x]
HKCU\...\Run: [Facebook Update] - C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-01-26] (Facebook Inc.)
AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll [ ] ()
c:\progra~3\bitguard
Startup: C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop.lnk
ShortcutTarget: lollipop.lnk -> C:\Users\Filip\AppData\Local\Lollipop\Lollipop.exe ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD7500BPVT-80HXZT1_WD-WX41A61N1942N1942&ts=1359824764
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.22find.com/web/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD7500BPVT-80HXZT1_WD-WX41A61N1942N1942&ts=1359824765
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
CHR RestoreOnStartup: "hxxp://isearch.babylon.com/?babsrc=HP_ss_Btisdt4&mntrId=B68C742F6851E48C&affID=119357&tsp=4978"
CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978
CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter}
CHR Extension: (DefaultTab) - C:\Users\Filip\AppData\Local\Google\Chrome\User Data\Default\Extensions\kdidombaedgpfiiedeimiebkmbilgmlc\1.1.29_0
C:\Users\Filip\AppData\Roaming\OpenCandy
C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk
C:\Users\Filip\AppData\Local\Lollipop
C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job
C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
C:\ProgramData\BitGuard
C:\ProgramData\PKP_DLes.DAT
C:\ProgramData\PKP_DLet.DAT
C:\ProgramData\PKP_DLev.DAT
C:\Users\Filip\AppData\Local\Temp\uninst1.exe
C:\Users\Filip\AppData\Local\Temp\xfire_installer_10650.exe
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Daj go.
Zrób nowe logi z FRST.
jessi
-
Infekcji nie widzę.
Są ślady sponsorskich śmieci, więc:
1) Użyj AdwCleaner.
Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt
2) Zrób nowy log z OTL.
jessi
-
"C:\Users\Ziemek\Cookies" => ":gs5sys" ADS not found."C:\Users\Ziemek\Szablony" => ":gs5sys" ADS not found."C:\Users\Ziemek\AppData\Local\Historia" => ":gs5sys" ADS not found.
ale w nowym logu jest:
AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sysOd poniedziałku @Picasso zacznie już pomagać, prędzej czy później zajrzy też do tego tematu, więc pewnie coś wymyśli, by to usunąć.
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
jessi
-
Ze skanu z dodatkowym ustawieniem, które zaleciłam, jasno wynika, że pliki "autorun.inf" należą do infekcji BRONTOK!.
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to::OTL
O32 - AutoRun File - [2013-11-29 16:26:56 | 000,000,317 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2013-11-29 16:26:56 | 000,000,475 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2013-11-29 16:26:58 | 000,000,261 | RHS- | M] () - E:\autorun.inf -- [ FAT32 ]
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-3860880664-153159536-4232509640-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-3860880664-153159536-4232509640-1000\Software\Microsoft\Internet Explorer\SearchScopes\{8FBB6D14-DF62-4B5D-8B3D-039FDB78B04E}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.2) Zrób log z USBFix
Kliknij w nim na: LISTING.jessi
-
FRST pokazuje w logu strumienie ADS, ale gdy trzeba je usunąć, to udaje, że ich nie ma. :(
Otwórz Notatnik i wklej w nim:
AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x]
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Zrób nowe logi z FRST.
jessi
-
Dodam tylko, że przed robieniem logu z OTL podepnij zarażonego pendrive'a, i oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:
type C:\autorun.inf /Ctype D:\autorun.inf /C
type E:\autorun.inf /C
i dopiero wtedy kliknij Skanuj.jessi
-
Wg mnie - jest już OK.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.Teraz pozostaje Ci tylko czekać na ostateczną ocenę @Picasso.
Nie wiem, kiedy zajrzy do Twego tematu (na pewno nie przed poniedziałkiem).
Ma zaległości od września, więc to może trochę potrwać.
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
jessi
-
Jeszcze jedna sprawa, od mometu jak zainstalowałem MBAM to cały czas wyświetla mi taki komunikat:
Zablokowano dostęp do podejrzanej strony:
111.111.111.111
Typ: Wychodzące
Port: 49762, Działanie: kmpservice.exe
ja go wyłączam a on znowu sie pojawia.
C:\Users\Agniecha\Desktop\KMPlayer.lnk
(PandoraTV) C:\Program Files (x86)\PANDORA.TV\PanService\KMPProcess.exe
To chyba Twoje?
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL[2013-01-12 09:26:52 | 000,000,000 | ---D | M] -- C:\Users\Agniecha\AppData\Roaming\Yqryyd
[2013-01-12 09:26:29 | 000,000,000 | ---D | M] -- C:\Users\Agniecha\AppData\Roaming\Elcuof
O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1005..\Run: [Hoolapp Android] "C:\Users\Agniecha\AppData\Roaming\HOOLAP~1\Hoolapp.exe" /Minimized File not found
O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1005..\Run: [Akamai NetSession Interface] "C:\Users\Agniecha\AppData\Local\Akamai\netsession_win.exe" File not found
O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1005..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O2 - BHO: (conatiiNuettosaavve) - {CB6F6787-B1AB-A726-724E-4DF7E691E97B} - C:\ProgramData\conatiiNuettosaavve\51b4e9db22577.dll File not found
:Files
C:\Users\Agniecha\AppData\Local\Google\Chrome\User Data\Default\Extensions\cadgldlfpipnjmgllcpkjddgmjkjhmfj
C:\Users\Agniecha\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldfbemljajmokhnbggfnhnkpmbpciobc
:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1005\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1005\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1005\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
jessi
-
Widzę, że i tak czekasz tu całymi godzinami na odpowiedź @muzyk75, więc radzę w tym czasie przeskanować komputer przy pomocy MBAM - bo i tak w końcu będziesz musiał go użyć. Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.Infekcja oczywiście jest nadal widoczna w logach.
Jeśli zdecydujesz się użyć MBAM, to potem trzeba by było zrobić nowe logi, bo dotychczasowe staną się nieaktualne.
jessi
-
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013/11/03 17:31:09 | 000,000,000 | ---D | C] -- C:\ProgramData\WinterSoft
[2013/11/03 17:31:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Ss.Helper
[2013/11/03 17:30:58 | 000,000,000 | ---D | C] -- C:\Users\Ziemek\AppData\Local\Packages
[2013/11/03 17:30:58 | 000,000,000 | ---D | C] -- C:\ProgramData\6acf557d107b5b2f
[2013/11/03 17:30:26 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O2:64bit: - BHO: (YoutubeAdblocker) - {9832D1EB-92BB-368E-4890-E48DF6D06D2A} - C:\Program Files (x86)\YoutubeAdblocker\SrNpd.x64.dll File not found
FF - prefs.js..browser.search.order.1,S: S", ""
FF - prefs.js..browser.search.selectedEngine,S: S", ""
FF - prefs.js..browser.search.defaultenginename,S: S", ""
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://start.qone8.com/web/?type=ds&ts=1383496280&from=wpc&uid=TOSHIBAXMK5055GSX_30I3P2I9TXX30I3P2I9T&q={searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.qone8.com/web/?type=ds&ts=1383496280&from=wpc&uid=TOSHIBAXMK5055GSX_30I3P2I9TXX30I3P2I9T&q={searchTerms}
:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1012\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
:Commands
[emptytemp]Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.EDIT:
AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
W logu OTL tego nie ma, ale w logu FRST jest.
Otwórz Notatnik i wklej w nim:
AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.Zrób nowe logi z FRST.
jessi
-
Wszystko, co wykrył MBAM, jest do usunięcia.
Ale MBAM wykrył tylko sponsorskie śmieci, nie wykrył natomiast tytułowej infekcji.
I logi to potwierdzają: nie masz żadnej infekcji.
Usuniemy tylko sponsorskie śmieci:
1) Odinstaluj:
niepotrzebny Akamai NetSession Interface
"OptimizerPro" = OptimizerPro (jeśli jeszcze MBAM go nie usunął)
2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt3) Zrób nowe logi z OTL i FRST.
jessi
-
AlternateDataStreams: C:\ProgramData\Templates:gs5sys
AlternateDataStreams: C:\Users\LKS\Cookies:gs5sys
AlternateDataStreams: C:\Users\LKS\Templates:gs5sys
AlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys
A to jak było, tak jest dalej.
Ja tu już nic nie wymyślę, więc czekaj na @Picasso (nie wiem, kiedy zajrzy do Twego tematu, ale na pewno nie wcześniej niż w poniedziałek).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
jessi
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@virtools.com/3DviaPlayer: C:\Program Files (x86)\Virtools\3D Life Player\npvirtools.dll File not found
O2:64bit: - BHO: (surf, and keep) - {4A1B6BEA-92A9-A40F-5AFA-3F917E56B42B} - C:\Program Files (x86)\surf, and keep\DUD.x64.dll ()
O2 - BHO: (surf, and keep) - {4A1B6BEA-92A9-A40F-5AFA-3F917E56B42B} - C:\Program Files (x86)\surf, and keep\DUD.dll ()
O3:64bit: - HKLM\..\Toolbar: (no name) - !{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2013-11-12 20:25:28 | 000,000,000 | ---D | C] -- C:\ProgramData\surf, and keep
[2013-11-12 20:25:28 | 000,000,000 | ---D | C] -- C:\Users\Lenovo\AppData\Local\Packages
[2013-11-12 20:25:12 | 000,000,000 | ---D | C] -- C:\ProgramData\dc58b88cfd955b7
[2013-11-12 20:25:57 | 000,000,458 | -H-- | C] () -- C:\windows\tasks\SK.Enhancer-S-747939423.job
:Files
c:\ProgramData\WinterSoft\SK.Enhancer
C:\Program Files (x86)\surf, and keep
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-3974495567-1903997618-3052050678-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-3974495567-1903997618-3052050678-1000\Software\Microsoft\Internet Explorer\SearchScopes\{BE6E6B16-A4C5-48C4-B94F-43942DAFD330}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
jessi
-
Doczyszczenie adware:
Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt
Otwórz Notatnik i wklej w nim:
Task: {3301A89E-0BC2-48F1-B28D-F5B2EA057C4F} - \DealPly No Task File
Task: {5A6C4142-E5BF-49CD-93E1-8CABE43FC9DF} - \DealPlyUpdate No Task File
Task: {8586E15E-D9CB-4CF7-85D0-43ED157A094A} - \Funmoods No Task File
Task: {D555DD31-3B54-408D-AAF8-75F3A99C3F78} - \BrowserProtect No Task File
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [738496 2013-10-18] ()
C:\Program Files (x86)\Mobogenie
BHO-x32: No Name - {00e71626-0bef-11dc-8314-0864264c9a64} - No File
BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
CHR DefaultSearchURL: (qvo6) - http://search.qvo6.com/web/?utm_source=b&utm_medium=tt4&utm_campaign=eXQ&utm_content=ds&from=tt4&uid=HitachiXHTS545032B9A300_090926PB4300QTJX981AX&ts=1379445873&type=default&q={searchTerms}
CHR Extension: ( "name": "SimilarProducts by Superfish",) - C:\Users\laptop\AppData\Local\Google\Chrome\User Data\Default\Extensions\npggpidhikddlecjmgfbohpnhaifchki\1.2.0.15_0
S2 supmajt4pc_pl_9; C:\Users\laptop\AppData\Local\majtuto4pc_pl_9\supmajt4pc_pl_9.exe [x]
C:\Users\laptop\Documents\Mobogenie
C:\Users\laptop\AppData\Local\cache
C:\Users\laptop\daemonprocess.txt
C:\Program Files (x86)\Mobogenie
C:\Users\laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SimilarProducts
C:\Program Files (x86)\SimilarProducts
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.
Zrób nowy log z OTL.
jessi
-
Prawdopodobnie masz coś źle ustawione w przeglądarce.
Użyj AdwCleaner.
Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt
Zrób nowy log z OTL.
jessi
-
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC] "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000] "Service"="wscsvc" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000020 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="Centrum zabezpieczeń" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\Control] "ActiveService"="wscsvc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.Zrób log z FSS.
jessi
-
Z USB jest już OK.
Są ślady sponsorskich śmieci oraz jakieś strumienie ADS..
1) Otwórz Notatnik i wklej w nim:
Task: C:\windows\Tasks\ss u helper-S-9665547.job => c:\programdata\wintersoft\ss u helper\ss u helper.exe
S3 massfilter; system32\drivers\massfilter.sys [x]
S3 RkHit; \??\C:\windows\system32\drivers\RKHit.sys [x]
Task: {744E123B-541B-443F-879A-56E41C788BAF} - System32\Tasks\ss u helper-S-9665547 => C:\ProgramData\WinterSoft\ss u helper\ss u helper.exe [2012-11-03] ()
Task: {744E123B-541B-443F-879A-56E41C788BAF} - System32\Tasks\ss u helper-S-9665547 => C:\ProgramData\WinterSoft\ss u helper\ss u helper.exe [2012-11-03] ()
CHR Extension: (DoWnloiad keeppeRR) - C:\Users\Ziemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgedfjbfdkdbbmeielfcpflhiaonhkpc\1.6
C:\Users\Ziemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgedfjbfdkdbbmeielfcpflhiaonhkpc
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
AppInit_DLLs-x32: c:\progra~2\browse~1\sprote~1.dll [ ] ()
AlternateDataStreams: C:\ProgramData:gs5sys
AlternateDataStreams: C:\Users\All Users:gs5sys
AlternateDataStreams: C:\Users\Ziemek:gs5sys
AlternateDataStreams: C:\ProgramData\Application Data:gs5sys
AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Dane aplikacji:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Ustawienia lokalne:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Desktop\desktop.ini:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Roaming:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Dane aplikacji:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Documents\desktop.ini:gs5sys
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt3) Zrób nowe logi z FRST i OTL.
jessi
-
Nie przeglądałam dokładnie logów!
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000..\Run: [sURVIVAL] wscript.exe //B "C:\Users\Ziemek\AppData\Local\Temp\SURVIVAL.vbe" File not found
O4 - Startup: C:\Users\Ziemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURVIVAL.vbe ()
:Files
G:\*.lnk
SURVIVAL.vbe /alldrives
attrib /d /s -s -h G:\* /C
:Commands
[emptytemp]Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób wszystkie nowe logi.
jessi
(już idę spać, więc do jutra)
-
Są jeszcze jakieś strumienie ADS:
Otwórz Notatnik i wklej w nim:
AlternateDataStreams: C:\ProgramData\Templates:gs5sys
AlternateDataStreams: C:\Users\LKS\Cookies:gs5sys
AlternateDataStreams: C:\Users\LKS\Templates:gs5sys
AlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Daj ten raport.
Zrób nowe logi z FRST.
jessi
(już idę spać, więc do jutra)
-
Znowu masz tę samą infekcję!
Otwórz Notatnik i wklej w nim:
AlternateDataStreams: C:\ProgramData\Templates:gs5sys
AlternateDataStreams: C:\Users\LKS\Cookies:gs5sys
AlternateDataStreams: C:\Users\LKS\Templates:gs5sys
AlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys
C:\ProgramData\nbrrqz87.dss
C:\ProgramData\78zqrrbn.bxx
C:\ProgramData\jwwhqft.fvv
C:\found.000
C:\ProgramData\dx504F5ED1.dat
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Daj go.Koniecznie zainstaluj nowszą wersję JAVY, wg postu nr w tym linku https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/
Zrób nowe logi z FRST.
jessi
-
Zrób nowe logi z FSS.
No tak, napisałam nie to, co chciałam: chodziło mi o logi z FRST. Moja wina.
Zrób logi z FRST.
jessi
-
W logu FRST widać elementy infekcji ZeroAcces, ale log FSS nie pokazał zadnych uszkodzeń, więc to są chyba tylko resztki tej infekcji.
Otwórz Notatnik i wklej w nim:
HKCU\...\Run: [CdpDownloader] - [x]
AppInit_DLLs-x32: C:\Users\LKS\AppData\Local\DProtect\eBP.dll,C:\Users\LKS\AppData\Local\DProtect\eBPSD.dll [ ] ()
C:\Users\LKS\AppData\Local\DProtect
URLSearchHook: HKCU - (No Name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No File
FF Plugin-x32: @real.com/nprphtml5videoshim;version=12.0.1.669 - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll No File
FF Plugin-x32: @real.com/nprpchromebrowserrecordext;version=12.0.1.669 - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll No File
C:\Windows\assembly\tmp
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
C:\Users\LKS\AppData\Local\19e99119
C:\Users\LKS\AppData\Local\19e99119\@
C:\Users\LKS\AppData\Local\Temp\ntdll_dump.dll
Task: {69E8998D-A2F5-4F57-ADB8-8F1E2787B0DC} - \Program aktualizacji online produktu Real Player. No Task File
Task: {72F20BD4-C4B1-4536-A0D5-6E26AE08C68C} - \Program aktualizacji online firmy Adobe. No Task File
AlternateDataStreams: C:\ProgramData:gs5sys
AlternateDataStreams: C:\Users\All Users:gs5sys
AlternateDataStreams: C:\Users\LKS:gs5sys
AlternateDataStreams: C:\ProgramData\Application Data:gs5sys
AlternateDataStreams: C:\ProgramData\Templates:gs5sys
AlternateDataStreams: C:\Users\LKS\Application Data:gs5sys
AlternateDataStreams: C:\Users\LKS\Cookies:gs5sys
AlternateDataStreams: C:\Users\LKS\Local Settings:gs5sys
AlternateDataStreams: C:\Users\LKS\Templates:gs5sys
AlternateDataStreams: C:\Users\LKS\Desktop\desktop.ini:gs5sys
AlternateDataStreams: C:\Users\LKS\AppData\Local:gs5sys
AlternateDataStreams: C:\Users\LKS\AppData\Roaming:gs5sys
AlternateDataStreams: C:\Users\LKS\AppData\Local\Application Data:gs5sys
AlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys
AlternateDataStreams: C:\Users\LKS\Documents\desktop.ini:gs5sys
AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Daj go.
Zrób nowe logi z FSS.
jessi
-
W logach OTL i FRST - nie widzę żadnej infekcji.
+ "PLAY ONLINE. RunOuc" "" "" "c:\program files (x86)\play online\updatedog\ouc.exe"Podobno ta usługa jest mocno obciążająca.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-678976739-802269570-2217661800-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-678976739-802269570-2217661800-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKU\S-1-5-21-678976739-802269570-2217661800-1000..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found
O4 - HKU\.DEFAULT..\RunOnce: [sPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [sPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
:Commands
[emptytemp]Kliknij w Wykonaj Skrypt.
jessi
-
Error: Unable to interpret
W Skrypcie nie dałam komendy :OTL na początku, więc górna część Skryptu nie mogła się wykonać.
Sama nie wiem, jak mogłam to przeoczyć.
A więc poprawka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLO4 - HKCU..\Run: [iTunesHelper] wscript.exe //B "C:\Users\UKASZ~1\AppData\Local\Temp\iTunesHelper.vbe" File not found
O4 - HKLM..\RunOnce: [] File not found
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt.
Raportu z tego już nie dawaj.
W logu USBFix - jest już OK.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
W USBFix kliknij na przycisk UNINSTALL.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
jessi
Avast wykrywa w winlogon.exe malware
w Dział pomocy doraźnej
Opublikowano
W logach nie widzę niczego podejrzanego.
jessi