Skocz do zawartości
Nadchodzące zmiany w logowaniu

jessica

Użytkownicy
 Pokaż profil  Zobacz aktywność

  • Postów

    4 099

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Odpowiedzi opublikowane przez jessica

  2. Pendrive "removable disk"

    w Dział pomocy doraźnej

    Opublikowano

    Log z USBFix robiony bez podpiętego pendrive'a, więc jest bezużyteczny.

    Zrób nowy.

     

    Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

    Pokaż raport z niego C:\AdwCleaner[s1].txt

     

    Otwórz Notatnik i wklej w nim:

     

     

     

    Task: {2AC38E4A-A370-40AD-83B7-37BCEF08C68C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe

    C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe

    Task: {81542EFF-2C5B-4AFB-B303-3C104E72357A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000Core => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)

    C:\Users\Filip\AppData\Local\Facebook\Update

    Task: {BCA9BC77-E9D7-4F66-BF84-8CADE8C6A61C} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe

    C:\Program Files (x86)\Desk 365

    Task: {C7244538-00E5-4A9B-A3D1-2DA980D9A3FA} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000UA => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)

    Task: {E189481D-A7D6-4782-B75A-5A60EBAABC71} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{88FA8008-2CEE-4F6C-8B62-A847FA896818}.exe

    ask: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe

    Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{88FA8008-2CEE-4F6C-8B62-A847FA896818}.exe

    Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000Core.job => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe

    Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000UA.job => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe

    C:\Users\Filip\AppData\Local\Facebook\Update

    C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll

    C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll

    C:\Users\Filip\AppData\Local\Lollipop

    HKLM-x32\...\Runonce: [] -  [x]

    HKCU\...\Run: [Facebook Update] - C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-01-26] (Facebook Inc.)

    AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll [ ] ()

    c:\progra~3\bitguard

    Startup: C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop.lnk

    ShortcutTarget: lollipop.lnk -> C:\Users\Filip\AppData\Local\Lollipop\Lollipop.exe ()

    HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978

    HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD7500BPVT-80HXZT1_WD-WX41A61N1942N1942&ts=1359824764

    SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978

    SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.22find.com/web/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD7500BPVT-80HXZT1_WD-WX41A61N1942N1942&ts=1359824765

    Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

    Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File

    CHR RestoreOnStartup: "hxxp://isearch.babylon.com/?babsrc=HP_ss_Btisdt4&mntrId=B68C742F6851E48C&affID=119357&tsp=4978"

    CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978

    CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter}

    CHR Extension: (DefaultTab) - C:\Users\Filip\AppData\Local\Google\Chrome\User Data\Default\Extensions\kdidombaedgpfiiedeimiebkmbilgmlc\1.1.29_0

    C:\Users\Filip\AppData\Roaming\OpenCandy

    C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk

    C:\Users\Filip\AppData\Local\Lollipop

    C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job

    C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job

    C:\ProgramData\BitGuard

    C:\ProgramData\PKP_DLes.DAT

    C:\ProgramData\PKP_DLet.DAT

    C:\ProgramData\PKP_DLev.DAT

    C:\Users\Filip\AppData\Local\Temp\uninst1.exe

    C:\Users\Filip\AppData\Local\Temp\xfire_installer_10650.exe

     

     

     

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

    Daj go.

     

    Zrób nowe logi z FRST.

     

    jessi

  4. Infekcja pendrive'a - pliki i foldery z rozszrzeniem .lnk

    w Dział pomocy doraźnej

    Opublikowano 

    "C:\Users\Ziemek\Cookies" => ":gs5sys" ADS not found."C:\Users\Ziemek\Szablony" => ":gs5sys" ADS not found."C:\Users\Ziemek\AppData\Local\Historia" => ":gs5sys" ADS not found.

    ale w nowym logu jest:

    AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys

     

     Od poniedziałku @Picasso zacznie już pomagać, prędzej czy później zajrzy też do tego tematu, więc pewnie coś wymyśli, by to usunąć.

    Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

     

    jessi

  5. Bron-Spizaetus, Tok-Cirrhatus - Uciążliwe Wirusy. Ktoś pomoże się tego pozbyć ?

    w Dział pomocy doraźnej

    Opublikowano

    Ze skanu z dodatkowym ustawieniem, które zaleciłam, jasno wynika, że pliki "autorun.inf" należą do infekcji BRONTOK!.
    1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

    :OTL
    O32 - AutoRun File - [2013-11-29 16:26:56 | 000,000,317 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
    O32 - AutoRun File - [2013-11-29 16:26:56 | 000,000,475 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
    O32 - AutoRun File - [2013-11-29 16:26:58 | 000,000,261 | RHS- | M] () - E:\autorun.inf -- [ FAT32 ]

    :Reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-21-3860880664-153159536-4232509640-1000\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [-HKEY_USERS\S-1-5-21-3860880664-153159536-4232509640-1000\Software\Microsoft\Internet Explorer\SearchScopes\{8FBB6D14-DF62-4B5D-8B3D-039FDB78B04E}]

    :Commands
    [emptytemp]

    Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
    Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
    Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

     

    2) Zrób log z USBFix
    Kliknij w nim na: LISTING.

     

    jessi

  6. Infekcja pendrive'a - pliki i foldery z rozszrzeniem .lnk

    w Dział pomocy doraźnej

    Opublikowano

    FRST pokazuje w logu strumienie ADS, ale gdy trzeba je usunąć, to udaje, że ich nie ma. :( :(

    Otwórz Notatnik i wklej w nim:

     

    AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys
    SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
    S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x]
    S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x]
    S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x]

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

     

    Zrób nowe logi z FRST.

     

    jessi

  8. Wyskakująca stona: polizja z Komorowskim

    w Dział pomocy doraźnej

    Opublikowano

    Wg mnie - jest już OK.

     

    W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)
    W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

     

    Teraz pozostaje Ci tylko czekać na ostateczną ocenę @Picasso.

    Nie wiem, kiedy zajrzy do Twego tematu (na pewno nie przed poniedziałkiem).

    Ma zaległości od września, więc to może trochę potrwać.

    Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

     

    jessi

  9. Wyskakująca stona: polizja z Komorowskim

    w Dział pomocy doraźnej

    Opublikowano

    Jeszcze jedna sprawa, od mometu jak zainstalowałem MBAM to cały czas wyświetla mi taki komunikat:

     

    Zablokowano dostęp do podejrzanej strony:

    111.111.111.111

     

    Typ: Wychodzące

    Port: 49762, Działanie: kmpservice.exe

     

    ja go wyłączam a on znowu sie pojawia.

    C:\Users\Agniecha\Desktop\KMPlayer.lnk

    (PandoraTV) C:\Program Files (x86)\PANDORA.TV\PanService\KMPProcess.exe

    To chyba Twoje?

     

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

     

    :OTL

    [2013-01-12 09:26:52 | 000,000,000 | ---D | M] -- C:\Users\Agniecha\AppData\Roaming\Yqryyd

    [2013-01-12 09:26:29 | 000,000,000 | ---D | M] -- C:\Users\Agniecha\AppData\Roaming\Elcuof

    O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1005..\Run: [Hoolapp Android] "C:\Users\Agniecha\AppData\Roaming\HOOLAP~1\Hoolapp.exe" /Minimized File not found

    O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1005..\Run: [Akamai NetSession Interface] "C:\Users\Agniecha\AppData\Local\Akamai\netsession_win.exe" File not found

    O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1005..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun File not found

    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

    O2 - BHO: (conatiiNuettosaavve) - {CB6F6787-B1AB-A726-724E-4DF7E691E97B} - C:\ProgramData\conatiiNuettosaavve\51b4e9db22577.dll File not found

     

    :Files

    C:\Users\Agniecha\AppData\Local\Google\Chrome\User Data\Default\Extensions\cadgldlfpipnjmgllcpkjddgmjkjhmfj

    C:\Users\Agniecha\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldfbemljajmokhnbggfnhnkpmbpciobc

     

    :Reg

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1005\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [-HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1005\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]

    [-HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1005\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]

    [HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1001\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

     

    :Commands

    [emptytemp]

    Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

    Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

    Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

     

    jessi

  10. Bron-Spizaetus, Tok-Cirrhatus - Uciążliwe Wirusy. Ktoś pomoże się tego pozbyć ?

    w Dział pomocy doraźnej

    Opublikowano

    Widzę, że i tak czekasz tu całymi godzinami na odpowiedź @muzyk75, więc radzę w tym czasie przeskanować komputer przy pomocy MBAM - bo i tak w końcu będziesz musiał go użyć. Na końcu kliknij na Usuń zaznaczone.
    Podaj z tego raport.

     

    Infekcja oczywiście jest nadal widoczna w logach.

     

    Jeśli zdecydujesz się użyć MBAM, to potem trzeba by było zrobić nowe logi, bo dotychczasowe staną się nieaktualne.

     

    jessi

  11. Infekcja pendrive'a - pliki i foldery z rozszrzeniem .lnk

    w Dział pomocy doraźnej

    Opublikowano

    Kosmetyka:

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

    :OTL
    [2013/11/03 17:31:09 | 000,000,000 | ---D | C] -- C:\ProgramData\WinterSoft
    [2013/11/03 17:31:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Ss.Helper
    [2013/11/03 17:30:58 | 000,000,000 | ---D | C] -- C:\Users\Ziemek\AppData\Local\Packages
    [2013/11/03 17:30:58 | 000,000,000 | ---D | C] -- C:\ProgramData\6acf557d107b5b2f
    [2013/11/03 17:30:26 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O2:64bit: - BHO: (YoutubeAdblocker) - {9832D1EB-92BB-368E-4890-E48DF6D06D2A} - C:\Program Files (x86)\YoutubeAdblocker\SrNpd.x64.dll File not found
    FF - prefs.js..browser.search.order.1,S: S", ""
    FF - prefs.js..browser.search.selectedEngine,S: S", ""
    FF - prefs.js..browser.search.defaultenginename,S: S", ""
    IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://start.qone8.com/web/?type=ds&ts=1383496280&from=wpc&uid=TOSHIBAXMK5055GSX_30I3P2I9TXX30I3P2I9T&q={searchTerms}
    IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.qone8.com/web/?type=ds&ts=1383496280&from=wpc&uid=TOSHIBAXMK5055GSX_30I3P2I9TXX30I3P2I9T&q={searchTerms}

    :Reg
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1012\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

    :Commands
    [emptytemp]

    Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
    Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
    Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

     

    EDIT:

    AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys

    AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys

    AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys

     

    W logu OTL tego nie ma, ale w logu FRST jest.

    Otwórz Notatnik i wklej w nim:

     

    AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

    Zrób nowe logi z FRST.

     

     

    jessi

  12. Wyskakująca stona: polizja z Komorowskim

    w Dział pomocy doraźnej

    Opublikowano

    Wszystko, co wykrył MBAM, jest do usunięcia.

    Ale MBAM wykrył tylko sponsorskie śmieci, nie wykrył natomiast tytułowej infekcji.

    I logi to potwierdzają: nie masz żadnej infekcji.

     

    Usuniemy tylko sponsorskie śmieci:

    1) Odinstaluj:

    niepotrzebny Akamai NetSession Interface

    "OptimizerPro" = OptimizerPro (jeśli jeszcze MBAM go nie usunął)

     

    2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
    najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
    Pokaż raport z niego C:\AdwCleaner[s1].txt

     

    3) Zrób nowe logi z OTL i FRST.

     

    jessi

  13. Polizja. Ukash - Nowa wersja?

    w Dział pomocy doraźnej

    Opublikowano

    AlternateDataStreams: C:\ProgramData\Templates:gs5sys

    AlternateDataStreams: C:\Users\LKS\Cookies:gs5sys

    AlternateDataStreams: C:\Users\LKS\Templates:gs5sys

    AlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys

    A to jak było, tak jest dalej.

     

    Ja tu już nic nie wymyślę, więc czekaj na @Picasso (nie wiem, kiedy zajrzy do Twego tematu, ale na pewno nie wcześniej niż w poniedziałek).

    Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

     

    jessi

  14. Wyskakujący pasek z reklamami na Youtube

    w Dział pomocy doraźnej

    Opublikowano

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

    :OTL

    FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found

    FF - HKLM\Software\MozillaPlugins\@virtools.com/3DviaPlayer: C:\Program Files (x86)\Virtools\3D Life Player\npvirtools.dll File not found

    O2:64bit: - BHO: (surf, and keep) - {4A1B6BEA-92A9-A40F-5AFA-3F917E56B42B} - C:\Program Files (x86)\surf, and keep\DUD.x64.dll ()

    O2 - BHO: (surf, and keep) - {4A1B6BEA-92A9-A40F-5AFA-3F917E56B42B} - C:\Program Files (x86)\surf, and keep\DUD.dll ()

    O3:64bit: - HKLM\..\Toolbar: (no name) - !{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found.

    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

    [2013-11-12 20:25:28 | 000,000,000 | ---D | C] -- C:\ProgramData\surf, and keep

    [2013-11-12 20:25:28 | 000,000,000 | ---D | C] -- C:\Users\Lenovo\AppData\Local\Packages

    [2013-11-12 20:25:12 | 000,000,000 | ---D | C] -- C:\ProgramData\dc58b88cfd955b7

    [2013-11-12 20:25:57 | 000,000,458 | -H-- | C] () -- C:\windows\tasks\SK.Enhancer-S-747939423.job

     

    :Files

    c:\ProgramData\WinterSoft\SK.Enhancer

    C:\Program Files (x86)\surf, and keep

     

    :Reg

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [HKEY_USERS\S-1-5-21-3974495567-1903997618-3052050678-1000\Software\Microsoft\Internet Explorer\SearchScopes]

    "DefaultScope"=-

    [-HKEY_USERS\S-1-5-21-3974495567-1903997618-3052050678-1000\Software\Microsoft\Internet Explorer\SearchScopes\{BE6E6B16-A4C5-48C4-B94F-43942DAFD330}]

     

    :Commands

    [emptytemp]

    Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

    Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

    Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

     

    jessi

  15. Wylogowywanie systemu / Problem z instalacją IE

    w Windows 7

    Opublikowano

    Doczyszczenie adware:

     

     

     

    Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

    Pokaż raport z niego C:\AdwCleaner[s1].txt

     

    Otwórz Notatnik i wklej w nim:

     

    Task: {3301A89E-0BC2-48F1-B28D-F5B2EA057C4F} - \DealPly No Task File

    Task: {5A6C4142-E5BF-49CD-93E1-8CABE43FC9DF} - \DealPlyUpdate No Task File

    Task: {8586E15E-D9CB-4CF7-85D0-43ED157A094A} - \Funmoods No Task File

    Task: {D555DD31-3B54-408D-AAF8-75F3A99C3F78} - \BrowserProtect No Task File

    HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [738496 2013-10-18] ()

    C:\Program Files (x86)\Mobogenie

    BHO-x32: No Name - {00e71626-0bef-11dc-8314-0864264c9a64} -  No File

    BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} -  No File

    CHR DefaultSearchURL: (qvo6) - http://search.qvo6.com/web/?utm_source=b&utm_medium=tt4&utm_campaign=eXQ&utm_content=ds&from=tt4&uid=HitachiXHTS545032B9A300_090926PB4300QTJX981AX&ts=1379445873&type=default&q={searchTerms}

    CHR Extension: (  "name":         "SimilarProducts by Superfish",) - C:\Users\laptop\AppData\Local\Google\Chrome\User Data\Default\Extensions\npggpidhikddlecjmgfbohpnhaifchki\1.2.0.15_0

    S2 supmajt4pc_pl_9; C:\Users\laptop\AppData\Local\majtuto4pc_pl_9\supmajt4pc_pl_9.exe [x]

    C:\Users\laptop\Documents\Mobogenie

    C:\Users\laptop\AppData\Local\cache

    C:\Users\laptop\daemonprocess.txt

    C:\Program Files (x86)\Mobogenie

    C:\Users\laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SimilarProducts

    C:\Program Files (x86)\SimilarProducts

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

     

    Zrób nowy log z OTL.

     

     

     

     

    jessi

  17. Komorowski - scvhost.exe zjada procesor

    w Dział pomocy doraźnej

    Opublikowano

    Do Notatnika wklej:

     

     

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000]
"Service"="wscsvc"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000020
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Centrum zabezpieczeń"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\Control]
"ActiveService"="wscsvc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

     

     

    Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
    plik uruchom (dwuklik i OK).
    Zrestartuj komputer.

     

    Zrób log z FSS.

     

    jessi

  18. Infekcja pendrive'a - pliki i foldery z rozszrzeniem .lnk

    w Dział pomocy doraźnej

    Opublikowano

    Z USB jest już OK.

     

    Są ślady sponsorskich śmieci oraz jakieś strumienie ADS..

    1) Otwórz Notatnik i wklej w nim:

     

    Task: C:\windows\Tasks\ss u helper-S-9665547.job => c:\programdata\wintersoft\ss u helper\ss u helper.exe
    S3 massfilter; system32\drivers\massfilter.sys [x]
    S3 RkHit; \??\C:\windows\system32\drivers\RKHit.sys [x]
    Task: {744E123B-541B-443F-879A-56E41C788BAF} - System32\Tasks\ss u helper-S-9665547 => C:\ProgramData\WinterSoft\ss u helper\ss u helper.exe [2012-11-03] ()
    Task: {744E123B-541B-443F-879A-56E41C788BAF} - System32\Tasks\ss u helper-S-9665547 => C:\ProgramData\WinterSoft\ss u helper\ss u helper.exe [2012-11-03] ()
    CHR Extension: (DoWnloiad keeppeRR) - C:\Users\Ziemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgedfjbfdkdbbmeielfcpflhiaonhkpc\1.6
    C:\Users\Ziemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgedfjbfdkdbbmeielfcpflhiaonhkpc
    FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
    AppInit_DLLs-x32: c:\progra~2\browse~1\sprote~1.dll [ ] ()
    AlternateDataStreams: C:\ProgramData:gs5sys
    AlternateDataStreams: C:\Users\All Users:gs5sys
    AlternateDataStreams: C:\Users\Ziemek:gs5sys
    AlternateDataStreams: C:\ProgramData\Application Data:gs5sys
    AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\Dane aplikacji:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\Ustawienia lokalne:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\Desktop\desktop.ini:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\AppData\Local:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\AppData\Roaming:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Dane aplikacji:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys
    AlternateDataStreams: C:\Users\Ziemek\Documents\desktop.ini:gs5sys

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

     

    2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
    najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
    Pokaż raport z niego C:\AdwCleaner[s1].txt

     

    3) Zrób nowe logi z FRST i OTL.

     

    jessi
     

  19. Infekcja pendrive'a - pliki i foldery z rozszrzeniem .lnk

    w Dział pomocy doraźnej

    Opublikowano

    Nie przeglądałam dokładnie logów!

     

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

    :OTL
    O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000..\Run: [sURVIVAL] wscript.exe //B "C:\Users\Ziemek\AppData\Local\Temp\SURVIVAL.vbe" File not found
    O4 - Startup: C:\Users\Ziemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURVIVAL.vbe ()

    :Files
    G:\*.lnk
    SURVIVAL.vbe /alldrives
    attrib /d /s -s -h G:\* /C

    :Commands
    [emptytemp]

    Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

     

    Zrób wszystkie nowe logi.

     

    jessi

    (już idę spać, więc do jutra)

  20. Polizja. Ukash - Nowa wersja?

    w Dział pomocy doraźnej

    Opublikowano

    Są jeszcze jakieś strumienie ADS:

     

    Otwórz Notatnik i wklej w nim:

     

    AlternateDataStreams: C:\ProgramData\Templates:gs5sys
    AlternateDataStreams: C:\Users\LKS\Cookies:gs5sys
    AlternateDataStreams: C:\Users\LKS\Templates:gs5sys
    AlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

    Daj ten raport.

     

    Zrób nowe logi z FRST.

     

    jessi

    (już idę spać, więc do jutra)



     

  21. Polizja. Ukash - Nowa wersja?

    w Dział pomocy doraźnej

    Opublikowano

    Znowu masz tę samą infekcję!

    Otwórz Notatnik i wklej w nim:

     

    AlternateDataStreams: C:\ProgramData\Templates:gs5sys
    AlternateDataStreams: C:\Users\LKS\Cookies:gs5sys
    AlternateDataStreams: C:\Users\LKS\Templates:gs5sys
    AlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys
    C:\ProgramData\nbrrqz87.dss
    C:\ProgramData\78zqrrbn.bxx
    C:\ProgramData\jwwhqft.fvv
    C:\found.000
    C:\ProgramData\dx504F5ED1.dat

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

    Daj go.

     

    Koniecznie zainstaluj nowszą wersję JAVY, wg postu nr w tym linku https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/

     

    Zrób nowe logi z FRST.

     

    jessi

  23. Polizja. Ukash - Nowa wersja?

    w Dział pomocy doraźnej

    Opublikowano

    W logu FRST widać elementy infekcji ZeroAcces, ale log FSS nie pokazał zadnych uszkodzeń, więc to są chyba tylko resztki tej infekcji.

     

    Otwórz Notatnik i wklej w nim:

     

    HKCU\...\Run: [CdpDownloader] - [x]
    AppInit_DLLs-x32: C:\Users\LKS\AppData\Local\DProtect\eBP.dll,C:\Users\LKS\AppData\Local\DProtect\eBPSD.dll [ ] ()
    C:\Users\LKS\AppData\Local\DProtect
    URLSearchHook: HKCU - (No Name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No File
    FF Plugin-x32: @real.com/nprphtml5videoshim;version=12.0.1.669 - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll No File
    FF Plugin-x32: @real.com/nprpchromebrowserrecordext;version=12.0.1.669 - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll No File
    C:\Windows\assembly\tmp
    C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
    C:\Users\LKS\AppData\Local\19e99119
    C:\Users\LKS\AppData\Local\19e99119\@
    C:\Users\LKS\AppData\Local\Temp\ntdll_dump.dll
    Task: {69E8998D-A2F5-4F57-ADB8-8F1E2787B0DC} - \Program aktualizacji online produktu Real Player. No Task File
    Task: {72F20BD4-C4B1-4536-A0D5-6E26AE08C68C} - \Program aktualizacji online firmy Adobe. No Task File
    AlternateDataStreams: C:\ProgramData:gs5sys
    AlternateDataStreams: C:\Users\All Users:gs5sys
    AlternateDataStreams: C:\Users\LKS:gs5sys
    AlternateDataStreams: C:\ProgramData\Application Data:gs5sys
    AlternateDataStreams: C:\ProgramData\Templates:gs5sys
    AlternateDataStreams: C:\Users\LKS\Application Data:gs5sys
    AlternateDataStreams: C:\Users\LKS\Cookies:gs5sys
    AlternateDataStreams: C:\Users\LKS\Local Settings:gs5sys
    AlternateDataStreams: C:\Users\LKS\Templates:gs5sys
    AlternateDataStreams: C:\Users\LKS\Desktop\desktop.ini:gs5sys
    AlternateDataStreams: C:\Users\LKS\AppData\Local:gs5sys
    AlternateDataStreams: C:\Users\LKS\AppData\Roaming:gs5sys
    AlternateDataStreams: C:\Users\LKS\AppData\Local\Application Data:gs5sys
    AlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys
    AlternateDataStreams: C:\Users\LKS\Documents\desktop.ini:gs5sys
    AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

    Daj go.

     

    Zrób nowe logi z FSS.

     

    jessi

  24. Wolny start systemu

    w Windows 7

    Opublikowano

    W logach OTL i FRST - nie widzę żadnej infekcji.

     

    + "PLAY ONLINE. RunOuc"    ""    ""    "c:\program files (x86)\play online\updatedog\ouc.exe"

    Podobno ta usługa jest mocno obciążająca.

     

    Kosmetyka:

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

    :OTL
    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKU\S-1-5-21-678976739-802269570-2217661800-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-678976739-802269570-2217661800-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O4 - HKU\S-1-5-21-678976739-802269570-2217661800-1000..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found
    O4 - HKU\.DEFAULT..\RunOnce: [sPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
    O4 - HKU\S-1-5-18..\RunOnce: [sPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found

    :Commands
    [emptytemp]

    Kliknij w Wykonaj Skrypt.

     

    jessi

  25. Problem z pendrive zamist plików same skróty.

    w Dział pomocy doraźnej

    Opublikowano

    Error: Unable to interpret

    W Skrypcie nie dałam komendy :OTL na początku, więc górna część Skryptu nie mogła się wykonać.

    Sama nie wiem, jak mogłam to przeoczyć.

     

    A więc poprawka:

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

     

    :OTL

    O4 - HKCU..\Run: [iTunesHelper] wscript.exe //B "C:\Users\UKASZ~1\AppData\Local\Temp\iTunesHelper.vbe" File not found

    O4 - HKLM..\RunOnce: []  File not found

     

    :Commands

    [emptytemp]

    Kliknij w Wykonaj Skrypt.

    Raportu z tego już nie dawaj.

     

    W logu USBFix - jest już OK.

     

    W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

     

    W USBFix kliknij na przycisk UNINSTALL.

    W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

     

    jessi

     

×
×
  • Dodaj nową pozycję...