jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
... jestem laikiem (komputerowym samoukiem po 50tce , nie wiem gdzie są ,,te,, logi, sorry
https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/
-
@Picasso już miała dziś pomagać, a zbliża się północ, ..
Otwórz Notatnik i wklej w nim:
HKCU\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess?
HKCU\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\...\Run: [WxEx] - [x]
HKLM\...\Run: [] - [x]
URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll No File
C:\Users\Gość\AppData\Local\Temp\AskSLib.dll
C:\Users\Jarek\AppData\Local\Temp\avgnt.exe
C:\Users\Jarek\AppData\Local\Temp\ntdll_dump.dll
C:\found.000
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Zrób nowe logi z FRST.
jessi
-
Brak nowych logów z OTL i FRST.
1) Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"=""
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).2) Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.3) Zrób nowy log z FSS.
4) Zrób nowe logi z FRST i OTL.
jessi
-
Jest infekcja ZeroAcces!
@Picasso, po wyzdrowieniu, już jutro zacznie pomagać, więc najlepiej będzie, jak poczekasz na Jej pomoc.
Ale jeśli chcesz to trochę przyśpieszyć, to możesz zrobić to :
1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek x64 po Lien de téléchargement :)
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
3) Zrób nowe logi z OTL i FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294
4)
C:\ProgramData\obtf504C:\Windows\System32\gecfysod.dll
Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL
jessi
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
yFkxUdvuhMmdybJ.exe /alldrives
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób log USBFix LISTING.
F.
-
Infekcja się odnawia, bo jest na dysku twardym.
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013-11-22 21:49:02 | 000,205,312 | -HS- | C] () -- C:\Users\Ja\AppData\Roaming\temp.bin
[2013-11-22 21:49:02 | 000,205,312 | -HS- | C] () -- C:\Users\Ja\AppData\Roaming\ScreenSaverPro.scr
O4 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000..\Run: [Wntktg] C:\Users\Ja\AppData\Roaming\Microsoft\Wntktg.exe ()
O4 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000..\Run: [screen Saver Pro 3.1] C:\Users\Ja\AppData\Roaming\ScreenSaverPro.scr ()
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
:Files
C:\RECYCLER
J:\*.lnk
J:\.Trashes
attrib -s -h J:\PERSIST.BIN
attrib -s -h J:\DEVICON.FIL
attrib -s -h J:\SETSTOR.DAT
attrib -s -h J:\AUTORUN.INF
attrib -s -h J:\playqueue.dat
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.2) Zrób log z USBFix
3) Zrób log z OTL. Ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:
type J:\autorun.inf /C
i dopiero wtedy kliknij Skanuj.jessi
-
Nie wiem dlaczego plik infekcji cały czas się odnawia po usunięciu go.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
J:\dFwCMctcGJgEkBp.exe
dFwCMctcGJgEkBp.exe /alldrives
J:\*.lnk
attrib -s -h J:\DEVICON.FIL
attrib -s -h J:\PERSIST.BIN
attrib -s -h J:\SETSTOR.DAT
attrib -s -h J:\AUTORUN.INF
attrib -s -h J:\playqueue.dat
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowy log z USBFix.
Zrób log z OTL.
(ja idę już spać)
jessi
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
J:\dFwCMctcGJgEkBp.exe
J:\*.lnk
attrib -s -h J:\* /C
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowy log z USBFix.
Napisz, jak oceniasz teraz sytuację na penach.
jessi
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
M:\*.lnk
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowy log z USBFix LISTING.
jessi
-
nowe logi
@asarttag - czy to Twój temat od początku, tylko teraz zmieniony nick?
-
CHR RestoreOnStartup: "hxxp://www.google.pl/", "hxxp://home.sweetim.com/?crg=3.1010000&st=10&barid={2C5ACA6A-580F-4CBF-B9C4-1F9CBEE5C544}", "hxxp://www.google.com" ==> The Chrome "Settings" can be used to fix the entry.
CHR DefaultSearchURL: (SweetIM Search) - http://search.sweeti...4-1F9CBEE5C544} ==> The Chrome "Settings" can be used to fix the entry.
CHR DefaultSuggestURL: (SweetIM Search) - "suggest_url": "", ==> The Chrome "Settings" can be used to fix the entry.
To trzeba usuwać w Ustawieniach Chrome.
W nowym logu nie widzę nic więcej do usuwania.
Na penie nie będzie infekcji dopóki nie podepniesz go do jakiegoś zarażonego komputera.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)
Teraz już możesz spokojnie czekać, aż @Picasso wyzdrowieje.(nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
jessi
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
J:\RjtdJxgdTGAHDeJ.exe
J:\*.lnk
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowy log USBFix, z opcji LISTING.
jessi
-
W logu USBFix nie ma ani żadnych skrótów, ani żadnej infekcji.
Otwórz Notatnik i wklej w nim:
HKCU\...\Run: [Facebook Update] - C:\Users\Marta\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-11-18] (Facebook Inc.)
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
C:\Program Files (x86)\Mobogenie
SearchScopes: HKCU - {BC2A20AF-53F9-4C2C-85D1-C40E10091EF0} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=DCDC1650-4A5E-48F6-A8FA-6C8A0EA14623&apn_sauid=FA763EE8-2DA8-4355-B8DF-CC0102EDACE7
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR RestoreOnStartup: "hxxp://www.google.pl/", "hxxp://home.sweetim.com/?crg=3.1010000&st=10&barid={2C5ACA6A-580F-4CBF-B9C4-1F9CBEE5C544}", "hxxp://www.google.com"
CHR DefaultSearchURL: (SweetIM Search) - http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={2C5ACA6A-580F-4CBF-B9C4-1F9CBEE5C544}
CHR DefaultSuggestURL: (SweetIM Search) - "suggest_url": "",
CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\Marta\AppData\Local\Temp\ccex.crx
C:\Users\Marta\AppData\Local\Temp\ccex.crx
CHR HKLM-x32\...\Chrome\Extension: [jhjjdgbhohaallcimgcmakfiobacimkm] - C:\Program Files (x86)\BuzzSearch\jhjjdgbhohaallcimgcmakfiobacimkm.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [x]
2013-11-21 19:44 - 2013-11-22 21:02 - 00000000 ____D C:\Users\Marta\AppData\Local\Mobogenie
2013-11-21 19:44 - 2013-11-22 20:57 - 00001033 _____ C:\Users\Marta\daemonprocess.txt
2013-11-21 19:44 - 2013-11-22 00:30 - 00000000 ____D C:\Users\Marta\AppData\Local\cache
2013-11-21 19:44 - 2013-11-21 19:44 - 00000000 ____D C:\Users\Marta\Documents\Mobogenie
C:\Users\Marta\AppData\Local\Temp\rtdrvmon.exe
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Daj go.
Zrób nowe logi FRST
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości pomaganiana Forum (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
Nie widzę w tym logu infekcji.
Masz USBFix, więc daj z niego log LISTING.
Odinstaluj c:\program files (x86)\Mobogenie
Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txtZrób logi z OTL/FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/
jessi
-
USB fix wyskakuje error screen poniżej
Spróbuj przynajmniej zrobić log USBFix LISTING.
jessi
-
co to było, wirus czy coś innego?
Nie, nie było infekcji. To były sponsorskie śmieci.
Skąd się mogło wydostać i uaktywnić?@Picasso to bardzo ładnie opisała > https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uwa%C5%BCa%C4%87/
Jak się zabezpieczyć na przyszłość?link jak wyżej
I ogólnie jak dobrze zabezpieczyć system – jakie programy polecasz?To temat "rzeka" - wolę się nie wypowiadać w tej kwestii.
Czy mogę usunąć katalog _OTL i FRST z dysku C i pliki dotychczasowych logów?Logi oczywiście możesz usunąć, bo są już w tym temacie.
Natomiast jeśli chcesz usunąć kwarantanny OTL i FRST:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
OTL usuwa FRSAT, ale nie sprawdzałam, czy usuwa też jego Kwarantannę, więc oddzielnie dałam usuwanie FRST i jego Kwarantanny.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości pomaganiana Forum (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
Użyj >USBFix
Kliknij w nim na: DELETION.
Daj raport z tego usuwania.Odinststaluj:
"bi_uninstaller" = Bundled software uninstaller
Otwórz Notatnik i wklej w nim:
HKCU\...\Run: [Mntktw] - C:\Users\Ja\AppData\Roaming\Microsoft\Mntktw.exe
HKCU\...\Run: [t4q] - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe
HKCU\...\Run: [ca40229dd] - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe
HKCU\...\Run: [screen Saver Pro 3.1] - C:\Users\Ja\AppData\Roaming\ScreenSaverPro.scr
HKCU\...\Run: [Dntktn] - C:\Users\Ja\AppData\Roaming\Microsoft\Dntktn.exe
HKCU\...\Run: [intkts] - C:\Users\Ja\AppData\Roaming\Microsoft\Intkts.exe
HKCU\...\Run: [fjpdqz] - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-11609\fjpdqz.exe
HKCU\...\Run: [Tntktd] - C:\Users\Ja\AppData\Roaming\Microsoft\Tntktd.exe
HKCU\...\Winlogon: [shell] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-11609\fjpdqz.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe,explorer.exe <==== ATTENTION
Winsock: Catalog5 01 %SystemRoot%\System32\mswsock.dll [223232] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [x]
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.Zrób nowe logi z FRST.
jessi
-
C:\Users\ja\AppData\Roaming\wyUpdate AU
a w czasie czekania na @Picasso możemy usunąć to powyższe:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
C:\Users\ja\AppData\Roaming\wyUpdate AU
C:\Users\ja\AppData\Local\Temp*.html
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt
jessi
-
File\Folder C:\Documents and Settings\Kasprzyk\Dane aplikacji\Other.res not found.
Dziwne, plik sam zniknął, czy może usunęłaś go w inny sposób?
Ale ważne, że go już nie ma!
Teraz już możesz spokojnie czekać, aż @Picasso wyzdrowieje (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
jessi
-
To była infekcja pendrivowa.
Natomiast te zaszyfrowane pliki to chyba jakaś nowość, bo z taką wersją tej infekcji pendrivowej do tej pory się nie zetknęłam.
Do tej pory infekcja tylko wstawiała skróty, ukrywając jednocześnie foldery o nazwach takich samych, jak skróty.
Ale infekcja ta nie zaszyfrowywała pojedyńczych plików.
U Ciebie było inaczej.
Dobrze, że miałeś kopie tych plików, bo trudno byłoby znaleźć odpowiedni deszyfrator plików.
jessi
-
[01/08/2012 - 17:08:18 | A | 165] K:\auswertung 2.xlsx
[19/07/2012 - 11:57:54 | A | 165] K:\Auswertung.xlsx
[03/08/2012 - 16:02:54 | A | 165] K:\auswertung uberkopf 3 Tage.xlsx
[03/08/2012 - 16:08:02 | A | 165] K:\auswertung geschwindigkeit.xlsx
[12/03/2012 - 23:00:36 | N | 11275] K:\kontakty.xlsx
[07/11/2013 - 20:13:26 | N | 908340] K:\Nierówności pionowe toru, metody pomiaru i dopuszczalne.pptx
[09/11/2013 - 11:28:12 | A | 165] K:\Nierówności pionowe toru, metody pomiaru i dopuszczalne (2).pptx
[20/11/2013 - 20:30:34 | N | 54830] K:\Wzór formularza uproszczony.docx
[10/09/2012 - 14:41:28 | A | 165] K:\prezentacja Michał Łobacz obrona1.pptx
To pewnie tak samo jest ze wszystkimi powyższymi plikami, bo mają do rozszerzeń dodane na końcu "x", zarówno pliki Excela, jak i Worda, jak i Power Pointa.
Jeśli masz dobre kopie ich wszystkich na dysku, to te wszystkie uszkodzone pliki po prostu usuń.
jessi
-
w nazwach tych plików zmień rozszerzenie *.xlsx na *.xls
potem spróbuj je otworzyć, i sprawdzić, co zawierają
i czy nie są one duplikatami innych Twoich plików, o podobnej nazwie
jessi
-
Źle trafiłaś, bo @Picasso nie ma teraz możliwości pomagania na Forum (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
W logu OTL widać plik należący do infekcji potocznie nazywanej "UKASH".
Przywracanie Systemu usunęło klucz tej infekcji z Rejestru, ale nie usunęło jej pliku, bo ten plik udaje, że jest u Ciebie od ... 2004 roku (choć w rzeczywistości jest od dziś lub wczoraj), więc "Przywracanie" nie mogło go usunąć.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
:Files
C:\Documents and Settings\Kasprzyk\Dane aplikacji\Other.res
:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1614895754-1979792683-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]
"SPONSORS"="DISABLE"Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)jessi
-
albo powtórz, albo zrób log z OTL, by sprawdzić, czy się usunęło, czy nie.
jessi
Biały ekran - proszę o pomoc.
w Dział pomocy doraźnej
Opublikowano
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera (do Trybu Normalnego). Zapisz raport, który pokaże się po restarcie.
2) Odinstaluj:
"bi_uninstaller" = Bundled software uninstaller
"vSharetv" = vSharetv
"WsysControl" = Wsys Control 10.2.1.2652
3) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt
4) Zrób nowy log z OTL.
jessi