jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Źle trafiłaś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
1) Odinstaluj:
WebConnect 3.0.0
Searchqu Toolbar (Version: 4.1.0.3114)
Qtrax Player (Version: 01.001.0001)
Avira SearchFree Toolbar (Version: 12.6.0.1898) - bo w logach widzę Avasta, a nie wolno mieć dwóch Antywirusów
2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt3) Otwórz Notatnik i wklej w nim:
Task: {72484409-7924-41C3-B5A8-7EA63DB97BE1} - System32\Tasks\Dealply => C:\Users\USER\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE
Task: {72C73285-4669-4939-8EDB-4BDC1F8C9D6D} - System32\Tasks\Hoolapp For Android => C:\Users\USER\AppData\Roaming\HOOLAP~1\UPDATE~1\UPDATE~1.EXE
C:\Users\USER\AppData\Roaming\Dealply
C:\Users\USER\AppData\Roaming\HOOLAP~1
Task: {95024117-10C3-4BD6-A211-DBD5C9548913} - System32\Tasks\DealPlyUpdate => C:\Program
Task: {BAEF4C24-76B4-4E1F-AB58-2C8CA4E08653} - System32\Tasks\Hoolapp Init => C:\Users\USER\AppData\Roaming\HOOLAP~1\Hoolapp.exe
Task: C:\Windows\Tasks\Dealply.job => C:\Users\USER\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1424421345-115930411-479481771-1000Core.job => C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1424421345-115930411-479481771-1000UA.job => C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe
C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {6429C6B6-0B18-4B4B-B540-5817D8332D62} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1424421345-115930411-479481771-1000UA => C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-10-08] (Facebook Inc.)
Task: {18B57A10-59A8-4223-BA6A-8B6B648D2FE2} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1424421345-115930411-479481771-1000Core => C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-10-08] (Facebook Inc.)
HKLM\...\Run: [DATAMNGR] - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\DATAMN~1.EXE
C:\PROGRA~1\BEARSH~1
HKCU\...\Run: [Facebook Update] - C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2012-10-08] (Facebook Inc.)
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page"
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1377720625
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1377720625
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=384&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKCU - URL http://isearch.babylon.com/?q={searchTerms}&affID=121845&tt=gc_&babsrc=SP_ss_Btisdt4&mntrId=A40FE0CB4E268068
SearchScopes: HKCU - {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=gppc&s={searchTerms}&f=4
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=121845&tt=gc_&babsrc=SP_ss_btis2&mntrId=A40FE0CB4E268068
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=UG&apn_dtid=YYYYYYYYIT&apn_uid=F4189569-9094-448C-9635-0AAC52775A4E&apn_sauid=9265078D-4F82-48AA-94AC-EF271A271863
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418410&type=default&q={searchTerms}
SearchScopes: HKCU - {8A244612-A1F7-11E0-95C0-E71F4824019B} URL = http://badoo.com/startpage/?source=bsb&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=384&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKCU - {A6722584-4A36-4956-B012-45CEE59D1929} URL = http://search.softonic.com/MOY00010/tb_v1?q={searchTerms}&SearchSource=4&cc=&mi=a40faadc000000000000e0cb4e268068&r=820
BHO: No Name - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No File
BHO: MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
BHO: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files\WebConnect\WebConnectBHO.dll (Web Connect)
HKLM\...\Run: [ApnTBMon] - C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1673680 2013-10-23] (APN)
C:\Program Files\AskPartnerNetwork
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
Toolbar: HKCU - Avira SearchFree Toolbar - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
Toolbar: HKLM - Avira SearchFree Toolbar - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
Toolbar: HKLM - MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC)
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\qvo6.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\SearchTheWeb.xml
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
CHR Extension: (WebConnect) - C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieakfmpjhljbpbfpldjkddkjmmgjmgon\1.0.0_0
CHR HKLM\...\Chrome\Extension: [aaaaacalgebmfelllfiaoknifldpngjh] - C:\ProgramData\AskPartnerNetwork\Toolbar\AVIRA-V7\CRX\ToolbarCR.crx
CHR HKLM\...\Chrome\Extension: [ajcghoegamlabppilamagaddfdfamden] - C:\Program Files\LyricsArt\116.crx
CHR HKLM\...\Chrome\Extension: [bgnjcnjlaajofpendibcoodneacalfho] - C:\Program Files\SuperLyrics\Chrome.crx
CHR HKLM\...\Chrome\Extension: [elchiiiejkobdbblfejjkbphbddgmljf] - C:\Program Files\Softonic\Softonic\1.8.19.3\Softonic.crx
HR HKLM\...\Chrome\Extension: [ieakfmpjhljbpbfpldjkddkjmmgjmgon] - C:\Program Files\WebConnect\ieakfmpjhljbpbfpldjkddkjmmgjmgon.crx
CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
CHR HKLM\...\Chrome\Extension: [ihflimipbcaljfnojhhknppphnnciiif] - C:\Program Files\facemoods.com\facemoods\1.4.17.9\facemoods.crx
R2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-10-23] (APN LLC.)
R2 IBUpdaterService; C:\ProgramData\IBUpdaterService\ibsvc.exe [642464 2013-01-16] ()
R2 Update WebConnect; C:\Program Files\WebConnect\updateWebConnect.exe [65320 2013-10-04] (WebConnect)
R2 Util WebConnect; C:\Program Files\WebConnect\bin\utilWebConnect.exe [65320 2013-10-04] (WebConnect)
R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [303680 2013-08-28] (Wsys Co., Ltd.)
C:\ProgramData\eSafe
C:\Program Files\WebConnect
2013-11-18 02:44 - 2013-11-18 02:44 - 00000000 ____D C:\Users\USER\AppData\Local\AskPartnerNetwork
2013-11-18 02:27 - 2013-11-18 02:27 - 00000000 ____D C:\ProgramData\AskPartnerNetwork
2013-11-18 02:27 - 2013-11-18 02:27 - 00000000 ____D C:\Program Files\AskPartnerNetwork
2013-11-18 02:26 - 2013-11-18 02:26 - 00000000 ____D C:\ProgramData\APN
2013-11-18 03:15 - 2013-09-14 01:39 - 00000000 ____D C:\ProgramData\BitGuard
2013-11-18 03:10 - 2013-05-26 18:29 - 00000000 ____D C:\Users\USER\AppData\Roaming\Dealply
2013-11-18 03:05 - 2013-02-28 00:06 - 00000000 ____D C:\Program Files\SuperLyrics
2013-11-18 02:44 - 2013-11-18 02:44 - 00000000 ____D C:\Users\USER\AppData\Local\AskPartnerNetwork
2013-11-18 02:27 - 2013-11-18 02:27 - 00000000 ____D C:\ProgramData\AskPartnerNetwork
2013-11-18 02:27 - 2013-11-18 02:27 - 00000000 ____D C:\Program Files\AskPartnerNetwork
2013-11-18 02:26 - 2013-11-18 02:26 - 00000000 ____D C:\ProgramData\APN
2013-11-18 02:20 - 2012-04-10 23:38 - 00000000 ____D C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player
2013-11-18 02:20 - 2012-04-10 23:38 - 00000000 ____D C:\Program Files\FoxTabFLVPlayer
2013-11-10 19:43 - 2013-08-28 21:10 - 00000000 ____D C:\ProgramData\eSafe
C:\Users\USER\AppData\Local\Temp\ICReinstall_ccleaner.exe
C:\Users\USER\AppData\Local\Temp\uninst1.exe
S3 andnetadb; System32\Drivers\lgandnetadb.sys [x]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [x]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [x]
S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [x]
S3 catchme; \??\C:\Users\USER\AppData\Local\Temp\catchme.sys [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 LgBttPort; system32\DRIVERS\lgbtport.sys [x]
S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [x]
S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [x]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [x]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [x]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [x]Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Daj ten raport.
4) Zrób nowe logi z FRST i OTL.
jessi
-
Do czego służy ten skrypt?
Do usunięcia pustych kluczy z Rejestru.
Oraz do opróżnienia folderów TEMP.
jessi
-
W logach widać infekcję. Może usunięcie tej infekcji poprawi sytuację? Nie wiem, ale może warto spróbować?
1) Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt
2) Zrób log z Farbar Service Scanner.
3) Zrób logi z FRST.
Disk \Device\Harddisk0\DR0 unknown MBR code
Czy to może laptop? (choć nie wiem, czy GMER potrafi wykryć MBR WIN 8)
jessi
-
Źle trafiłaś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
W logu nie widzę infekcji.
Ciekawi mnie, dlaczego u Ciebie pojawiła się niemiecka wersja tej infekcji?
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O4 - HKLM..\Run: [] File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files (x86)\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll File not found
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Program Files (x86)\McAfee Security Scan\3.0.318\npMcAfeeMss.dll File not found
:Reg
[-HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1001\Software\Microsoft\Internet Explorer\SearchScopes\{99F626CC-4A92-467D-B0C4-986FBC7F4EA8}]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt.jessi
-
Czy te działania poprawiły sytuację?
Kosmetyka:
Otwórz Notatnik i wklej w nim:
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR DefaultSearchURL: (dosearches)
CHR DefaultSuggestURL: (dosearches) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR Extension: (a2zLyrics-1) - C:\Users\BARTEK\AppData\Local\Google\Chrome\User Data\Default\Extensions\afeodekfkejjgjigfnhhifffljmhnpfn\1.24.16_0
C:\Users\BARTEK\AppData\Local\Google\Chrome\User Data\Default\Extensions\afeodekfkejjgjigfnhhifffljmhnpfn
S3 MSICDSetup; \??\F:\CDriver64.sys [x]
S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
jessi
-
Miejmy nadzieję, że już będzie OK.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
W logach nie widzę niczego podejrzanego.
Prawdopodobnie to któryś z Twoich programów tworzy te pliki, dziwnie jest to, że te pliki to *.exe. Żaden normalny program nie powinien wytwarzać tymczasowych *.exe.
Do >SystemLook-64 wklej:
:filefind
jh1x.exe
pts5x.exe
:file
C:\temp\jh1x.exe
C:\temp\pts5x.exe
:regfind
jh1x.exe
pts5x.exe
Naciśnij Look i pokaż raport.jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
W logach nie widzę infekcji.
1) Odinstaluj:
"WsysControl" = Wsys Control 10.2.1.2652
"dosearches Browser Protecter" = dosearches Browser Protecter
2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt3) Zrób nowe logi z OTL i FRST
jessi
-
W poprzednim logu FSS - Windows Defender był OK.
Teraz w zasadzie też jest OK, ale jest wyłączony.
Jeśli chcesz włączyć, to:
>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź: Windows Defender>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie >OK
Kliknij na "Uruchom ponownie".Ja u siebie ustawiłam na: Wyłączone.
Ale ustaw u siebie tak, jak chcesz.
Ja sytuację oceniam na opanowaną.
Rogue Killer - usuń ręcznie.
ESET Service Repair - usuń ręcznie.
SETAcl - usuń ręcznie.
FRST, OTL, FSS - na razie zostaw, bo może @Picasso zechce jeszcze coś zalecić .
Masz nieaktualną Javę, więc koniecznie zainstaluj bardziej bezpieczną Javę 7update 45
Najpierw:
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft] "SPONSORS"="DISABLE"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.Potem pobierz i zainstaluj Javę wg >https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry130045 (post nr 4)
Masz też nieaktualne Adobe Flash Player - też to zaktualizuj.
Pewnie inne programy też są nieaktualne - nie sprawdzałam tego.
Myślę, że teraz możesz spokojnie, bez nerwów, czekać na wyzdrowienie @Picasso.
Nie wiem, kiedy zajmie się Twoim tematem - Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
jessi
-
Zniszczone przez ZeroAcces'a usługi Systemowe zostały odbudowane.
Dwie z nich nie są włączone.
>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź Centrum Zabezpieczeń>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK
Kliknij na "Uruchom ponownie".>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź: Windows Update>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK
Kliknij na "Uruchom ponownie".Zrób nowy log z FSS.
Otwórz Notatnik i wklej w nim:
C:\Users\krystyna\Desktop\Antivirus Security Pro support.urlPlik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.
Zrób nowy log z FRST.
jessi
-
Czy zmieniła się sytuacja na "H"?
jessi
-
1) Otwórz Notatnik i wklej w nim:
C:\Program Files\Google\Desktop\Install
C:\Users\krystyna\AppData\Local\Temp\ntdll_dump.dll
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [x]Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
2) Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"=""
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).3) Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.4) Pobierz poniższy plik. Zmień mu nazwę z TXT na REG, z prawokliku na plik Scal i potwierdź import do rejestru.
https://www.fixitpc.pl/index.php?app=core&module=attach§ion=attach&attach_id=48432
5) Pobierz narzędzie SetACL, (SetACL.3.06
z folderu Commandline version wypakuj wersję dopasowaną do systemu (x86 = 32-bit, x64 = 64-bit) i umieść w katalogu C:\Windows.
6) W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik umieść bezpośrednio na C:\."machine\SYSTEM\CurrentControlSet\Services\PolicyAgent",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters\Cache",4,"O:BAD:PAI(A;OICI;CCDCLCSWRPRC;;;S-1-5-80-3044542841-3639452079-4096941652-1606687743-1256249853)" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo\0",4,"O:BA"
START > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent" -ot reg -actn restore -bckp C:\fix.txt
7) Pobierz ten plik i umieść go bezposrednio na C:\
https://www.fixitpc.pl/index.php?app=core&module=attach§ion=attach&attach_id=48434
START > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess" -ot reg -actn restore -bckp C:\fix.txt
8) Zrób nowy log z FSS
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
Infekcja ZeroAcces
1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek x64 po Lien de téléchargement :)
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
3) Zrób nowy log z FRST (bez Addition)
jessi
-
Ja tu już nic nie wymyślę (nic u Ciebie nie działa), więc czekaj na wyzdrowienie @Picasso
jessi
-
"a" spróbuj usunąć poprzez SHIFT+DEL
Potem:
Otwórz Notatnik i wklej w nim:
attrib /d /s -s -h G:\FLAC MP3
attrib /d /s -s -h G:\nikon sd
attrib /d /s -s -h G:\PQI 15GB
PAUSE
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako: FIX.BAT > Uruchom ten plik dwuklikiem.Napisz, czy to coś dało?
jessi
-
masz jakiś bardzo dziwny System, bo u mnie USBFix działa bez problemów.
Podaj nazwy tych ukrytych folderów - spróbujemy jeszcze raz z podobnym Skryptem, jak ostatnio
jessi
-
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)
Teraz możesz już spokojnie czekać na @Picasso - w najlepszym przypadku zacznie znów pomagać za tydzień, ale to baaardzo optymistyczna opcja, bo po operacji musi na pewno poleżeć kilka dni w szpitalu..
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
jessi
-
USBFix nie chciał zadziałać. (komunikat: Line 18145(File"C:\UsbFix\Go.exe") Error: Variable must be of type"Object".)
W USBFix kliknij na przycisk UNINSTALL.
Potem ściągnij go od nowa.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
Nie masz żadnej infekcji.
A sciślej: pewnie masz najnowszą wersję tej infekcji - po zamknięciu okna komunikatu infekcja zniszczy samą siebie.
Zrób twardy restart Systemu - to powinno zanknąć okno komunikatu.
Są ślady sponsorskich śmieci, więc potem:
1) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013-10-07 08:07:28 | 000,000,000 | ---D | M] -- C:\Users\Pamela\AppData\Roaming\BabSolution
O3 - HKLM\..\Toolbar: (searchgol Toolbar) - {00078E95-3A4A-4137-8DE7-2824908D1C17} - C:\Program Files\searchgol\searchgol\1.8.16.19\searchgolTlbr.dll (Montera Technologeis LTD)
O2 - BHO: (searchgol Helper Object) - {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} - C:\Program Files\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD)
[2013-09-14 13:44:37 | 000,000,000 | ---D | M] (uTorrentControl_v6) -- C:\Users\Skiba\AppData\Roaming\mozilla\Firefox\Profiles\7ncar2ai.default\extensions\{96f454ea-9d38-474f-b504-56193e00c1a5}
FF - prefs.js..browser.startup.homepage: "http://www.searchgol.com/?babsrc=HP_ss&mntrId=54AD0015CFE0C4CE&affID=125032&tsp=5028"
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\hsygsqnn.sys -- (hsygsqnn)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys -- (FairplayKD)
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.jessi
-
a próbowałeś tego ostatniego mojego zalecenia?
-
Nic z tego.
U Ciebie żadne komendy nie działają, więc nie da się usunąć atrybutów z tych ukrytych folderów, ani usunąć tego G:\a
@Picasso pewnie zna jeszcze jakiś inny sposób na usunięcie tego"a" i tych atrybutów.
Może za kilka tygodni tu zajrzy.
EDIT:
możemy spróbować użyć komend na każdy folder oddzielnie:
Otwórz Notatnik i wklej w nim:
attrib /d /s -s -h G:\dell
attrib /d /s -s -h G:\Files
attrib /d /s -s -h G:\FLAC MP3
attrib /d /s -s -h G:\nikon sd
attrib /d /s -s -h G:\PQI 15GB
attrib /d /s -s -h G:\pulpit
attrib /d /s -s -h G:\seagate
attrib /d /s -s -h G:\yera
del /s G:\a
pause
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako: FIX.BAT > Uruchom ten plik dwuklikiem.Zrób nowy log z USBFix.
jessi
-
Jessica, mógłbym Cię przeprosić teraz? Nie będzie mnie w domu przez 4h.
Ależ tu nikt nikogo nie pogania. :)
Coś OTL nie zmienia atrybutów tych ukrytych folderów.
Spróbujemy inaczej:
1. Otwórz Notatnik i wklej w nim:
DEL /S "G:\a"attrib /d /s -s -h G:\*
PAUSE
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako: FIX.BAT > Uruchom ten plik dwuklikiem.
2) Zrób nowy log z USBFix.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
Nie przegladałam dokładnie logów, ale zanim zjawi się tu @Picasso (za kilka tygodni), to możesz :
1) Odinstalować Ask Toolbar (x32 Version: 1.12.2.0)
2) Użyć Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txtError: (10/07/2013 06:34:39 PM) (Source: Service Control Manager) (User: )
Description: Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu:
%%1068Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
O4 - Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nero.bat.lnk = C:\Windows\SysWOW64\nero.bat ()
O4 - Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PowerReg Scheduler.exe ()
O4 - Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winword.exe.lnk = C:\Windows\SysWOW64\winword.exeNie podobają mi się te pliki.
Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL
jessi
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
attrib /d /s -s -h G:\* /C
G:\aKliknij w Wykonaj Skrypt.
Potem zrób nowy log z USBFix.
jessi
Wirus zamieniający foldery na skróty, pendrive, ituneshelper.vbe
w Dział pomocy doraźnej
Opublikowano
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)
Na "G" nie masz żadnych folderów, wg logu USBFix.
1) Odinstaluj "BuzzSearch" = BuzzSearch 2013.11.07.232809
2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
3) Zrób log z USBFix LISTING
4) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt
5) Zrób nowy log z OTL na ustawieniach:
Procesy - brak
Moduły - brak
Usługi - brak
Sterowniki - brak
Rejestr-skan dodatkowy - brak
zaznacz w okienku przy "Pomiń pliki Microsoftu"
zaznacz w okienku przy "Pomiń znane dobre pliki"
brak zaznaczenia przy "Infekcja LOP"
brak zaznaczenia przy "Infekcja Purity".
jessi