jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
O4 - HKLM..\Run: [adiras] C:\WINDOWS\adiras.exe ()
O4 - HKLM..\Run: [autoclk] C:\WINDOWS\autoclk.exe ()
Ja nie widzę jakoś powodu, by usuwać te prawidłowe, legalne pliki.
http://www.systemlookup.com/Startup/429-Adiras_exe.html
Proces adiras.exe pochodzi od oprogramowanie modemu Sagemto słowa @Picasso w temacie https://www.fixitpc.pl/topic/5979-wolny-start-albo-jego-brak/?hl=adiras.exe&do=findComment&comment=44972
ten sam modem ma plik autoclk.exe
-
W nowym logu USBFixa nie widzę już infekcji.
Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.w międzyczasie możesz zrobić nowe logi z FRST i OTL, by @Picasso, jak tu zajrzy, miała do wglądu aktualne logi.
jessi
-
Plik "autorun.inf"na pewno należy do infekcji.
Natomiast nie wiem, co znaczą te:
JOoXCcepabHrcpWuQYtoIj XWtQylgkGvyOkSqcUruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
C:\ouqqh.pif
C:\autorun.inf
D:\mrxdi.exe
D:\autorun.inf
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowy log z USBFix.
jessi
-
przepraszam za spam ale sprawa jest pilna.
Na tym Forum obowiązuje zasada: masz problem - to czekaj nawet kilka tygodni czy miesięcy.
To nie mój wymysł, nic na to nie poradzę, taka tu panuje od dawna praktyka.
Pomagający mają swoje prywatne życie, a pomagają tylko wtedy, gdy znajdą na to czas.
Może napisz Prywatną Wiadomość do https://www.fixitpc.pl/user/10978-arekavgpl/
jessi
-
Zrób log z OTL, ale na specjalnym ustawieniu:
Procesy - brak
Moduły - brak
Usługi - brak
Sterowniki - brak
Rejestr-skan dodatkowy - brak
zaznacz w okienku przy "Pomiń pliki Microsoftu"
zaznacz w okienku przy "Pomiń znane dobre pliki"
brak zaznaczenia przy "Infekcja LOP"
brak zaznaczenia przy "Infekcja Purity".W pole Własne opcje skanowania/Scrypt wklej:
type C:\autorun.inf /C
type C:\autorun.inf /C
i dopiero wtedy kliknij Skanuj.infekcja rozwija się dalej - zachodzi pytanie: skąd, skoro nie podpinasz pendrive'a?
C:\ouqqh.pif
D:\mrxdi.exe
jessi
-
W czasie robienia logu z USBFix nie była podpięta przenośna pamięć (pendrive), z której infekcja przedostała się na dysk twardy.
Usuwamy więc tylko z dysku twardego, pen pozostanie zarażony.
Otwórz Notatnik i wklej w nim:
C:\Users\Adik1\AppData\Local\Temp\winsysl.exe
C:\xkntgk.pif
C:\tnmdj.exe
D:\sgtufo.pif
D:\autorun.inf
C:\autorun.inf
HKLM-x32\...\Runonce: [] - [x]
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.Zrób nowe logi z USBFix i FRST.
[26/05/2013 - 17:46:52 | A | 9333536] D:\a5u1t1.exeZnasz ten plik (z maja br)?
-
Nie wszystko się usunęło (podejrzewam, że lewy dolny róg Skryptu nie został wklejony do OTL).
Usuniemy to inaczej:
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B224AA02-F7C8-3A2B-859F-560B80767E4A}]
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).jessi
-
Ja w logach nie widzę już infekcji.
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).C:\Program Files\Windows Defender\pl-PL => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows DefenderNie wiem, dlaczego FRST to pokazuje - w logu FSS nie było żadnych zastrzeżeń do "Windows Defender"
Chyba trzeba będzie użyć GrantPerms?
Ale to musi być wyjaśnione.
Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.jessi
-
Infekcji już nie widzę.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2013-10-14 17:11:32 | 000,000,000 | ---D | C] -- C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
[2012-12-06 16:29:55 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\Claro
:Files
C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dcillohgikpecbmgioknapdpcjofaafl
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B224AA02-F7C8-3A2B-859F-560B80767E4A}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowy log z OTL oraz wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294
Potem czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.jessi
-
po wykonaniu wklejonego skryptu komputer nie zrestartowal sie,
i dlatego powtórz wszystko z mojego poprzedniego postu
jessi
-
jestem ciekawy co masz z tego ze pomagasz takim ludziom jak ja hehe
Może trochę satysfakcji, jeśli uda mi sie komuś pomóc. :)
W nowych logach nie widzę już niczego do usuwania.
Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
W międzyczasie zrób wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294 - bo i tak @Picasso się o nie upomni.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Ja w logach nie widzę niczego podejrzanego, więc musisz czekać na @Picasso.
(nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.Na jakimś innym forum widziałam, że w podobnym przypadku pomogło wyłączenie jakiegoś akceleratora video w Firefoxie (coś w tym rodzaju, dokładnie nie pamiętam, a nie używam Firefoxa).
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O4:64bit: - HKLM..\Run: [TNOD UP] "C:\Program Files\ESET\TNod User & Password Finder\TNODUP.exe" /i File not found
O4 - HKU\S-1-5-21-2009013383-1134955951-2523952724-1000..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-2009013383-1134955951-2523952724-1000..\Run: [ASRockXTU] File not found
O4 - HKU\S-1-5-21-2009013383-1134955951-2523952724-1000..\Run: [zASRockInstantBoot] File not found
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Czekając na @Picasso zrób wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294
jessi
-
Z logu FSS wynika, że usługa BFE jest zainstalowana, i nie jest uszkodzona.
Zapis erroru pochodzi z 4 listopada, a nie ma z 5 i z dzisiejszego dnia, więc uznaję tę sprawę za przeszłość.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O4 - HKCU..\Run: [Ykniviicf] C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe
[2013-10-13 10:40:15 | 000,000,000 | ---D | C] -- C:\windows\SysWow64\searchplugins
[2013-10-13 10:40:15 | 000,000,000 | ---D | C] -- C:\windows\SysWow64\Extensions
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
:Files
C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe
C:\Users\Natalia\AppData\Roaming\Ciuh
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowe logi z OTL i FRST
(za każdym razem upominam się nowe logi, bo nie wiem, kiedy @Picasso zacznie znów pomagać, a chcę, by od razu miała wgląd do aktualnych logów)
Do >SystemLook-64 wklej:
:filefind
lydac.exe
:regfind
lydac.exe
Naciśnij Look i pokaż raport.jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
1) Użyj >USBFix
Kliknij w nim na: DELETION.
Daj raport z tego usuwania.2) Zrób nowe logi z FRST.
czy Tryb Awaryjny (F8 przed startem Systemu) da się u ciebie uruchomić.
Pytam, bo zastanawia mnie ten wpis:
=================== Safe Mode (whitelisted) ===================
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""nietypowy. gdyby po "AlternateShell" było : "cmd.exe", to w logu wcale by nie było tego wpisu (bo: whitelisted)
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
[2013-11-04 01:34:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Pirrit
Znasz ten program?
Nic więcej podejrzanego w logach nie widzę.
Na pewno będzie jeszcze kosmetyka, ale to chyba dopiero, gdy logi dokładniej przejrzy @Picasso. ((nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
W międzyczasie możesz zrobić wymagane tu logi z FRST.
jessi
-
A jaka?
Czy to ważne?
Nazwy zresztą nie pamiętam, ale kojarzy mi się jako spółka z infekcją ZeroAcces lub Weelsof.
Najważniejsze, że to jest infekcja.
Oczywiście wcale nie musisz wykonywać moich zaleceń, możesz czekać na @Picasso. Na pewno się nie obrażę. :)
Ale mogłbyś przynajmnie zrobić log z FSS, chciałabym zobaczyć, czy faktycznie usługa BFE (Postawowy Aparat Filtrowania) jest zniszona, np. przez ZeroAcces'a.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Jeszcze jest infekcja:
1) Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=-
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).2) Otwórz Notatnik i wklej w nim:
HKCU\...\Run: [Ykniviicf] - C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe [440320 2013-08-22] (Alexander Roshal)
C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe
Task: {82413FB8-5B66-4734-9F72-E7C88357AC80} - \BitGuard No Task File
HKLM\...\Run: [] - [x]
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll [97280 2009-07-14] ()
AppInit_DLLs-x32: c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll [ ] ()
C:\ProgramData\rXgXgVXn_OLD
C:\Users\Natalia\AppData\Local\avgchrome
C:\Users\Natalia\AppData\Roaming\Casael
C:\Users\Natalia\AppData\Roaming\Wyomk
C:\Users\Natalia\AppData\Roaming\Ciuh
C:\Users\Natalia\AppData\Local\Google\Desktop\Install
C:\Program Files (x86)\Google\Desktop\Install
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.3) Zrób nowe logi z FRST i OTL.
4)
Error: (11/04/2013 07:39:40 PM) (Source: Service Control Manager) (User: )
Description: Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej usługi: BFE. Ta usługa może nie być zainstalowana.Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Infekcja jest widoczna.
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013-08-14 02:08:15 | 000,073,728 | ---- | C] () -- C:\Users\Tomek\AppData\Roaming\Other.res
O20 - HKCU Winlogon: Shell - (C:\Users\Tomek\AppData\Roaming\Other.res) - C:\Users\Tomek\AppData\Roaming\Other.res ()
[2013-08-08 21:18:31 | 000,035,328 | ---- | C] () -- C:\ProgramData\prxuxvppqlvnnrb
[2013-08-08 21:15:31 | 000,160,768 | ---- | C] () -- C:\ProgramData\jwxdriroompqxsc
[2013-08-08 21:12:31 | 000,142,848 | ---- | C] () -- C:\ProgramData\xfyhvebssvodwqg
[2013-08-08 21:12:31 | 000,000,333 | ---- | C] () -- C:\ProgramData\fbafbbabecc.cfg
O4 - HKCU..\Run: [fbafbbabecc] "C:\ProgramData\fbafbbabecc.exe" File not found
O4 - HKLM..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd File not found
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\wfzzhqyq.sys -- (wfzzhqyq)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ugrresus.sys -- (ugrresus)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\txomjlih.sys -- (txomjlih)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\sjbglhoi.sys -- (sjbglhoi)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\mmpbanok.sys -- (mmpbanok)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ifiqbxny.sys -- (ifiqbxny)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\hlstdxvz.sys -- (hlstdxvz)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ffmdoenr.sys -- (ffmdoenr)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\apsunzur.sys -- (apsunzur)
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera - do Trybu Normalnego. Zapisz raport, który pokaże się po restarcie.
2) Odinstaluj:
relevantknowledge
"{069B290F-5398-4629-A009-85B4BCB4B1B9}" = Claro Chrome Toolbar
"{83AA2913-C123-4146-85BD-AD8F93971D39}" = BabylonObjectInstaller
"claro" = Claro LTD toolbar
"StartNow Toolbar" = StartNow Toolbar
"V9Software" = V9 Homepage Uninstaller
3) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt4) Zrób nowy log z OTL.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Gdzie go wykrył?
W logu GMER jest tylko widoczny "rootkit Avast":
Service C:\Windows\system32\drivers\aswTdi.sys (*** hidden *** ) [sYSTEM] aswTdi <-- ROOTKIT !!!
Service C:\Windows\system32\drivers\aswVmm.sys (*** hidden *** ) [bOOT] aswVmm <-- ROOTKIT !!!
Service C:\Program Files\AVAST Software\Avast\AvastSvc.exe (*** hidden *** ) [AUTO] avast! Antivirus <-- ROOTKIT !!!oraz:
Disk \Device\Harddisk0\DR0 unknown MBR codeczy to laptop?
Poza tym w logach nie widzę niczego podejrzanego.
Ale oczywiście to musi przejrzeć @Picasso.
(nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.jessi
-
< type N:\autorun.inf /C >
[autorun]
action=Get special offers from SanDisk partners
open=RunClubSanDisk.exe
icon=RunClubSandisk.exe
To nie wygląda na infekcję - zostawiamy ten plik w spokoju.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLO16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O4 - HKU\.DEFAULT..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t File not found
O4 - HKU\S-1-5-18..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t File not found
O4 - HKLM..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
DRV - [2013-04-07 14:37:04 | 000,033,624 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\avgtpx86.sys -- (avgtp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\e4ldr.sys -- (IKANLOADER2)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_juextctrl.sys -- (huawei_ext_ctrl)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcecm.sys -- (huawei_cdcecm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw)
SRV - [2013-04-07 14:37:03 | 000,990,896 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.0.0\ToolbarUpdater.exe -- (vToolbarUpdater15.0.0)
SRV - File not found [On_Demand | Stopped] -- -- (MSDTC)
MOD - [2013-04-07 14:37:03 | 000,990,896 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.0.0\ToolbarUpdater.exe
:Files
C:\Program Files\Common Files\AVG Secure Search
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób nowe logi z FRST i OTL.
Potem czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
Dlaczego nie moge pisac ogonkow polskich klawiatura czy jezyk.
Ustawiam jezyk polski programisty i po wlaczeniu komputera jezykiem domyslnym jest amerykanski
to też dla @Picasso
jessi
-
ale wykonaj to, co napisałam w swoim poprzednim poście
jessi
-
Nie napisałeś, gdzie AVG wykrywa Trojana.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013-11-04 13:34:14 | 000,000,276 | ---- | C] () -- C:\Windows\tasks\FoxTab.job
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-4223254224-2858116454-1805892346-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-4223254224-2858116454-1805892346-1000\Software\Microsoft\Internet Explorer\SearchScopes\{D1029237-CD7E-49ED-ACC0-88C60967C59F}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowe logi z OTL i FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
Potem możesz spokojnie czekać na @Picasso (nie wiem, kiedy będzie w stanie normalnie pomagać na Forum)
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
W logach nie widzę żadnej infekcji.
Będzie kosmetyczne usuwanie, ale to dopiero po dokładniejszym przejrzeniu logów przez @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum)
może spróbuj wg tego:
http://www.pliki.info/plik-shfolder-dll/
tu masz link do mojego pliku (też Win7 x86)
http://www.mediafire.com/?pmos283ab234h32
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
1) odinstaluj
"WinZipper" = WinZipper
Qtrax Player (Version: 1.00.0001) - jeśli go nie używasz
2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txt3) Zrób nowy log z OTL.
Ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:
msconfig
type N:\autorun.inf /Ci dopiero wtedy kliknij Skanuj.
jessi
Strona QVO6 nie da sie usunac
w Dział pomocy doraźnej
Opublikowano
Tym razem usuwanie się powiodło.
Otwórz Notatnik i wklej w nim:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.
Zrób nowe logi z FRST.
W logu FRST:
Napisane, by usunąć, ale nie jestem pewna, czy drukarka naprawdę tego nie potrzebuje:
dlatego nie daję tego usuwania.
Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.
EDIT:
TAK, wiem, że masz zainstalowaną drukarkę - widać to w logach.
I dlatego wolę nie dawać do usuwania tych "At1.job" - bo widać, że to Zaplanowane Zadania drukarki.
jessi