jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Ja w logach nie widzę żadnej infekcji.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013-06-17 20:38:48 | 000,006,470 | ---- | M] () -- C:\Users\sony\AppData\Roaming\mozilla\firefox\profiles\vb51avwh.default\searchplugins\babylon.xml
[2013-06-17 20:39:11 | 000,001,294 | ---- | M] () -- C:\Users\sony\AppData\Roaming\mozilla\firefox\profiles\vb51avwh.default\searchplugins\delta.xml
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
jessi
-
chyba udało się to usunąć.
w nowym logu nie widzę już nic podejrzanego.
stan laptopa bez zmian - >Chrome dalej się nie otwieraTak wiec teraz czekamy na @Picasso, choć nie wiem, kiedy znów zacznie normalnie pomagać na Forum
jessi
-
Registry value HKEY_USERS\S-1-5-21-672055795-390331892-413438480-1001\Software\Microsoft\Windows\CurrentVersion\Run\\vCchabHoWT9wRrlGj4RVk8nA not found.
File C:\Users\Daniel\AppData\Roaming\Skype\dolszowy\chatsync\fc\lodctr.exe not found.
a to jakiś cwaniak! teraz jest pod inną nazwą i w innej lokalizacji.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLO4 - HKU\S-1-5-21-672055795-390331892-413438480-1001..\Run: [uCMmbrLqVDp3X6dHibQ=] C:\Users\Daniel\AppData\Roaming\Spotify\Users\progeno-user\Apps\search-dropdown\chkntfs.exe ()
:Files
C:\Users\Daniel\AppData\Roaming\*.exe
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
zobaczymy, czy to znów się zmieniło, czy nie
jessi
-
O4 - HKU\S-1-5-21-672055795-390331892-413438480-1001..\Run: [vCchabHoWT9wRrlGj4RVk8nA] C:\Users\Daniel\AppData\Roaming\Skype\dolszowy\chatsync\fc\lodctr.exe ()
To mi się nie podoba - w tej lokalizacji nie powinno być żadnego *.exe.
Chyba, że sam to tam umieściłeś?
Jeśli nie, to usuniemy:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLO4 - HKU\S-1-5-21-672055795-390331892-413438480-1001..\Run: [vCchabHoWT9wRrlGj4RVk8nA] C:\Users\Daniel\AppData\Roaming\Skype\dolszowy\chatsync\fc\lodctr.exe ()
O4 - HKLM..\Run: [PWMTRV] rundll32 C:\PROGRA~2\ThinkPad\UTILIT~1\PWMTR64V.DLL,PwrMgrBkGndMonitor File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-672055795-390331892-413438480-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-672055795-390331892-413438480-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób nowe logi z FRST i OTL.
Z fixlogu:
CHR RestoreOnStartup: "hxxp://www.google.com/", "hxxp://www.google.com/ig/redirectdomain?brand=LENP&bmod=LENP", "hxxp://www1.delta-search.com/?affID=121845&tt=gc_&babsrc=HP_ss&mntrId=5A3FB888E3E69E01" ==> The Chrome "Settings" can be used to fix the entry.No, tak, to trzeba usuwać nie poprzez Skrypt FRST, tylko poprzez "Ustawienia" w Chrome.
stan laptopa bez zmian - >Chrome dalej się nie otwieraz tym musisz czekać na @Picasso (nie wiem, kiedy powróci do normalnego pomagania)
jessi
-
Coś mi się tu nie zgadza: logi FRST zrobione po użyciu Adw-Cleanera, a mimo to widać w logu FRST śmieci, które powinien usunąć Adw-Cleaner.
Na wszelki wypadek:
1) Otwórz Notatnik i wklej w nim:
AppInit_DLLs-x32: c:\progra~3\browse~2\261519~1.190\{c16c1~1\browse~1.dll [ ] ()
HKLM-x32\...\Run: [] - [x]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3220&bs=true&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=3220&bs=true&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=3220&bs=true&q=
URLSearchHook: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
SearchScopes: HKLM-x32 - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKCU - {1D3018DB-1296-4466-AEAE-BB8AEA29FAEC} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=0FD70E88-D92C-4AF2-8EC0-57919316BC15&apn_sauid=C2CD65D7-2513-401A-90D7-D424ED6F2D98
SearchScopes: HKCU - {A0557002-C60D-4A91-BF2C-727C03BB9E54} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=0FD70E88-D92C-4AF2-8EC0-57919316BC15&apn_sauid=C2CD65D7-2513-401A-90D7-D424ED6F2D98
SearchScopes: HKCU - {EB397B5B-FB59-4419-81FE-8952FE3301B2} URL = http://blekko.com/ws/?source=5f97ddbe&tbp=rbox&u=b8bdd4ad000000000000001bb1d0dd02&q={searchTerms}&r=747
BHO-x32: uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
BHO-x32: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\17.0.1.12\AVG Secure Search_toolbar.dll (AVG Secure Search)
BHO-x32: MinibarBHO - {AA74D58F-ACD0-450D-A85E-6C04B171C044} - C:\Program Files (x86)\Minibar\Minibar.dll (KangoExtensions)
BHO-x32: Blekko Search Bar Helper Object - {BAE35237-8D73-44D0-905C-8A95EA1E7E69} - C:\Program Files (x86)\blekko\spamfreesearch\1.8.3.9\bh\spamfreesearch.dll (Montera Technologeis LTD)
BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\17.0.1.12\AVG Secure Search_toolbar.dll (AVG Secure Search)
Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
Toolbar: HKLM-x32 - Blekko Search Bar Toolbar - {EECF410C-006C-4A05-AD13-6741A0814DBF} - C:\Program Files (x86)\blekko\spamfreesearch\1.8.3.9\spamfreesearchTlbr.dll (Montera Technologeis LTD)
Handler-x32: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\17.0.12\ViProtocol.dll (AVG Secure Search)
CHR DefaultSearchURL: (Ask.com) - http://dts.search.ask.com/sr?src=crb&gct=ds&appid=102&systemid=473&v=n9397-124&apn_uid=4444574522754435&apn_dtid=BND473&o=APN10640&apn_ptnrs=AG1&q={searchTerms}
CHR DefaultSuggestURL: (Ask.com) - "suggest_url": "",
CHR Plugin: (BrowserProtect) - C:\Users\Rodzice\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph\1.0_0\spext.dll No File
CHR Plugin: (AVG SiteSafety plugin) - C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\13.3.2\\npsitesafety.dll (AVG Technologies)
CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\Donio\AppData\Roaming\BabSolution\CR\BabylonChrome1.crx
CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Donio\AppData\Roaming\BabSolution\CR\Delta.crx
CHR HKLM-x32\...\Chrome\Extension: [ofaekbahncacnjgelnfjcjoelcglkhkj] - C:\Program Files (x86)\blekko\spamfreesearch\1.8.3.9\spamfreesearch.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
R2 vToolbarUpdater17.0.12; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.0.12\ToolbarUpdater.exe [1734680 2013-10-02] (AVG Secure Search)
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [46368 2013-10-02] (AVG Technologies)
2013-10-28 16:22 - 2013-10-28 16:22 - 00002112 _____ C:\Users\Donio\Desktop\AppsHat.lnk
2013-10-28 16:22 - 2013-10-28 16:22 - 00000000 ____D C:\Program Files (x86)\Minibar
C:\Users\Donio\AppData\Local\Temp\appshat-distribution.exe
C:\Users\Donio\AppData\Local\Temp\FLVPlayerSetup.exe
C:\Users\Donio\AppData\Local\Temp\FLVPlayerUpdate_downloader_by_FLVPlayerUpdate.exe
C:\Users\Donio\AppData\Local\Temp\ugoOrrf.exe
C:\Users\Donio\AppData\Local\Temp\ugoOrrf0.exe
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Daj ten log.2) Zrób nowe logi z FRST i OTL, by @Picasso, jak już zacznie znowu pomagać, miała aktualne logi do przeglądania.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Moim zdaniem ESET popełnił pomyłkę:
C:\Program Files\Lenovo\Communications Utility\TpKnrres.exeLaptop pewnie LENOWO?
Poza tym widać w logu Addition: ThinkVantage Communications Utility (Version: 3.0.34.0)
ten zainstalowany program Lenowa, a plik TpKnrres.exe jest w tym programie.
To tylko moje zdanie - oceni to @Picasso, gdy już będzie w stanie normalnie pomagać.
W międzyczasie możesz zrobić to:
1) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txt2) Otwórz Notatnik i wklej w nim:
C:\Users\Daniel\AppData\Local\Temp\invoice_988895.pdf.exe
C:\Users\Daniel\AppData\Local\Temp\gdirector.exe
C:\Users\Daniel\AppData\Local\Temp\NOSEventMessages.dll
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [x]
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll No File
CHR RestoreOnStartup: "hxxp://www.google.com/", "hxxp://www.google.com/ig/redirectdomain?brand=LENP&bmod=LENP", "hxxp://www1.delta-search.com/?affID=121845&tt=gc_&babsrc=HP_ss&mntrId=5A3FB888E3E69E01"
FF Plugin HKCU: intel.com/AppUp - C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp.dll No File
FF SearchPlugin: C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\yvglvi6j.default\searchplugins\babylon.xml
FF SearchPlugin: C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\yvglvi6j.default\searchplugins\delta.xml
FF Homepage: hxxp://search.myheritage.com/
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=121845&tt=gc_&babsrc=SP_ss&mntrId=5A3FB888E3E69E01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?affID=121845&tt=gc_&babsrc=HP_ss&mntrId=5A3FB888E3E69E01
HKCU\...\Run: [] - [x]
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.3) Zrób nowe logi z OTL i FRST.
jessi
-
lepiej byłoby odinstalować, ale jeśli nie masz wyboru, to wykonuj następne zalecenia.
jessi
-
Pomoże mi ktoś ???;(
Skoro nie chcesz skorzystać z mojej pomocy (którą podałam w swoim poprzednim poście), to musisz czekać na @Picasso (nie wiem, kiedy będzie w stanie normalnie pomagać).
jessi
-
One zawsze były, tylko że były niewidoczne.
Można je usunąć, ale po najbliższym włączeniu komputera Kosz się samoczynnie odrodzi, tyle, że pusty.
Można je ukryć poprzez zaznaczenie\odznaczenie okienka w opcjach folderów przy "Ukryj pliki/foldery systemowe".
>Panel Sterowania > System i Zabezpieczenia > Wygląd i Personalizacja >Opcje Folderów > Pokaż ukryte Pliki i Foldery > Ukryj chronione pliki i foldery >zaznacz
jessi
-
W jaki sposób mam odinstalować C:\ProgramData\eSafe ?
Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt
A foldery "Recycle.bin" i "Recycler" - to zwykły KOSZ.
jessi
-
Wirus został usuniety
Nie jestem tego taka pewna: skoro Kasper wykrył jeszcze zarazone pliki, to infekcja może być dalej aktywna.
Dopiero gdy nie zostanie wykryty żaden zarażony plik, to będzie można powiedzieć, że jest "po wirusie".
Poza tym SALITY zazwyczaj uszkadza Tryb Awaryjny, i potem trzeba to naprawiać.
Radzę tu jeszcze zajrzeć, gdy @Picasso już będzie zdrowa.
jessi
-
Prawdę mówiąc, to nie rozumiem, po co robić skan z zewnątrz, skoro Tryb Normalny działa, a nie działa tylko Tryb Awaryjny.
-
Moze problem tkwi w raporcie i to tez to ze skanowalem z poziomu windows
Co ma piernik do wiatraka?
Skan na pewno nie jest przyczyną braku Trybu Awaryjnego.
moze Ty masz jakis inny link dzialajacy pod reka z winre?
Parafrazując znaną reklamę: Takie "rzeczy" to tylko @Picasso
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Ja w logach nie widzę żadnej infekcji.
Jest trochę do usuwania, ale to w zasadzie byłoby kosmetyczne usuwanie - to może poczekać, aż @Picasso dokładniej wszystko zbada, i wtedy poda kompleksowe usuwanie.
Error: (11/03/2013 10:02:28 PM) (Source: Service Control Manager) (User: )
Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:
Fips
intelppmtrochę zastanawia mnie ten błąd, czy mógłby być przyczyną problemów? Ale nie wiem tego.
jessi
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"
>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
sprawdź, czy istnieją te powyższe klucze.
Chodzmi o to, że może przyczyną jest brak Trybu Awaryjnego w Rejestrze.
Pewnie jest jakaś inna przyczyna, ale na początek można sprawdzić i tą.
jessi
-
w takim razie czekaj na @Picasso, bo to chyba uszkodzony System.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Do usuwania AVG trzeba użyć AVG Remover - http://www.avg.com/download-tools
Poza tym odinstaluj:
BabylonObjectInstaller (Version: 2.0.0.2)
AVG Security Toolbar (Version: 17.0.1.12)
DealPly (Version: )
Facemoods Toolbar
Dodatkowo użyj Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txtPotem zrób nowe logi z FRST, by @Picasso, jak już tu będzie w stanie pomagać, miała aktualne logi.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Ja w logach nie dostrzegam niczego podejrzanego.
jessi
-
Być może GMER za Rootkita uważa ...Avasta:
Service C:\Windows\system32\drivers\aswFsBlk.sys (*** hidden *** ) [AUTO] aswFsBlk <-- ROOTKIT !!!
Service C:\Windows\system32\drivers\aswMonFlt.sys (*** hidden *** ) [AUTO] aswMonFlt <-- ROOTKIT !!!
Service C:\Windows\System32\Drivers\aswrdr2.sys (*** hidden *** ) [sYSTEM] aswRdr <-- ROOTKIT !!!
Service C:\Windows\system32\drivers\aswRvrt.sys (*** hidden *** ) [bOOT] aswRvrt <-- ROOTKIT !!!
Service C:\Windows\system32\drivers\aswSnx.sys (*** hidden *** ) [sYSTEM] aswSnx <-- ROOTKIT !!!
Service C:\Windows\system32\drivers\aswSP.sys (*** hidden *** ) [sYSTEM] aswSP <-- ROOTKIT !!!
Service C:\Windows\system32\drivers\aswTdi.sys (*** hidden *** ) [sYSTEM] aswTdi <-- ROOTKIT !!!
Service C:\Windows\system32\drivers\aswVmm.sys (*** hidden *** ) [bOOT] aswVmm <-- ROOTKIT !!!
Service C:\Program Files\AVAST Software\Avast\AvastSvc.exe (*** hidden *** ) [AUTO] avast! Antivirus <-- ROOTKIT !!!Ale ocenę nowych logów zostawiam już dla @Picasso (nie wiem, kiedy będzie w stanie pomagać na Forum)
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
1) Odinstaluj "WsysControl" = Wsys Control 10.2.1.2634
2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O4 - HKU\S-1-5-21-2688773689-1415993320-211456013-1000..\Run: [Kfrcrm] C:\Users\Jakub\AppData\Roaming\Kfrcrm.exe File not found
SRV - [2013-10-28 17:43:38 | 000,825,920 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] -- C:\ProgramData\eSafe\eGdpSvc.exe -- (WsysSvc)
:Files
attrib /d /s -s -h F:\* /C
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowe logi z FRST i OTL.
napisz, jak wodzisz teraz foldery na dysku zewnętrznym
jessi
-
Odkryłem, że problemy powróciły po próbie zamontowania jednego z plików iso
W logach nie widzę niczego, co powróciło. Czy na pewno te logi były robione po tym "powrocie"?
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL[2013-03-16 09:48:22 | 000,000,000 | -HSD | M] -- C:\Users\Szarik\AppData\Roaming\wyUpdate AU
[2013-11-03 14:16:00 | 000,000,354 | ---- | M] () -- C:\Windows\tasks\ROC_JAN2013_TB_rmv.job
[2013-11-03 14:16:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
O4 - HKU\S-1-5-21-3062222361-3309921344-3189368415-1002..\Run: [speedUpMyComputer] C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as File not found
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@live.heroesandgenerals.com/npretox: C:\Program Files (x86)\Heroes & Generals\live\npretoxlive.dll File not found
:Reg
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
[HKEY_USERS\S-1-5-21-3062222361-3309921344-3189368415-1002\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób nowe logi z OTL i FRST (nie wiem, kiedy @Picasso tu zajrzy, więc stale muszą tu być najnowsze logi).
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Ja w tym logu nie widzę żadnej infekcji, więc i tak musisz czekać na @Picasso
jessi
-
Jessica co się dzieje z Picasso ,czy to poważna choroba?
Nie wiem, ale skoro trwa już miesiąc, to chyba to jest coś poważnego. Wolę nie spekulować, to Jej prywatna sprawa.
Wies zmoze jak usunac maxkeyloggera?W logach go nie widzę.
Użyj MBAM http://www.malwarebytes.org/mwb-download/
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty zdrowotne)Ja nie dostrzegam w logach infekcji, ale są szkodliwe sponsorskie śmieci:1) Odinstaluj:"Akamai" = Akamai NetSession Interface
"DealPly" = DealPly"ilividtoolbargaw" = Search-Results Toolbar"delta" = Delta toolbar
"Delta Chrome Toolbar" = Delta Chrome Toolbar2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt3) Zrób nowy log z OTL.jessinieaktualne, bo jest już odpowiedź
trojan generic8
w Dział pomocy doraźnej
Opublikowano
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Nawet nie napisałeś, gdzie ten Trojan został wykryty:
1) Odinstaluj:
"foxtab" = Foxtab
"delta" = Delta toolbar
"Delta Chrome Toolbar" = Delta Chrome Toolbar
"{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" = BitGuard
2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txt
3) Zrób nowy log z OTL.
jessi