Skocz do zawartości
Wszędzie

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 524

  • Dołączył

  • Ostatnia wizyta

Odpowiedzi opublikowane przez picasso

  2. Komputer zablokowany - ukash

    w Dział pomocy doraźnej

    Opublikowano

      Cytat
    windows był instalowany w sklepie gzdie kupowałem kompa,a windowsa postawili tylko dlatego ze pracował tam znajomy znajomego,a płyty zadnej i klucza nie dostałem ,czyli pirat

     

    Jeżeli jest pewność, że to pirat, to ja nie widzę innego wyjścia niż: zdobyć legalny klucz i zaktywować prawidłowo posiadany Windows lub przeinstalować system przy udziale innego legalnego nośnika.

     

     

     

    .

  3. Ten komputer został zablokowany

    w Dział pomocy doraźnej

    Opublikowano

    Looonger, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj zamiast pisanie posta pod postem. Sklejam.

     

     

      Cytat
    Ale podczas kasowania ComboFix pojawiło mi się okno chyba nawet te same co przy instalacji ale raczej udało mi się to skasować. I dysk F to pendrive czy nie musiałem jego kasować w sensie CF ?

     

    Deinstalacja ComboFix na samym początku wygląda tak jak jego uruchomienie. A co do F: ComboFix był jawnie uruchamiany z tej ścieżki, toteż w komendzie deinstalacyjnej została podana właśnie ta ścieżka.

     

     

      Cytat
    Po zainstalowaniu programu komputer nie chciał się włączyć tzn. po zalogowaniu był czarny ekran więc byłem zmuszony odinstalować program (komputer musiałem zresetować pod koniec skanowania)

     

    Czy na pewno podczas instalacji wybrałeś wersję darmową (o tą mi tu chodziło), która nie instaluje sterownika rezydenta?

     

     

      Cytat
    Niestety nie udało mi się przeskanować całego komputera to są logi które zdążyłem

     

    Do usunięcia te dwa wyniki (reszta to fałszywe alarmy):

     

    Wykrytych kluczy rejestru:
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110111181125} (PUP.CrossRider.BCA) -> Nie wykonano akcji.
     
    Wykrytych plików:
    C:\ProgramData\OptimizerPro1\OptimizerPro1.exe (Trojan.Dropper) -> Nie wykonano akcji.

     

    I przez SHIFF+DEL skasuj cały folder adware C:\ProgramData\OptimizerPro1

     

     

    .

  4. komputer zablokowany pomocy

    w Dział pomocy doraźnej

    Opublikowano · Edytowane przez picasso
    9.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

    To nawet nie jest log z ComboFix z właściwego usuwania, program wielokrotnie (bezsensownie) uruchamiany:

     

    Czas ukończenia: 2012-10-07  20:47:48
    ComboFix-quarantined-files.txt  2012-10-07 18:47
    ComboFix2.txt  2012-10-07 18:13
    ComboFix3.txt  2012-10-07 17:40

     

    Na temat używania ComboFix: KLIK. Zasady działu: KLIK. Proszę więc: podstawić w pierwszym poście właściwy log z ComboFix oraz dodać obowiązkowe tu logi punktowane zasadami.

     

     

     

    .

  5. Ukash! Zablokowany komputer

    w Dział pomocy doraźnej

    Opublikowano

    1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

     

    :Files
C:\Users\marek\AppData\Roaming\msconfig.dat
C:\Users\marek\AppData\Roaming\msconfig.ini
C:\Users\marek\AppData\Roaming\mozilla\firefox\profiles\4nxnmuom.default\searchplugins\daemon-search.xml
C:\Users\marek\AppData\Roaming\mozilla\firefox\profiles\4nxnmuom.default\searchplugins\startsear.xml
C:\Users\marek\AppData\Roaming\mozilla\firefox\profiles\4nxnmuom.default\searchplugins\sweetim.xml
C:\Users\marek\AppData\Roaming\mozilla\firefox\profiles\4nxnmuom.default\searchplugins\Web Search.xml
C:\Users\marek\AppData\Roaming\mozilla\firefox\profiles\4nxnmuom.default\searchplugins\yahoo-zugo.xml
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Search Bar"=-
"Search Page"=-
"Secondary Start Pages"=-
"Start Page"="about:blank"
"Start Page Restore"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"crossriderapp498@crossrider.com"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 5.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 6.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 6.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 6.0.2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 7.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 7.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 8.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 9.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 10.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 10.0.2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 11.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 11.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 12.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 13.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 14.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird 15.0]
 
:OTL
FF - prefs.js..extensions.enabledAddons: adapter@babylontc.com:1.0.0.1
FF - prefs.js..extensions.enabledAddons: ocr@babylon.com:1.0
FF - prefs.js..extensions.enabledAddons: crossriderapp498@crossrider.com:0.76.37
FF - prefs.js..keyword.URL: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=62880b7b-18ad-4d08-8180-733e26997bf6&affid=111583&searchtype=ds&babsrc=lnkry&q="
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "v9"
FF - prefs.js..browser.search.order.1: "v9"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.search.selectedEngine: "v9"
FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=opc&from=opc&uid=ST9320423ASG_5VH1E1J0____5VH1E1J0&ts=1349555578"
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=62880b7b-18ad-4d08-8180-733e26997bf6&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=62880b7b-18ad-4d08-8180-733e26997bf6&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=100581"
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{70BA3E6B-1059-2266-0B2C-40E4A85231B8}: "URL" = "http://www.ddlstart.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=750&product_id=872&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20120807&user_guid=E361883813204987889B64A9B77DA720&machine_id=0d8b7aa95aafae70e440126c0878d710&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={270639D7-DC93-4D30-8E7A-2F979B11647B}&mid=b3cd8de555fe47d19382155eb81b3462-b602d594afd2b0b327e07a06f36ca6a7e42546d0&lang=pl&ds=xn011&pr=sa&d=2012-10-06 22:31:33&v=13.0.0.7&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
 
:Commands
[emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie i działasz już w Trybie normalnym Windows:

     

    2. Odinstaluj adware / zbędniki:

    - Otwórz Google Chrome i w Rozszerzeniach odinstaluj StartNow Search, SweetIM for Facebook. Z listy stron startowych wymaż www.v9.com.

    - Otwórz Firefox i w Dodatkach odinstaluj adware Babylon, Linkury Smartbar, StartNow Toolbar, SweetIM Toolbar for Firefox.

    - Przez Panel sterowania odinstaluj adware Linkury Smartbar, Optimizer Pro v3.0, Przyspiesz Komputer, RewardsArcade, StartNow Toolbar. Od razu pozbądź się też ograniczonego skanera Norton Security Scan i wątpliwego Uniblue DriverScanner.

     

    3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Skutek uboczny: AVG Security Toolbar wprowadzone przez główną instalację AVG też zostanie usunięte, program traktuje to jako sponsora (owszem, tak jest).

     

    4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

     

     

     

    .

  6. Komputer został zablokowany z powodu naruszenia prawa polskiego

    w Dział pomocy doraźnej

    Opublikowano

    Co było robione w narzędziu FRST? Na dysku jest folder tego narzędzia.

     

    1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

     

    :Files
C:\Users\Magda\AppData\Roaming\msconfig.dat
C:\Users\Magda\AppData\Roaming\msconfig.ini
C:\Users\Magda\AppData\Roaming\mozilla\firefox\profiles\jyq96rry.default\searchplugins\conduit.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKU\S-1-5-21-1651713446-2375033879-1253782496-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
O3 - HKU\S-1-5-21-1651713446-2375033879-1253782496-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1651713446-2375033879-1253782496-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-1651713446-2375033879-1253782496-1000..\Run: []  File not found
 
:Commands
[emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie i działasz już w Trybie normalnym Windows:

     

    2. Przez Panel sterowania odinstaluj adware Conduit Engine, MyAshampoo Toolbar. Otwórz Firefox i w Dodatkach odinstaluj MyAshampoo Community Toolbar.

     

    3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

     

    4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

     

     

     

    .

  7. Wirus coin miner

    w Dział pomocy doraźnej

    Opublikowano

    To nie jest pełny log z OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

     

    1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

     

    :OTL
O4 - HKCU..\Run: [Activex Application Updater] C:\Users\hp_dv9000\AppData\Roaming\Microsoft\Windows\Templates\spsreng.exe (Microsoft Corporation)
O4 - HKCU..\Run: [AdobeUpdate] C:\Users\hp_dv9000\AppData\Roaming\Adobe32\invis.vbs ()
O4 - HKCU..\Run: [krgojyumulcksaaifht] C:\Users\hp_dv9000\AppData\Roaming\krgojyumulcksaaifht.exe (Microsoft Corporation)
O4 - HKCU..\Run: [Microsoft® Windows® Operating System] C:\Users\hp_dv9000\AppData\Roaming\Microsoft\Windows\Templates\msadrh10.exe (Microsoft Corporation)
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
 
:Files
C:\Users\hp_dv9000\AppData\Roaming\*.exe
C:\Users\hp_dv9000\AppData\Roaming\Adobe32
C:\Users\hp_dv9000\AppData\Roaming\dclogs
C:\Users\hp_dv9000\AppData\Roaming\Microsoft\Windows\Templates\*.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Klik w Wykonaj skrypt. System zostanie zrestartowany.

     

    2. W systemie jest adware v9. Cześciowo to usuwam z konfiguracji IE w skrypcie powyżej. Nie podałeś raportu OTL Extras, to nie wiem czy na liście zainstalowanych jest pozycja deinstalacyjna v9. Wymagane odrębne działania dla Google Chrome: wejdź do ustawień, z listy stron startowych wymaż www.v9.com, w zarządzaniu wyszukiwarkami przestaw domyślną z v9 na Google, po tym v9 skasuj z listy.

     

    3. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras).

     

     

     

    .

  8. Win32/Coin Miner wirus.

    w Dział pomocy doraźnej

    Opublikowano · Edytowane przez picasso
    9.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

      Cytat
    Trochę poczytałem o komunikatach, które zaczęły pojawiać się systematycznie na moim komputerze i domyślam się, że chodzi o Coin Miner.

     

    Tylko, że nie przedstawiłeś co widzisz. Konkrety: jakie komunikaty, co je produkuje.

     

    Infekcja jest obecna w systemie. Ponadto jeszcze wtręty adware.

     

    1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

     

    :OTL
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [Activex Application Updater] C:\Users\troll.Troll-Gekon\AppData\Roaming\Microsoft\Windows\Templates\spsreng.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [AdobeUpdate] C:\Users\troll.Troll-Gekon\AppData\Roaming\Adobe32\invis.vbs ()
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [krgojyumulcksaaifht] C:\Users\troll.Troll-Gekon\AppData\Roaming\krgojyumulcksaaifht.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [Microsoft® Windows® Operating System] C:\Users\troll.Troll-Gekon\AppData\Roaming\Microsoft\Windows\Templates\msadrh10.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [stplpfhevfcucfammws] C:\Users\troll.Troll-Gekon\AppData\Roaming\stplpfhevfcucfammws.exe (Microsoft Corporation)
IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=e7ade89c-9aae-4870-8db3-1a1604714a6a&affid=111585&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=3412_8&babsrc=SP_ss&mntrId=90988c810000000000000022152352e5"
IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={44B1F6CA-3E99-426C-98D4-D63D8C24045E}&mid=86e6357a2ca947d0beadd16b53c7bb16-879be1b60f79cf3d32134345446a89b1781c6463&lang=pl&ds=xn011&pr=sa&d=2012-09-09 18:21:24&v=12.2.0.5&sap=dsp&q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.0: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.104.0: C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.116.0: C:\Program Files (x86)\Battlelog Web Plugins\1.116.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.122.0: C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.96.0: C:\Program Files (x86)\Battlelog Web Plugins\1.96.0\npesnlaunch.dll File not found
 
:Files
C:\Users\troll.Troll-Gekon\AppData\Roaming\*.exe
C:\Users\troll.Troll-Gekon\AppData\Roaming\Adobe32
C:\Users\troll.Troll-Gekon\AppData\Roaming\Microsoft\Windows\Templates\*.exe
C:\Users\troll.Troll-Gekon\AppData\Roaming\dclogs
C:\Users\troll.Troll-Gekon\AppData\Roaming\OpenCandy
C:\Program Files (x86)\1ClickDownload
netsh advfirewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

     

    2. W systemie brakuje pliku HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

     

    #	127.0.0.1       localhost
    

    #	::1             localhost

     

    Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

     

    Plik wstaw do folderu C:\Windows\system32\drivers\etc.

     

    3. W Firefox i Google Chrome w rozszerzeniach odinstaluj OneClickDownload. Przez Panel sterowania odinstaluj adware Ask Toolbar, AVG Security Toolbar, IncrediMail MediaBar 4 Toolbar, V9 Homepage Uninstaller, vShare.tv plugin 1.3. Dodatkowo pozbądź się przestarzałego skanera Spybot - Search & Destroy oraz wątpliwego SpyHunter.

     

    4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

     

    5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4.

     

     

     

    .

  9. Problem z wyszukiwarką GadgetBox

    w Dział pomocy doraźnej

    Opublikowano

    Log z OTL nieprawidłowo zrobiony, wszystkie opcje mają być na "Użyj filtrowania", a Ty ustawiłeś "Rejestr" na "Wszystko". Plus wkleiłeś jakieś głupoty do skanu w oknie (skrypt). To adware. Groźne nie, denerwujące owszem.

     

    1. Na początek przeprowadź deinstalacje adware przez Panel sterowania: sprotector 1.62, V9 HomeTool, Windows Searchqu Toolbar.

     

    2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

     

    3. Zrób nowy log OTL z opcji Skanuj w prawidłowy sposób: przypominam, że ma być wszędzie Użyj filtrowania, nie wklejaj nic w dolnym oknie. Log Extras nie jest mi potrzebny po raz drugi. Za to dołącz log utworzony przez AdwCleaner.

     

     

     

    .

  10. Wirus na Skype - rozsyłanie linków w oknie rozmowy

    w Dział pomocy doraźnej

    Opublikowano

    W starcie jest tylko wpis odpadkowy (powiązany z tym co przedstawi dziennik Avast), za to na dysku trochę plików tej infekcji.

     

    1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

     

    :OTL
O4 - HKU\S-1-5-21-2738564706-3281215764-3910579505-1000..\Run: [Yvoyow] C:\Users\Marta\AppData\Roaming\Yvoyow.exe File not found
 
:Files
C:\Users\Marta\AppData\Roaming\*.exe
 
:Commands
[emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

     

    2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

     

     

     

    .

  12. Zablokowany komputer UKASH - Prośba o pomoc

    w Dział pomocy doraźnej

    Opublikowano

    Skan SystemLook pokazuje skąd OpenCancy próbuje się ładować = przez Harmonogram zadań.

     

    1. Otwórz Notatnik i wklej w nim:

     

    Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5DC3DF92-C96D-43DD-87FA-6C3ABA7AFAB2}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6CED5A77-39EE-4868-9C29-25A524D7D5E5}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelper]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelperRun]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelperRunOnce]

     

    Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

     

    Plik FIX.REG umieść wprost na C:\. Następnie uruchom regedit na uprawnieniu konta SYSTEM za pomocą Process Hacker. W tak uruchomionym regedit z menu Plik > Importuj > wskaż plik FIX.REG.

     

    2. Przez SHIFT+DEL skasuj z dysku:

     

    C:\Windows\System32\Tasks\OpenCandyHelper

    C:\Windows\System32\Tasks\OpenCandyHelperRun

    C:\_OTL.

     

    3. Podaj nowy log z Systemlook na warunki:

     

    :regfind
    

    OpenCandy
    

    {5DC3DF92-C96D-43DD-87FA-6C3ABA7AFAB2}
    

    {6CED5A77-39EE-4868-9C29-25A524D7D5E5}
    

     
    

    :filefind
    

    *OpenCandy*

     

     

     

    .

  15. Trojan.Win32.Sirefef.ag (v)

    w Dział pomocy doraźnej

    Opublikowano

      Cytat
    Chcialem jeszcze na koniec zapytac jak to jest, ze skasowanie pliku consrv.dll mogloby spowodowac niestartujacy windows (czyli w domysle bardzo wazny plik), a potem okazuje sie, ze skasowanie go nie ma zadnych konsekwencji.

     

    arthy, przecież kilka razy tu już mówiłam: w Twoim rejestrze nie było zapisu punktującego ładowanie tego pliku. Ta infekcja nie wyglądała na czynną, dlatego w Twoim szczególnym przypadku plik można było usunąć od razu. Jeśli ta infekcja jest czynna, wtedy log z OTL pokazuje (przykład z forum: KLIK):

     

    O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

    O38 - SubSystems\\Windows: (ServerDll=consrv:ConServerDllInitialization,2)

    O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

     

    U Ciebie była wartość domyślna systemowa:

     

    O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

    O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

    O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

     

     

      Cytat
    Nie wiem czy to moze miec zwiazek, ale rozstawily sie klawisze z polskiego-programisty oraz wyskoczyl komunikat, ze "kosz" jest nieprawidlowym miejscem na dysku.

     

    1. Pod kątem Kosza, Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz te dwie komendy (po każdej ENTER):

     

    icacls C:\$Recycle.Bin /grant Wszyscy:F /T

    rd /s /q C:\$Recycle.Bin

     

    2. Układ klawiaturowy ustaw po prostu w opcjach.

     

     

     

    .

  16. ZeroAccess widmo. explorer.exe + svchost.exe

    w Dział pomocy doraźnej

    Opublikowano

    W Twoim skanie SystemLook pobieranym na innym forum nie było w ogóle takiej modyfikacji ZeroAccess. Stało tam:

     

    [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

    (Unable to open key - key not found)

     

    Czyli klucza powodującego ten efekt nie było. Jeśli teraz masz problem za zapamiętywaniem pozycji ikon, albo albo: nabawiłeś się nowej infekcji ZeroAccess, efekt nie jest pochodną infekcji (jest mnóstwo innych rzeczy, które mogą tym skutkować).

     

    Na wszelki wypadek pobierz najnowszy OTL (ma nowy system sprawdzania obiektów ZeroAccess) i podaj logi.

     

     

     

    .

  17. Zarażenie: Win64:sirefef-A [Trj]

    w Dział pomocy doraźnej

    Opublikowano

      Cytat
    Wypakowałem do Windows z SetACL.exe (przez Zip) folder 32 bit.Zapisałaem plik fix.txt na dysku C.

    Jak wklejam w cmd komendę to pojawia się info 'Nazwa "SetACL" nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne,program wykonywalny lub plik wsadowy'.

    Nie wiem w czym tkwi problem?

     

    Problem w podkreślonym. W C:\Windows masz umieścić plik SetACL.exe a nie folder.

     

     

     

    .

  18. Brak menu start i ikon na pulpicie, widoczna jedynie tapeta

    w Dział pomocy doraźnej

    Opublikowano

      Cytat
    Niestety, straciłem dostęp do systemu... Pojawia się komunikat "Wystąpił problem, który uniemożliwił systemowi Windows dokładne sprawdzenie stanu licencji dla tego komputera. Kod błędu: 0x80070005" Stało się tak po użyciu funkcji "Sprzątaj" narzędzie OTL.

     

    Niestety, zbytnio się pośpieszyłeś: KLIK. Nie otrzymałbyś tej instrukcji Sprzątanie. Cofaj system wstecz bazując na tych instrukcjach: KLIK.

     

     

      Cytat
    Co do logów TDSSKillera. Udało mi się odnaleźć log, jest w załączniku.

     

    Zgodnie z moim podejrzeniem, usunąłeś prawidłowe sterowniki programów:

     

    14:16:08.0281 1704  ============================================================
    14:16:08.0281 1704  Scan finished
    14:16:08.0281 1704  ============================================================
    14:16:08.0421 1696  Detected object count: 6
    14:16:08.0421 1696  Actual detected object count: 6
    14:18:00.0125 1696  C:\Program Files\Browny02\BrYNSvc.exe - copied to quarantine
    14:18:00.0156 1696  HKLM\SYSTEM\ControlSet001\services\BrYNSvc - will be deleted on reboot
    14:18:00.0171 1696  HKLM\SYSTEM\ControlSet002\services\BrYNSvc - will be deleted on reboot
    14:18:00.0171 1696  HKLM\SYSTEM\ControlSet003\services\BrYNSvc - will be deleted on reboot
    14:18:00.0187 1696  C:\Program Files\Browny02\BrYNSvc.exe - will be deleted on reboot
    14:18:00.0187 1696  BrYNSvc ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    14:18:00.0312 1696  d:\Program Files\GNU\GnuPG\dirmngr.exe - copied to quarantine
    14:18:00.0328 1696  HKLM\SYSTEM\ControlSet001\services\DirMngr - will be deleted on reboot
    14:18:00.0328 1696  HKLM\SYSTEM\ControlSet002\services\DirMngr - will be deleted on reboot
    14:18:00.0328 1696  HKLM\SYSTEM\ControlSet003\services\DirMngr - will be deleted on reboot
    14:18:00.0328 1696  d:\Program Files\GNU\GnuPG\dirmngr.exe - will be deleted on reboot
    14:18:00.0328 1696  DirMngr ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    14:18:00.0390 1696  C:\Program Files\ERA\GlobeTrotter Connect\GtDetectSc.exe - copied to quarantine
    14:18:00.0390 1696  HKLM\SYSTEM\ControlSet001\services\GtDetectSc - will be deleted on reboot
    14:18:00.0390 1696  HKLM\SYSTEM\ControlSet002\services\GtDetectSc - will be deleted on reboot
    14:18:00.0390 1696  HKLM\SYSTEM\ControlSet003\services\GtDetectSc - will be deleted on reboot
    14:18:00.0390 1696  C:\Program Files\ERA\GlobeTrotter Connect\GtDetectSc.exe - will be deleted on reboot
    14:18:00.0390 1696  GtDetectSc ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    14:18:00.0500 1696  C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe - copied to quarantine
    14:18:00.0500 1696  HKLM\SYSTEM\ControlSet001\services\IDriverT - will be deleted on reboot
    14:18:00.0500 1696  HKLM\SYSTEM\ControlSet002\services\IDriverT - will be deleted on reboot
    14:18:00.0500 1696  HKLM\SYSTEM\ControlSet003\services\IDriverT - will be deleted on reboot
    14:18:00.0500 1696  C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe - will be deleted on reboot
    14:18:00.0500 1696  IDriverT ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    14:18:00.0578 1696  C:\WINDOWS\system32\drivers\parldr2k.sys - copied to quarantine
    14:18:00.0578 1696  HKLM\SYSTEM\ControlSet001\services\PARLDR2K - will be deleted on reboot
    14:18:00.0578 1696  HKLM\SYSTEM\ControlSet002\services\PARLDR2K - will be deleted on reboot
    14:18:00.0593 1696  HKLM\SYSTEM\ControlSet003\services\PARLDR2K - will be deleted on reboot
    14:18:00.0593 1696  C:\WINDOWS\system32\drivers\parldr2k.sys - will be deleted on reboot
    14:18:00.0593 1696  PARLDR2K ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    14:18:00.0656 1696  C:\Program Files\PC Connectivity Solution\ServiceLayer.exe - copied to quarantine
    14:18:00.0671 1696  HKLM\SYSTEM\ControlSet001\services\ServiceLayer - will be deleted on reboot
    14:18:00.0671 1696  HKLM\SYSTEM\ControlSet002\services\ServiceLayer - will be deleted on reboot
    14:18:00.0671 1696  HKLM\SYSTEM\ControlSet003\services\ServiceLayer - will be deleted on reboot
    14:18:00.0671 1696  C:\Program Files\PC Connectivity Solution\ServiceLayer.exe - will be deleted on reboot
    14:18:00.0671 1696  ServiceLayer ( UnsignedFile.Multi.Generic ) - User select action: Delete 
    14:18:06.0406 1616  Deinitialize success

     

    Wyniki typu UnsignedFile.Multi.Generic to tylko powiadomienie o braku podpisu cyfrowego. To nie jest równoznaczne z infekcją (takie wyniki mogą być na czystym systemie) i dopiero musi zostać poddane analizie.

     

     

     

    .

  21. Blokada komputera - UKASH

    w Dział pomocy doraźnej

    Opublikowano

    Teraz już wychodzę z domu i nie mogę prowadzić tematu. Jak wrócę, to przemyślę sprawę z tymi błędami.

     

     

      Cytat
    Co do Mirc'a poprostu wiedzialem w ktorym miejscu byl zainstalowany.

     

    Z tego co rozumiem to skasowałeś po prostu ... folder? Czyli: nie odinstalowany i tyle. Zupełnie nie o to mi chodziło, bo ta metoda to nieprawidłowe usuwanie, brutalne połowiczne operacje zostawiające kupę wpisów w rejestrze. Zresztą w logu z OTL widać, że coś źle "poszło", bo wpisy startowe po tym nadal są. Nie podejmuj już żadnych innych działań na własną rękę. Zajmę się doczyszczeniem tego co namieszałeś jak wrócę.

     

     

     

    .

  22. Malware w C:\Windows\Installer

    w Dział pomocy doraźnej

    Opublikowano

      Cytat
    Rozumiem że rekonstrukcja klucza sterownika uwierzytelniania zapory systemu Windows (mpsdrv) nie była konieczna.

     

    Nie. Podałam wyraźnie trzy konkretne usługi Zapory systemu Windows, które Farbar Service Scanner wykazał jako usunięte. Zadania wykonane, możemy przejść do wykończeń:

     

    1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, przez SHIFT+DEL skasuj wszystkie pozostałe używane narzędzia i folder z kwarantanną D:\_OTL. Nie używaj opcji Sprzątanie (!) w OTL, posiadasz zdefektowaną wersję OTL, która: KLIK.

     

    2. Wyczyść foldery Przywracania systemu: KLIK.

     

    3. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

     

     

     

    .

  23. Blokada komputera - UKASH

    w Dział pomocy doraźnej

    Opublikowano

      Cytat
    Odnalazlem ten plik appwiz.cpl, ale nie darady jego uruchomic, a gdy chce go usunac wyskakuje komunikat

     

    Mój Boże, ale dlaczego Ty chcesz go usuwać? Na szczęście plik blokują uprawnienia. Ten plik jest apletem Dodaj / Usuń programy i nie kazałam go usuwać (!) tylko uruchomić. Jego uruchomienie miało być obejściem dostępowym przy nieuruchamiającym się Panelu sterowania. Co to znaczy "nie daje rady go uruchomić"? Jaki błąd?

     

     

      Cytat
    Nie wiem w ktorym miejscu znajduje sie MEDIABAR.

     

    Na liście zainstalowanych programów. W jaki sposób usunąłeś mIRC, skoro MediaBar nie możesz znaleźć?

     

     

    .

  24. Niedziałający antywirus - Podejrzenie Sality

    w Dział pomocy doraźnej

    Opublikowano

    Uwaga: nie używaj Sprzątania w posiadanej wersji OTL i ten szczególny OTL skasuj z dysku. Powody: KLIK.

     

     

      Cytat
    C:/Documents and Settings/Admin/Ustawienia lokalne/Temp/winuwwpux.exe/

     

    Plik Sality. Czy skrypt OTL był uruchamiany przed skanem Kasperskym czy po? Jeśli po, to Temp były już czyszczone. Jeśli jednak przed, to obecność tego pliku jest podejrzana (świadczyłoby to bowiem o utworzeniu nowego pliku już po czyszczeniu Temp).

     

     

      Cytat
    Tylko że dalej z antywirusem problem występuje.

    Spróbuje reinstalacji Avasta może pomoże .

     

    To spróbuj reinstalacji.

     

     

    .

×
×
  • Dodaj nową pozycję...