Conor29134
-
Postów
283 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Conor29134
-
-
laptop posiada czytnik kart pamięci ?
Może to jest przyczyną wyskakujących powiadomień o urządzeniu usb
-
1. Uruchom OTL i w okno Własne opcje skanowania /skrypt wklej:
:OTL
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.claro-search.com/?q={searchTerms}&affID=114256&tt=3212_8&babsrc=SP_iclro&mntrId=fcf668480000000000000013ce751de8
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms}
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={D109E0C4-B730-11E1-8089-0002C77EAA70}
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=418&systemid=406&sr=0&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
O2 - BHO: (Claro LTD Helper Object) - {000F18F2-09EB-4A59-82B2-5AE4184C39C3} - C:\Program Files\Claro LTD\claro\1.6.4.1\bh\claro.dll (Montera Technologeis LTD)
O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Documents and Settings\Kamil Luczynski\Application Data\Complitly\Complitly.dll (SimplyGen)
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - File not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - File not found
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - File not found
O3 - HKLM\..\Toolbar: (no name) - !{9E131A93-EED7-4BEB-B015-A0ADB30B5646} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - File not found
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - File not found
O4 - HKLM..\Run: [] File not found
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:BF3130CDE2B88A82
:Commands
[emptytemp]
Kliknij Wykonaj skrypt.
2. Odinstaluj:
Complitly
SweetIM for Messenger 3.7
Internet Explorer Toolbar 4.6 by SweetPacks
BabylonObjectInstaller
Claro LTD toolbar on IE
Wheel of Fortune (remove only) -jeżeli nie korzystasz
W menedżerze rozszerzeń chroma wywal Complitly
4. Użyj AdwCleaner. Opcja delete.
5. Podaj nowy log z otl.
6. Dziennik zdarzeń punktuje błąd związany z rejetrem a dokładniej z wartością/kluczem {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}. W necie wyczytałem żeby się tego pozbyć trzeba zrobić tak"
Start > Uruchom > regedit i wkluczu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{7B849a69-220F-451E-B3FE-2CB811AF94AE}
W prawym oknie z prawokliku usuń wartość: "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}",,0x00000000,"Internet Explorer Machine Accelerators"
-
Zbaczając z tematu miesiąc temu używany był combofix i nie został odinstalowany
Pobierz OTC
Uruchom i kliknij Clean Up
Komputer będzie potrzebować restartu.
Czy to możliwe że te wszystkie wodotryski dodane przez ACERA powodują że on tak działa? RAMu tylko 1GB a CPU to Celerek 1.7
1GB to trochę mało jak na vistę 2GB było by rozsądne bo 7 działa na tylu przyzwoicie więc vista pewnie też.
-
To raczej nie infekcja
Odinstaluj:
Gutscheinmieze - Toolbar
Log me In hamachi
Babylon toolbar
1. Uruchom OTL i w okno Własne opcje skanowania /skrypt
Wklej
:OTL DRV - File not found [Kernel | On_Demand | Stopped] -- -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Cardex) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (TelekomNM3) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (EagleNT) O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.29.1\bh\BabylonToolbar.dll (Babylon BHO) O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.29.1\BabylonToolbarTlbr.dll (Babylon Ltd.) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Commands [emptytemp]Kliknij Wykonaj skrypt
Combofix wskazał jako zainfekowany plik midimap.dll i mam takie pytanie czy ten windows to nie jest jakaś przeróbka ?
c:\windows\System32\ctfmon.exe ... - brak elementu !! to też by świadczyło o przeróbce jaki i cała seria modyfikowanych plików.
Przeczytaj sobie na temat używania Combofixa
https://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/
-
Trochę czasu mineło a belfegor pewnie znalazł sposób.
Za pomocą otl-a wystarczy wklejć w okno Własne opcje skanowania/skrypt
X:\*. X:\*.* X:\*. /S
I nacisnąć skanuj
Za x wstawić literkę dysku
-
Jeszcze dochodzi HTML 5
-
-
Nie możliwe nie ta postawka a ty wymyśliłeś w laptopie procesor desktopowy .
Radzę ci się zaznajomić jak wygląda procesor w laptopie i jaki ma socket.
-
nie nie ma opłaty.
Powodzenia ci życze żeby cię nie wywalili z powodu słabej znajomości angielskiego.
-
Combofix powinien utworzyć loga na roocie partycji powinien się nazywywać Combofix.txt
Pozatym istnieje takie coś jak edytuj do uzupełniania odpowiedzi jeśli nikt nie odpisał.
-
:lol2: :lol2:: :lol2:
:D :D -
Próbowałeś zerowania ?
-
Autoruny:
O32 - AutoRun File - [2010-07-05 11:24:08 | 000,000,011 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-07-05 11:24:55 | 000,000,013 | -HS- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-07-05 11:26:58 | 000,000,011 | -HS- | M] () - F:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-06-16 07:51:50 | 000,000,037 | ---- | M] () - G:\autorun.txt -- [ FAT ]
Te szkodliwe pliki mogą już nie istnieć bo były w wpisach automontowania.
między innymi:
G:\2fiy.bat
G:\qwfqcu.pif
G:\n1deiect.com
G:\-.exe
G:\qrydtb.pif
G:\Recycled\ctfmon.exe
To G to dysk wymienny ?
Cóż jak wrócą specjaliści to ci pomogą bo się na tym zanają
-
Uważaj na partycje bo masz je zaminowane szkodliwymi plikami .
Nie jestem uprawniony do pomocy no ale wyskanuj system skanerem dr.web cureIT wykonaj pełne skanowanie pliki zainfekowane Lecz a co się nie da usuwaj.
Te autoruny to twoje ?
-
testowałeś ten programik od bitdeffender-a ?
patrzyłeś do subskrycji ?
-
Jakiego typu to spam ?
Bo ostatnio jest spam gdzie jest filmik coś o zjedzeniu człowieka przez węża.
Jeżeli tak to masz trochę do przejrzenia.
http://caseyjohnellis.com/scam-video-snake-eats-man/
http://facecrooks.com/Scam-Watch/video-snake-eats-man-caught-on-tape-facebook-scam.html
A to podobno siedzi w subskrycji więc z tamtąd to trzeba wywalić i na jednej z tych stron pisze coś o wtyczce/rozszerzeniu przeglądarki wiec je też można przejrzeć.
możesz jeszcze przejrzeć profil
Najprosrtszym sposobem będzie zainstalowanie aplikacji na facebooku pochodzącej od bitdeffendera:
http://apps.facebook.com/bd-safego/
ona powinna wyskanować profil i wywalić to ści***o
-
Michalke ja bym zaproponował jeszcze wot-a no i dodatki do firefoxa(adblock+noscript) a do opery NoAds
-
System Volume Information to katalog przywracania systemu ;D
Żeby go wyczyścić można wyłączyć na chwilę przywracanie systemu na wszystkich dyskach.
Landuss mam nadzieje że moją wypowiedż jest poza zakresem infekcji.
-
jessico osób które chciałby pomagać napewno pare by się znalazło także ja.
welsoff+live security platinum,+trojan sirefef to dla mnie codzienność.
Żeby nie być goło słownym zairzyjcie na forum pclab peb i forumpc tam udzielam się w miarę aktywnie kiedy nie ma odpowiedzi
-
To nie jest pełny scan z gmer-a gdyby był pełny widać by było hidden przy services.exe
Loga nie mogłeś załączyć bo miał rozszerzenie .log a tu akceptowalny jest .txt, wystarczyło zmienić nazwę.
U ciebie w logu jest coś takiego
[2006-03-02 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{e68c22f3-cefe-d456-8148-444aa6b8a384}\@ [2006-03-02 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\Migdal\Ustawienia lokalne\Dane aplikacji\{e68c22f3-cefe-d456-8148-444aa6b8a384}\@To nie możliwe chyba coś ci się rozregulował zegar.
Pozatym wykonaj skan dostosowany
Pobierz system look
http://jpshortstuff..../SystemLook.exe
W okienko wklej
:reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exeKliknij look i pokaż raport
-
czarna u ciebie jest ciężko.
wpis
O20 - HKLM Winlogon: UserInit - (C:\windows\system32\MPK\mpk.exe) - C:\Windows\System32\MPK\MPK.exe ()
To jest keylogger. Jeżeli sama używasz i zainstalowałaś to może sobie być.
Do tego zeroaccess
[2012-07-27 21:10:49 | 000,019,968 | ---- | C] () -- C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\U\800000cb.@ [2012-07-27 21:10:25 | 000,013,312 | ---- | C] () -- C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\U\80000000.@ [2012-07-27 21:10:23 | 000,001,712 | ---- | C] () -- C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\U\00000001.@Ja tu ci nie pomogę ale zalece ci skan dodatkowy na punkty ładowania zeroaccess-a na pewno te wskazówki nakierują trochę specjalistów
Pobierz system look
http://jpshortstuff.247fixes.com/SystemLook.exe
W okienko wklej
:reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exeKliknij look i pokaż raport
-
Najprostszy sposób to zmienić dns-y na google dns:
8.8.8.8
-
Daj loga z programu farbar service scanner:
wszystkie kratki mają byc zaznaczone
No i logi z otl też by się przydały.
-
Tryb awaryjny działa ?
Zasilacz do wymiany.
:D
Komputer wolno chodzi
w Windows XP
Opublikowano
Log wygląda mniej więcej OK lecz w dzienniku zdarzeń widać błąd od oprogramowania sony.
jest także błąd ładowania driver-a SiRemFil nie wiem czy powinien być włączony ale pewnie tak.
START>URUCHOM>wklej>services.msc>OK>USŁUGI>klikasz na >STANDARDOWY>poszukaj usługi SiRemFil i ustaw tryb uruchomienia-automatyczny |status-uruchomiony.
Na koniec porządki.
1.Uruchom OTL i kliknij SPRZĄTANIE
2.Przeskanuj system skanerem Malwarebytes anti-malware(odrzuć ofertę testową)
3.Przeczyść system CCleanerem
Notujesz jakąś poprawę ?