Conor29134

Primo combofix nie służy do tworzenia logów. 2. Lipa wirus infekujący sality grasuje ci w PC zapoznaj sie z tym: https://www.fixitpc.pl/topic/593-wirusy-polimorficzne-rodzaje-objawy-usuwanie/ i pobierz szczepionkę od kasperskego i skanuj tyle razy aż wynik będzie równy 0

Podaj nowe logi z OTL bo widać było sporo więcej do usuwania niż uwzględniłem

1. Jeszcze jeden folder. Uruchom OTL i wklej: :Files C:\Windows\SysWow64\%APPDATA% Kliknij Wykonaj Skrypt. Po wykonaniu skryptu w OTL kliknij Sprzątanie. 2. Po tym możesz spokojnie czekać na moderatorów i w międzyczasie zrobić pełny skan mbam-em 3. Odinstaluj: "{26A24AE4-039D-4CA4-87B4-2F83216038FF}" = Java 6 Update 38 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.6) "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "VLC media player" = VLC media player 1.1.11 i zainstaluj najnowsze wersje

Wykonaj jeszcze raz punkty 1 i 2 nie wiedźieć czemu edytor po edycji rozwalił szyk znacznika code i wszystko poszło do jednej lini przez co nic sie nie wykonało poprawiłem już ramkę i każde polecenie jest w oddzielnej lini

zrób na początek ten mój uruchom a potem kolejny pliczek robisz z tym co diox dał

Spróbujemy poprawić konfiguracje IE, a ja jestem noga w rejestrze win x64 do tej pory korzystam z systemów x86 no ale zobaczymy 1. Uruchom notatnik i wklej: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "DownloadRetries"= 0x0000000000 (0) "Version"= 0x0000000001 (1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "DownloadRetries"= 0x0000000000 (0) "Version"= 0x0000000001 (1) [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system i przeskanuj system skanerem Malwarebytes anti-malware a po skanowaniu podaj nowy log z OTL

1. Uruchom notatnik i wklej: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. 2. Uruchom notatnik i wklej: TAKEOWN /F C:\$Recycle.Bin /R /A /D Ticacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-288856361-3740389046-1671134952-1000\$ff24043d55f85ce9a20a8337d9b4b888 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin del /q C:\Windows\assembly\GAC_32\Desktop.ini del /q C:\Windows\assembly\GAC_64\Desktop.ini rd /s /q C:\Users\Dominik\AppData\Roaming\Uvvoga rd /s /q C:\Users\Dominik\AppData\Roaming\Ywwad rd /s /q C:\Users\Dominik\AppData\Roaming\Ziykv rd /s /q C:\Users\Dominik\AppData\Roaming\3DFA netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. Reset PC robisz po wykonaniu sie polecen w cmd 3. Podaj nowe logi z OTL. 4. Użyj ESET ServicesRepair. Zrób reset i zrób nowy log z FSS.

[HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "ExpressFiles" = ExpressFiles wspominałem że to jest szkodliwe i ma iść do deistalacji w trybie natychmiastowym jeżeli nie ma tego na liscie zainstalowanych napisz to wywalimy ręcznie Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej: :Files C:\Users\Hania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FAIQWQD1\DeltaChromeTB_1001[1].zpb C:\Users\Hania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WHYAK9VQ\Setup-deltatb[1].zpb C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\Delta.ico C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\delta1.crx C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\DeltaChromeTB_1001.zpb C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\Setup-deltatb.zpb C:\Users\Hania\AppData\Local\Temp\is1890775716\DeltaTB.exe :Commands [emptytemp] Kliknij Wykonaj skrypt. Potem naprawimy konfiguracje przeglądarki IE

Mam za duzy sajgon na paru innych forach żeby tu się udzielać(często) napewno nie kandydaci jest wiele innych osób którzy posiadają o wiele większą wiedze wolne ? przecież to nie jest ich praca tylko dobrowolne zajęcie więc mogą pisać kiedy chcą i ile chcą

Co najmniej to dziwne powtórz szukanie na warunkach :Filefind services.exe

1. Użyj AdwCleaner (zastosuj Usuń). Log z tego podaj. 2. Podaj nowy log z OTL. 3. Do SystemLook x64 wklej: :regfind *delta* :filefind *delta*.* Daj look i podaj raport.

Jak mówiłem wcześniej pozbadź sie tuneup dlaczego już wyjaśniam tuneup poprostu rypie soft aplikacje sie nie uruchamiają lub nie chcą instalować np: http://peb.pl/logi-do-sprawdzenia/1323532-problem-przy-instalacji-chrome-103-i.html http://peb.pl/logi-do-sprawdzenia/1324491-system-windows-nie-mo-e-odnale.html#post6028902

Wyłącz i włącz przywracanie systemu na wszystkich dyskach

jeżeli masz na tej płycie któryś z tych softów: Acronis Disk Director, Paragon Partition Manager to nimi ustawiasz partycje aktywną

w trybie awaryjnym spróbuj

Widzę że pliki zeroaccess nawet nie drgnięte w logu, pewnie avast się obudził Przed wykonaniem instrukcji wyłącz osłony avasta by nie przeszkadzał OTL-owi 1. Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej: :Processes killallprocesses :Services BrowserProtect :OTL IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=0c0d7d5f-e469-11e1-9b6a-bc77374b3ef7&q={searchTerms} IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=58AEBC77374B3EF7 IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{EFC79317-2F57-434B-BE76-07A9A70F3655}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN41679119615018116&UM=2 IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.16.16\bh\delta.dll (Delta-search.com) O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.16.16\deltaTlbr.dll (Delta-search.com) O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Hania\AppData\Roaming\System32\csrss.exe File not found O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [rpcsrv] C:\Users\Hania\AppData\Local\Temp\rpcsrv\rpcserv.exe () O20 - AppInit_DLLs: (c:\progra~3\browse~1\261125~1.80\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () :files C:\ProgramData\BrowserProtect C:\Users\Hania\AppData\Roaming\BabSolution C:\Users\Hania\AppData\Roaming\Delta C:\Users\Hania\AppData\Roaming\Babylon C:\ProgramData\Babylon C:\Users\Hania\AppData\Roaming\svchost.exe C:\Users\Hania\AppData\Roaming\csrss.exe C:\Users\Hania\AppData\Roaming\rundll32.exe C:\Users\Hania\AppData\Roaming\System32 C:\Windows\Installer\{88903225-a69e-6a66-7024-270f5f196fd9} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini :reg [HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Kliknij Wykonaj skrypt. 2. Szkodliwy program ExpressFiles do deinstalacji 3. I nowy log z OTL.

płyty typu hirens boot cd ?

Partycja z windows jest ustawiona jako aktywna ?

Jest zeroaccess i tu nie ma co czekać 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Enter zresetuj system po ukończeniu pzetwarzania 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Enter Zresetuj system w celu ukończenia resetu Winsock. 3. Uruchom OTL i w okno własne opcje skanowania/skrypt Wklej: :OTL O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Client Server Runtime Process] C:\Users\Hania\AppData\Roaming\System32\csrss.exe (W?a+q%) O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Hania\AppData\Roaming\csrss.exe (W?a+q%) O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [rpcsrv] C:\Users\Hania\AppData\Local\Temp\rpcsrv\rpcserv.exe () O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [service Host Process for Windows] C:\Users\Hania\AppData\Roaming\System32\svchost.exe (W?a+q%) :Files C:\Users\Hania\AppData\Roaming\csrss.exe C:\Users\Hania\AppData\Roaming\System32\svchost.exe C:\Windows\SysWow64\%APPDATA% C:\Users\Hania\AppData\Roaming\rundll32.exe C:\Users\Hania\AppData\Roaming\System32 C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\Installer\{88903225-a69e-6a66-7024-270f5f196fd9} :Commands [emptytemp] Kliknij Wykonaj skrypt. 4. Podaj nowe logi z OTL + Farbar Service Scanner.

Ja bym wybrał płytkę kasperskego bądź bitdefendera bo mają najlepszą wykrywalność (sygnatury) choć f-secure też dobry av jak będziesz skanował z płytki podłącz i pendrivy bo w logu widać wpisy automount z odwołaniami do folderu recycler na pendrivach=szkodnik

Rozejrzałem się w sieci i wynika że to wersja szyfrująca welsofa http://www.pchelpforum.com/xf/threads/encrypted-files-after-ukash-met-police-infection.145714/ Raczej nie ma szans na odzysk. Jeżeli posiadasz jeszcze pliki tej infekcji bardzo prosilbym o spakowanie do archiwum zabezpieczonego hasłem shostowanie go na speedy.sh i udostępnienie na pw linka i hasła do paczki

Koncówka w OTL-u 1.Uruchom OTL i w okno własne opcje skanowania/skrypt Wklej: :OTL IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms} IE - HKLM\..\SearchScopes\{ffab9ec5-7889-45c9-b6fa-5d19ccfea2d2}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=YUxdm009YYpl&ptb=6A72A495-8A4B-4D5B-B9C7-95328D8BB1FA&ind=2011121415&ptnrS=YUxdm009YYpl&si=translateye&n=77df4707&psa=&st=sb&searchfor={searchTerms} :Commands [emptytemp] Kliknij wykonaj skrypt Po restarcie uruchom OTL i kliknij sprzątanie Uruchom chrome w pasek adresu wklej: chrome://plugins/ wyłacz następujące wtyczki: CieoNet Utilities Installer Plugin Stub MindSpark Toolbar Platform Plugin Stub 2.Wyskanuj system skanerem Malwarebytes anti-malware

1. Uruchom OTL i w okno własne opcje skanowania/skrypt wklej: :Services Web Assistant Updater :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\vmci.sys -- (vmci) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/mb139?a=6R8A2Au8vc&i=26 IE - HKCU\..\SearchScopes\{A1656AC1-F2DD-4758-B9F8-D65DA042F04F}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYUFPL&apn_uid=14b59a58-1f35-4768-a38e-fd20b84f039c&apn_sauid=229930EF-DFA0-441B-B709-91F1751D93C6 IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb203?a=6Oz8Tmts8S&search={searchTerms}&i=26 FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC) O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Files C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\s8gn98k5.default-1360901647015\extensions\jj-3ux@ouoyyaoozdjq.net C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\s8gn98k5.default-1360901647015\searchplugins\MyStart Search.xml C:\Program Files\BrowseToSave C:\Documents and Settings\All Users\Dane aplikacji\BrouwsEe2save :Commmands [emptytemp] Kliknij wykonaj skrypt. 2. Użyj AdwCleaner. Opcja Usuń(podaj z tego log). 3. Wyskanuj system skanerem Malwarebytes anti-malware 4. Podaj nowy log z OTL E:\Syfrator\dirmngr.exe twoje ?

Ja na swoim 7770 na sterach 12.6 nie zauważyłem tego, zainstaluj 12.6 i sprawdź

Odinstaluj: Web Assistant 2.0.0.572 BrowseToSave TuneUp Utilities 2011 Yontoo 1.10.03 Pando Media Booster TuneUp Utilities Language Pack (pl-PL) IB Updater Service po deinstalacji reset PC i nowy log z OTL