Conor29134

Primo combofix nie służy do tworzenia logów. 2.
 

(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSINT32
-------\Service_amsint32
.

 
Lipa wirus infekujący sality grasuje ci w PC
zapoznaj sie z tym:
https://www.fixitpc.pl/topic/593-wirusy-polimorficzne-rodzaje-objawy-usuwanie/
i pobierz szczepionkę od kasperskego i skanuj tyle razy aż wynik będzie równy 0

Podaj nowe logi z OTL bo widać było sporo więcej do usuwania niż uwzględniłem

1. Jeszcze jeden folder. Uruchom OTL i wklej:

:Files

C:\Windows\SysWow64\%APPDATA%

Kliknij Wykonaj Skrypt. Po wykonaniu skryptu w OTL kliknij Sprzątanie.

2. Po tym możesz spokojnie czekać na moderatorów i w międzyczasie zrobić pełny skan mbam-em

3. Odinstaluj:

"{26A24AE4-039D-4CA4-87B4-2F83216038FF}" = Java 6 Update 38

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.6)

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10

"VLC media player" = VLC media player 1.1.11

i zainstaluj najnowsze wersje

Wykonaj jeszcze raz punkty 1 i 2 nie wiedźieć czemu edytor po edycji rozwalił szyk znacznika code i wszystko poszło do jednej lini przez co nic sie nie wykonało poprawiłem już ramkę i każde polecenie jest w oddzielnej lini

zrób na początek ten mój uruchom a potem kolejny pliczek robisz z tym co diox dał

Spróbujemy poprawić konfiguracje IE, a ja jestem noga w rejestrze win x64 do tej pory korzystam z systemów x86 no ale zobaczymy

1. Uruchom notatnik i wklej:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

"DownloadRetries"= 0x0000000000 (0)

"Version"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

"DownloadRetries"= 0x0000000000 (0)

"Version"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Zresetuj system i przeskanuj system skanerem Malwarebytes anti-malware a po skanowaniu podaj nowy log z OTL

1. Uruchom notatnik i wklej:

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f

reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f

pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator.

2. Uruchom notatnik i wklej:

TAKEOWN /F C:\$Recycle.Bin /R /A /D Ticacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T

icacls C:\$Recycle.Bin\S-1-5-21-288856361-3740389046-1671134952-1000\$ff24043d55f85ce9a20a8337d9b4b888 /grant Wszyscy:F /T

rd /s /q C:\$Recycle.Bin

del /q C:\Windows\assembly\GAC_32\Desktop.ini

del /q C:\Windows\assembly\GAC_64\Desktop.ini

rd /s /q C:\Users\Dominik\AppData\Roaming\Uvvoga

rd /s /q C:\Users\Dominik\AppData\Roaming\Ywwad

rd /s /q C:\Users\Dominik\AppData\Roaming\Ziykv

rd /s /q C:\Users\Dominik\AppData\Roaming\3DFA

netsh winsock reset

pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator.

Reset PC robisz po wykonaniu sie polecen w cmd

3. Podaj nowe logi z OTL.

4. Użyj ESET ServicesRepair. Zrób reset i zrób nowy log z FSS.

[HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"ExpressFiles" = ExpressFiles

wspominałem że to jest szkodliwe i ma iść do deistalacji w trybie natychmiastowym

jeżeli nie ma tego na liscie zainstalowanych napisz to wywalimy ręcznie

Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej:

:Files

C:\Users\Hania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FAIQWQD1\DeltaChromeTB_1001[1].zpb

C:\Users\Hania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WHYAK9VQ\Setup-deltatb[1].zpb

C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\Delta.ico

C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\delta1.crx

C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\DeltaChromeTB_1001.zpb

C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\Setup-deltatb.zpb

C:\Users\Hania\AppData\Local\Temp\is1890775716\DeltaTB.exe

:Commands

[emptytemp]

Kliknij Wykonaj skrypt.

Potem naprawimy konfiguracje przeglądarki IE

Tak się zastanawiam: w regulaminie forum jest wyraźnie napisane, że prawo do udzielania porad mają wyłącznie picasso i Landuss, tymczasem w dziale pomocy doraźnej za pomaganie zabrali się diox i Conor. Czy to nowi kandydaci?

Poza tym, czy moderatorzy wzięli sobie wolne? Nie widzę, żeby reagowali na prośby o sprawdzenie logów. Nie, żebym chciał tu wywierać jakieś naciski, ale np. mój post wisi od 11 kwaietnia, czyli od 3 dni i odpowiedzi nie dostałem. Czy ktoś może mi wyjaśnić, co się dzieje?

Mam za duzy sajgon na paru innych forach żeby tu się udzielać(często) napewno nie kandydaci jest wiele innych osób którzy posiadają o wiele większą wiedze

wolne ? przecież to nie jest ich praca tylko dobrowolne zajęcie więc mogą pisać kiedy chcą i ile chcą

:filefind - Unable to find folder.

services.exe - Unable to find folder.

:reg - Unable to find folder.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects - Unable to find folder.

-= EOF =-

Co najmniej to dziwne

powtórz szukanie na warunkach

:Filefind
services.exe

1. Użyj AdwCleaner (zastosuj Usuń). Log z tego podaj.

2. Podaj nowy log z OTL.

3. Do SystemLook x64 wklej:

:regfind

*delta*

:filefind

*delta*.*

Daj look i podaj raport.

Jak mówiłem wcześniej pozbadź sie tuneup dlaczego już wyjaśniam

tuneup poprostu rypie soft aplikacje sie nie uruchamiają lub nie chcą instalować np:

http://peb.pl/logi-do-sprawdzenia/1323532-problem-przy-instalacji-chrome-103-i.html

http://peb.pl/logi-do-sprawdzenia/1324491-system-windows-nie-mo-e-odnale.html#post6028902

Wyłącz i włącz przywracanie systemu na wszystkich dyskach

jeżeli masz na tej płycie któryś z tych softów:

Acronis Disk Director, Paragon Partition Manager

to nimi ustawiasz partycje aktywną

w trybie awaryjnym spróbuj

Widzę że pliki zeroaccess nawet nie drgnięte w logu, pewnie avast się obudził

Przed wykonaniem instrukcji wyłącz osłony avasta by nie przeszkadzał OTL-owi

1. Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej:

:Processes

killallprocesses

:Services

BrowserProtect

:OTL

IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=0c0d7d5f-e469-11e1-9b6a-bc77374b3ef7&q={searchTerms}

IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=58AEBC77374B3EF7

IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{EFC79317-2F57-434B-BE76-07A9A70F3655}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN41679119615018116&UM=2

IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.16.16\bh\delta.dll (Delta-search.com)

O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.16.16\deltaTlbr.dll (Delta-search.com)

O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Hania\AppData\Roaming\System32\csrss.exe File not found

O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [rpcsrv] C:\Users\Hania\AppData\Local\Temp\rpcsrv\rpcserv.exe ()

O20 - AppInit_DLLs: (c:\progra~3\browse~1\261125~1.80\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()

:files

C:\ProgramData\BrowserProtect

C:\Users\Hania\AppData\Roaming\BabSolution

C:\Users\Hania\AppData\Roaming\Delta

C:\Users\Hania\AppData\Roaming\Babylon

C:\ProgramData\Babylon

C:\Users\Hania\AppData\Roaming\svchost.exe

C:\Users\Hania\AppData\Roaming\csrss.exe

C:\Users\Hania\AppData\Roaming\rundll32.exe

C:\Users\Hania\AppData\Roaming\System32

C:\Windows\Installer\{88903225-a69e-6a66-7024-270f5f196fd9}

C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

:reg

[HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

:Commands

[emptytemp]

Kliknij Wykonaj skrypt.

2. Szkodliwy program ExpressFiles do deinstalacji

3. I nowy log z OTL.

płyty typu hirens boot cd ?

Partycja z windows jest ustawiona jako aktywna ?

Jest zeroaccess i tu nie ma co czekać

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

sfc /scanfile=C:\Windows\system32\services.exe

Enter

zresetuj system po ukończeniu pzetwarzania

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

netsh winsock reset

Enter

Zresetuj system w celu ukończenia resetu Winsock.

3. Uruchom OTL i w okno własne opcje skanowania/skrypt

Wklej:

:OTL

O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Client Server Runtime Process] C:\Users\Hania\AppData\Roaming\System32\csrss.exe (W?a+q%)

O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Hania\AppData\Roaming\csrss.exe (W?a+q%)

O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [rpcsrv] C:\Users\Hania\AppData\Local\Temp\rpcsrv\rpcserv.exe ()

O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [service Host Process for Windows] C:\Users\Hania\AppData\Roaming\System32\svchost.exe (W?a+q%)

:Files

C:\Users\Hania\AppData\Roaming\csrss.exe

C:\Users\Hania\AppData\Roaming\System32\svchost.exe

C:\Windows\SysWow64\%APPDATA%

C:\Users\Hania\AppData\Roaming\rundll32.exe

C:\Users\Hania\AppData\Roaming\System32

C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

C:\Windows\Installer\{88903225-a69e-6a66-7024-270f5f196fd9}

:Commands

[emptytemp]

Kliknij Wykonaj skrypt.

4. Podaj nowe logi z OTL + Farbar Service Scanner.

Ja bym wybrał płytkę kasperskego bądź bitdefendera bo mają najlepszą wykrywalność (sygnatury) choć f-secure też dobry av

jak będziesz skanował z płytki podłącz i pendrivy bo w logu widać wpisy automount z odwołaniami do folderu recycler na pendrivach=szkodnik

Rozejrzałem się w sieci i wynika że to wersja szyfrująca welsofa

http://www.pchelpforum.com/xf/threads/encrypted-files-after-ukash-met-police-infection.145714/

Raczej nie ma szans na odzysk.

Jeżeli posiadasz jeszcze pliki tej infekcji bardzo prosilbym o spakowanie do archiwum zabezpieczonego hasłem shostowanie go na speedy.sh i udostępnienie na pw linka i hasła do paczki

Koncówka w OTL-u

:OTL
IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
IE - HKLM\..\SearchScopes\{ffab9ec5-7889-45c9-b6fa-5d19ccfea2d2}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=YUxdm009YYpl&ptb=6A72A495-8A4B-4D5B-B9C7-95328D8BB1FA&ind=2011121415&ptnrS=YUxdm009YYpl&si=translateye&n=77df4707&psa=&st=sb&searchfor={searchTerms}
 
:Commands
[emptytemp]

Po restarcie uruchom OTL i kliknij sprzątanie

Uruchom chrome

w pasek adresu wklej:

chrome://plugins/

wyłacz następujące wtyczki:

1. Uruchom OTL i w okno własne opcje skanowania/skrypt wklej:

:Services

Web Assistant Updater

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)

DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\vmci.sys -- (vmci)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/mb139?a=6R8A2Au8vc&i=26

IE - HKCU\..\SearchScopes\{A1656AC1-F2DD-4758-B9F8-D65DA042F04F}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYUFPL&apn_uid=14b59a58-1f35-4768-a38e-fd20b84f039c&apn_sauid=229930EF-DFA0-441B-B709-91F1751D93C6

IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb203?a=6Oz8Tmts8S&search={searchTerms}&i=26

FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""

FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""

O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC)

O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

:Files

C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\s8gn98k5.default-1360901647015\extensions\jj-3ux@ouoyyaoozdjq.net

C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\s8gn98k5.default-1360901647015\searchplugins\MyStart Search.xml

C:\Program Files\BrowseToSave

C:\Documents and Settings\All Users\Dane aplikacji\BrouwsEe2save

:Commmands

[emptytemp]

Kliknij wykonaj skrypt. 

2. Użyj AdwCleaner. Opcja Usuń(podaj z tego log).

3. Wyskanuj system skanerem Malwarebytes anti-malware

4. Podaj nowy log z OTL

E:\Syfrator\dirmngr.exe

twoje ?

Ja na swoim 7770 na sterach 12.6 nie zauważyłem tego, zainstaluj 12.6 i sprawdź

po deinstalacji reset PC i nowy log z OTL