-
Postów
283 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Conor29134
-
-
Podaj nowe logi z OTL bo widać było sporo więcej do usuwania niż uwzględniłem
-
1. Jeszcze jeden folder. Uruchom OTL i wklej:
:Files
C:\Windows\SysWow64\%APPDATA%
Kliknij Wykonaj Skrypt. Po wykonaniu skryptu w OTL kliknij Sprzątanie.
2. Po tym możesz spokojnie czekać na moderatorów i w międzyczasie zrobić pełny skan mbam-em
3. Odinstaluj:
"{26A24AE4-039D-4CA4-87B4-2F83216038FF}" = Java 6 Update 38
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.6)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"VLC media player" = VLC media player 1.1.11
i zainstaluj najnowsze wersje
-
Wykonaj jeszcze raz punkty 1 i 2 nie wiedźieć czemu edytor po edycji rozwalił szyk znacznika code i wszystko poszło do jednej lini przez co nic sie nie wykonało poprawiłem już ramkę i każde polecenie jest w oddzielnej lini
-
zrób na początek ten mój uruchom a potem kolejny pliczek robisz z tym co diox dał
-
Spróbujemy poprawić konfiguracje IE, a ja jestem noga w rejestrze win x64 do tej pory korzystam z systemów x86 no ale zobaczymy
1. Uruchom notatnik i wklej:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
"DownloadRetries"= 0x0000000000 (0)
"Version"= 0x0000000001 (1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
"DownloadRetries"= 0x0000000000 (0)
"Version"= 0x0000000001 (1)
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG
Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.
2. Zresetuj system i przeskanuj system skanerem Malwarebytes anti-malware a po skanowaniu podaj nowy log z OTL
-
1. Uruchom notatnik i wklej:
reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
pause
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT
Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator.
2. Uruchom notatnik i wklej:
TAKEOWN /F C:\$Recycle.Bin /R /A /D Ticacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-288856361-3740389046-1671134952-1000\$ff24043d55f85ce9a20a8337d9b4b888 /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
del /q C:\Windows\assembly\GAC_32\Desktop.ini
del /q C:\Windows\assembly\GAC_64\Desktop.ini
rd /s /q C:\Users\Dominik\AppData\Roaming\Uvvoga
rd /s /q C:\Users\Dominik\AppData\Roaming\Ywwad
rd /s /q C:\Users\Dominik\AppData\Roaming\Ziykv
rd /s /q C:\Users\Dominik\AppData\Roaming\3DFA
netsh winsock reset
pause
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT
Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator.
Reset PC robisz po wykonaniu sie polecen w cmd
3. Podaj nowe logi z OTL.
4. Użyj ESET ServicesRepair. Zrób reset i zrób nowy log z FSS.
-
[HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"ExpressFiles" = ExpressFiles
wspominałem że to jest szkodliwe i ma iść do deistalacji w trybie natychmiastowym
jeżeli nie ma tego na liscie zainstalowanych napisz to wywalimy ręcznie
Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej:
:Files
C:\Users\Hania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FAIQWQD1\DeltaChromeTB_1001[1].zpb
C:\Users\Hania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WHYAK9VQ\Setup-deltatb[1].zpb
C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\Delta.ico
C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\delta1.crx
C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\DeltaChromeTB_1001.zpb
C:\Users\Hania\AppData\Local\Temp\C95A3FC5-BAB0-7891-A26E-D16B65547C35\Setup-deltatb.zpb
C:\Users\Hania\AppData\Local\Temp\is1890775716\DeltaTB.exe
:Commands
[emptytemp]
Kliknij Wykonaj skrypt.
Potem naprawimy konfiguracje przeglądarki IE
-
Tak się zastanawiam: w regulaminie forum jest wyraźnie napisane, że prawo do udzielania porad mają wyłącznie picasso i Landuss, tymczasem w dziale pomocy doraźnej za pomaganie zabrali się diox i Conor. Czy to nowi kandydaci?
Poza tym, czy moderatorzy wzięli sobie wolne? Nie widzę, żeby reagowali na prośby o sprawdzenie logów. Nie, żebym chciał tu wywierać jakieś naciski, ale np. mój post wisi od 11 kwaietnia, czyli od 3 dni i odpowiedzi nie dostałem. Czy ktoś może mi wyjaśnić, co się dzieje?
Mam za duzy sajgon na paru innych forach żeby tu się udzielać(często) napewno nie kandydaci jest wiele innych osób którzy posiadają o wiele większą wiedze
wolne ? przecież to nie jest ich praca tylko dobrowolne zajęcie więc mogą pisać kiedy chcą i ile chcą
-
:filefind - Unable to find folder.
services.exe - Unable to find folder.
:reg - Unable to find folder.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects - Unable to find folder.
-= EOF =-
Co najmniej to dziwne
powtórz szukanie na warunkach
:Filefind services.exe
-
1. Użyj AdwCleaner (zastosuj Usuń). Log z tego podaj.
2. Podaj nowy log z OTL.
3. Do SystemLook x64 wklej:
:regfind
*delta*
:filefind
*delta*.*
Daj look i podaj raport.
-
Jak mówiłem wcześniej pozbadź sie tuneup dlaczego już wyjaśniam
tuneup poprostu rypie soft aplikacje sie nie uruchamiają lub nie chcą instalować np:
http://peb.pl/logi-do-sprawdzenia/1323532-problem-przy-instalacji-chrome-103-i.html
http://peb.pl/logi-do-sprawdzenia/1324491-system-windows-nie-mo-e-odnale.html#post6028902
-
Wyłącz i włącz przywracanie systemu na wszystkich dyskach
-
jeżeli masz na tej płycie któryś z tych softów:
Acronis Disk Director, Paragon Partition Manager
to nimi ustawiasz partycje aktywną
-
w trybie awaryjnym spróbuj
-
Widzę że pliki zeroaccess nawet nie drgnięte w logu, pewnie avast się obudził
Przed wykonaniem instrukcji wyłącz osłony avasta by nie przeszkadzał OTL-owi
1. Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej:
:Processes
killallprocesses
:Services
BrowserProtect
:OTL
IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=0c0d7d5f-e469-11e1-9b6a-bc77374b3ef7&q={searchTerms}
IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=58AEBC77374B3EF7
IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes\{EFC79317-2F57-434B-BE76-07A9A70F3655}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN41679119615018116&UM=2
IE - HKU\S-1-5-21-1560476508-621797135-1874154054-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.16.16\bh\delta.dll (Delta-search.com)
O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.16.16\deltaTlbr.dll (Delta-search.com)
O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Hania\AppData\Roaming\System32\csrss.exe File not found
O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [rpcsrv] C:\Users\Hania\AppData\Local\Temp\rpcsrv\rpcserv.exe ()
O20 - AppInit_DLLs: (c:\progra~3\browse~1\261125~1.80\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
:files
C:\ProgramData\BrowserProtect
C:\Users\Hania\AppData\Roaming\BabSolution
C:\Users\Hania\AppData\Roaming\Delta
C:\Users\Hania\AppData\Roaming\Babylon
C:\ProgramData\Babylon
C:\Users\Hania\AppData\Roaming\svchost.exe
C:\Users\Hania\AppData\Roaming\csrss.exe
C:\Users\Hania\AppData\Roaming\rundll32.exe
C:\Users\Hania\AppData\Roaming\System32
C:\Windows\Installer\{88903225-a69e-6a66-7024-270f5f196fd9}
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
:reg
[HKEY_USERS\S-1-5-21-1560476508-621797135-1874154054-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
:Commands
[emptytemp]
Kliknij Wykonaj skrypt.
2. Szkodliwy program ExpressFiles do deinstalacji
3. I nowy log z OTL.
-
płyty typu hirens boot cd ?
-
Partycja z windows jest ustawiona jako aktywna ?
-
Jest zeroaccess i tu nie ma co czekać
1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
sfc /scanfile=C:\Windows\system32\services.exe
Enter
zresetuj system po ukończeniu pzetwarzania
2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
netsh winsock reset
Enter
Zresetuj system w celu ukończenia resetu Winsock.
3. Uruchom OTL i w okno własne opcje skanowania/skrypt
Wklej:
:OTL
O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Client Server Runtime Process] C:\Users\Hania\AppData\Roaming\System32\csrss.exe (W?a+q%)
O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Hania\AppData\Roaming\csrss.exe (W?a+q%)
O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [rpcsrv] C:\Users\Hania\AppData\Local\Temp\rpcsrv\rpcserv.exe ()
O4 - HKU\S-1-5-21-1560476508-621797135-1874154054-1000..\Run: [service Host Process for Windows] C:\Users\Hania\AppData\Roaming\System32\svchost.exe (W?a+q%)
:Files
C:\Users\Hania\AppData\Roaming\csrss.exe
C:\Users\Hania\AppData\Roaming\System32\svchost.exe
C:\Windows\SysWow64\%APPDATA%
C:\Users\Hania\AppData\Roaming\rundll32.exe
C:\Users\Hania\AppData\Roaming\System32
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Windows\Installer\{88903225-a69e-6a66-7024-270f5f196fd9}
:Commands
[emptytemp]
Kliknij Wykonaj skrypt.
4. Podaj nowe logi z OTL + Farbar Service Scanner.
-
Ja bym wybrał płytkę kasperskego bądź bitdefendera bo mają najlepszą wykrywalność (sygnatury) choć f-secure też dobry av
jak będziesz skanował z płytki podłącz i pendrivy bo w logu widać wpisy automount z odwołaniami do folderu recycler na pendrivach=szkodnik
-
Rozejrzałem się w sieci i wynika że to wersja szyfrująca welsofa
http://www.pchelpforum.com/xf/threads/encrypted-files-after-ukash-met-police-infection.145714/
Raczej nie ma szans na odzysk.
Jeżeli posiadasz jeszcze pliki tej infekcji bardzo prosilbym o spakowanie do archiwum zabezpieczonego hasłem shostowanie go na speedy.sh i udostępnienie na pw linka i hasła do paczki
-
Koncówka w OTL-u
1.Uruchom OTL i w okno własne opcje skanowania/skryptWklej::OTL IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms} IE - HKLM\..\SearchScopes\{ffab9ec5-7889-45c9-b6fa-5d19ccfea2d2}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=YUxdm009YYpl&ptb=6A72A495-8A4B-4D5B-B9C7-95328D8BB1FA&ind=2011121415&ptnrS=YUxdm009YYpl&si=translateye&n=77df4707&psa=&st=sb&searchfor={searchTerms} :Commands [emptytemp]
Kliknij wykonaj skryptPo restarcie uruchom OTL i kliknij sprzątanie
Uruchom chrome
w pasek adresu wklej:
chrome://plugins/
wyłacz następujące wtyczki:
CieoNet Utilities Installer Plugin StubMindSpark Toolbar Platform Plugin Stub2.Wyskanuj system skanerem Malwarebytes anti-malware -
1. Uruchom OTL i w okno własne opcje skanowania/skrypt wklej:
:Services
Web Assistant Updater
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\vmci.sys -- (vmci)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/mb139?a=6R8A2Au8vc&i=26
IE - HKCU\..\SearchScopes\{A1656AC1-F2DD-4758-B9F8-D65DA042F04F}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYUFPL&apn_uid=14b59a58-1f35-4768-a38e-fd20b84f039c&apn_sauid=229930EF-DFA0-441B-B709-91F1751D93C6
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb203?a=6Oz8Tmts8S&search={searchTerms}&i=26
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC)
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
:Files
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\s8gn98k5.default-1360901647015\extensions\jj-3ux@ouoyyaoozdjq.net
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\s8gn98k5.default-1360901647015\searchplugins\MyStart Search.xml
C:\Program Files\BrowseToSave
C:\Documents and Settings\All Users\Dane aplikacji\BrouwsEe2save
:Commmands
[emptytemp]
Kliknij wykonaj skrypt.
2. Użyj AdwCleaner. Opcja Usuń(podaj z tego log).
3. Wyskanuj system skanerem Malwarebytes anti-malware
4. Podaj nowy log z OTL
E:\Syfrator\dirmngr.exe
twoje ?
-
Ja na swoim 7770 na sterach 12.6 nie zauważyłem tego, zainstaluj 12.6 i sprawdź
-
Odinstaluj:Web Assistant 2.0.0.572BrowseToSaveTuneUp Utilities 2011Yontoo 1.10.03Pando Media BoosterTuneUp Utilities Language Pack (pl-PL)IB Updater Service
po deinstalacji reset PC i nowy log z OTL
Diagnostyka logów Combofix
w Dział pomocy doraźnej
Opublikowano
Primo combofix nie służy do tworzenia logów. 2.
Lipa wirus infekujący sality grasuje ci w PC
zapoznaj sie z tym:
https://www.fixitpc.pl/topic/593-wirusy-polimorficzne-rodzaje-objawy-usuwanie/
i pobierz szczepionkę od kasperskego i skanuj tyle razy aż wynik będzie równy 0