domiskra

Wedle zasad działu pomocy w tym miejscu mogą udzielać tylko Moderatorzy (chyba że coś się zmieniło w ciągu ostatnich paru dni).

Zrobione. Aha, jeszcze pytanie - była mowa tu kiedyś, żeby w okresie Twojego czyszczenia/pomocy nie instalować samemu różnych rzeczy itd. Muszę zainstalować dziś aktualny adobe reader (potrzebuję go do pracy), mam nadzieję, że robiąc to ze strony producenta i odznaczając dodatki (McAfee Security itp.), komputer nie złapie czegoś nowego i nie popsuje Ci roboty. AdwCleanerR0.txt

nowy log z FRST, tym razem chyba ok. Z tego, co tam mogłem dojrzeć, to instalator dobrych programów powinienem odinstalować. Co poza tym, to zamieniam się w słuch FRST.txt

Zrobione. Zarówno w IE, jak i w Firefoxie nie wyskakuje już istartsurf, przeglądarki działają z wyglądu normalnie. Mam tylko wątpliwości, czy wpisałem dobrze tą modyfikację ścieżki do wadliwego skrótu IE - u mnie jest po cudzysłowiu, czyli tak: <<"...\iexplore.exe" -extoff>>. No i raport z FRST jest zaskakująco krótki Co do pobierania z portali; w czasie Twojej nieobecności poczytałem sobie forum i właśnie natrafiłem też na polecany temat; szkoda, że nie czytałem go wcześniej Fixlog.txt FRST.txt

Czołem Wszystkim! Wczoraj przy okazji korzystania z asystenta pobierania ze strony dobreprogramy.pl (pobierałem Vista Codec Shark), zainstalowały się przynajmniej 2 niechciane rzeczy - Istartsurf i Search Protect. O tym drugim słyszałem, że jest szczególnie niebezpieczny, bowiem śledzi historię przeglądania, w tym hasła itd. Działania, które podjąłem: 1) ręczna zmiana strony głównej w Mozilli i IE 2) kliknięcie "unistall" w katalogu, gdzie umieścił się szkodnik (C:\Program Files\ ... i tutaj był folder na "X" zaczynający się; był, bo dziś już go nie ma...) - skutkiem było zniknięcie ikonki Search Protect z paska zadań. Generalnie po kliknięciu pliku "unistall" skasowała się cała zawartość folderu oprócz jednego pliku Sub....dll, którego nie dało się ruszyć z uwagi na "brak uprawnień". Dziś już nie ma tego katalogu w ogóle, nie wiem, czy on się przemieszcza za każdym uruchomieniem komputera, czy co. 3) dwukrotna próba przywrócenia systemu - nieudana (błąd x..... jakiś tam). Załączam potrzebne logi (przy uruchomieniu GMER - za pierwszym razem przy pełnym skanowaniu program zakończył pracę z uwagi na błąd.... (tutaj długi numer). Za drugim razem poszło ok. Po raz kolejny zgłaszam się do Was z prośbą o pomoc, pozdrawiam, Dominik Addition.txt FRST.txt Shortcut.txt Gmer.txt

Witam, chcę przywrócić czysty windows z momentu kupna laptopa + formatowanie całkowite dysku. Jest oczywiście mnóstwo tutoriali w sieci, ale jako, że Waszą stronę darzę największym zaufaniem co do profesjonalizmu, tu uzyskałem kilkukrotnie pomoc, tutaj właśnie chciałem się spytać - 1. jeśli chcę wymazać dane z dysku najbardziej trwale, jak mogę zrobić, to lepiej wybrać opcję całkowitej reinstalacji windowsa a nie tylko jego nadpisania? 2. czy przy reinstalacji z utworzonych fabrycznym oprogramowaniem płyt dvd recovery nie będzie problemu z kluczem/orginalnością windows? (orginalny oczywiście, dołączony do lapka) 3. jaką wybrać metodę najtrwalszego usunięcia danych z dysku i w jakiej kolejności podejmować działania (wypalenie płytek recovery, backup ważnych plików na inne nośniki, format - pewnie z użyciem dodatkowych programów i reinstalacja) ? Może któreś z pytań wyda się banalne, ale nie chcę przez kierowanie się informacjami z niepewnych źródeł czegoś przeoczyć, chciałbym wszystko dopiąć na ostatni guzik, szczególnie zależy mi na jak najtrwalszym skasowaniu plików. Pozdrawiam i proszę o wskazówki

faktycznie, jestem ślepy ale tej wersji, którą podałaś, nie chce zainstalować, wyskakuje komunikat: "ta aktualizacja została już zainstalowana, lub jest częścią aktualizacji, która już została zaistalowana" , co zrobić z tym fantem?

ok, szkoda nie wcześniej nie słyszałem o "piaskownicy"... dobrze rozumiesz to jeszcze tylko się spytam dla upewnienia - to jest ten pełny instalator, o którym wspomniałaś? "OfficeXpSp3-kb832671-fullfile-plk.exe" - z: http://www.microsoft.com/pl-pl/download/details.aspx?id=23334

ok, to wszystko poaktualizuję, gg też się wreszcie zajmę (brak organizacji czasu przy dwóch kierunkach studió - aż mi wstyd ) odmienny od czego? od konwencjonalnego antywirusa? czy zapory windows? bo niestety innych nie posiadam na chwilę obecną :/ office nie mogę zaktualizować z wiadomych "względów"... chciałbym przy tym zaznaczyć że to jedyna "sama-wiesz-dlaczego" nie mogąca z tego tytułu podlegać aktualizacji rzecz, który mam na kompie oczywiście zastosuję też sandboxie

resztka po infekcji usunięta, kosmetyka w kwestii aktualizacji również zrobiona (aczkolwiek musiałem przez wiersz poleceń, ponieważ metoda pierwsza nie dawała rezultatu mimo ponawiania (nie tylko z jednego konta). To znaczy że już wszystko? czy coś jeszcze byś zaleciła?

OTL sprzątnięte, punkty przywracania usunięte, utrzorzyłem ręcznie nowy (może niepotrzebnie - bo malware skaner znalazł dwa trojany- Ransoma ANC i Agenta, załączam raport z tego skanowania. Dodatkowo niepokoi mnie jeden folder, który składa się z kilkudziesięciu chyba innych (nie można do nich wejść jest odmowa dostępu), a który ma dziwne nazwy numeryczne i nie daje się usunąć nawet z konta administratora - bezpośrednia ścieżka do folderu: D:/932d47c094e06ff72c675c9b , folder ten zawiera m.in takie pliki, jak setup.exe, Parameterinfo.xml, Splashscreen.bmp itp. MBAM-log-2013-01-12 (16-52-11).txt

ale chyba trudno tego uniknąć, bo przy włączaniu pewnego typu plików na każdym koncie włącza się kontrola konta użytkownika skutkująca koniecznością wpisania hasła (na koncie adm tylko przycisk "kontynuuj"). być może to się da zmienić w ustawieniach tej kontroli konta użytkownika, bądź ową kontrolę całkiem wyłączyć.. ale do meritum: objawy infekcji ustąpiły, wyjątkowo sporo miejsca na dysku C się zwolniło, wklejam raport bez extras, proszę o ew. dalsze wskazówki P.s. cieszę się, że cierpliwie na Ciebie poczekałem P.s.2.nie rozumiem jednej rzeczy: komunikat po użyciu skryptu mówił m.in. że usunięto pliki temp i cache z mozilli, a w mozilli nadal jest widoczna historia, podswietlone są linki - znaczy się, cookies nadal są? (myślałem że się usuwają łącznie z cache - za ew. gafę z góry przepraszam ) OTL.Txt

Witam ponownie (półtora miesiąca temu ukash --> dzięki Picasso pokonany ) tym razem inne świństwo, jak w temacie. infekcja po odwiedzeniu strony ( podaję nieaktywnego linka ): hxxp://downloads.ziddu.com/downloadfiles/20503589/Phoenix_Service_Software_2012.36.001.48629_Cracked.exe padł mi telefon i chciałem wymienić soft Phoenixem. infekcja na koncie "Rodzice", wszystkie logi z poziomu tego konta w trybie awaryjnym z obsługą sieci, proszę o pomoc, podziękuję najlepiej jak umiem I przepraszam, że zawracam głowę podczas Świąt Bożego Narodzenia a oto log z Security Check: Results of screen317's Security Check version 0.99.56 Windows Vista Service Pack 2 x86 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Java™ 6 Update 24 Java version out of Date! Adobe Flash Player 11.5.502.110 Adobe Reader 8 Adobe Reader out of Date! Mozilla Firefox 15.0.1 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` gmer.txt OTL.Txt Extras.Txt

dało radę. natomiast musiałem to zrobić będąc jednocześnie zalogowanym na administratorze i na koncie "Rodzice" (przełączanie kont, operacja wykonana z konta "Rodzice"), ponieważ będąc zalogowanym na samym zainfekowanym wcześniej koncie w dziale "winlogon" była tylko wartość "domyślne", nie było widać shella. Teraz shell skasowany. A propos czasu uruchamiania komputera - zmierzyłem na koncie Rodzice (zwykły użytkownik): od naciśnięcia przycisku do gotowości: 2 minuty 20 sekund ( w tym od naciśnięcia przycisku do momentu wyboru użytkownika: 30 sekund). Jakie dalsze wskazówki Picasso?

jest tam shell - typ: REG_SZ Dane: explorer.exe,C:\Users\Rodzice\AppData\Roaming\msconfig.dat oprócz shell, są tam: Domyślna BuildNumber ExcludeProfileDirs FirstLogon ParseAutoexec

Picasso, nie ma takiej pozycji w regedit - jest 1) HKEY_USERS\S-1-5-21-2651693254-233013980-3163538551-1000 albo 2) HKEY_USERS\S-1-5-21-2651693254-233013980-3163538551-1000_Classes W tej pierwszej wersji są dalssze foldery, ale nie ma pozycji shell w winlogon, natomiast w drugiej wersji nie ma folderu windows NT w folderze Microsoft. Start poprawił się po wyeliminowaniu jednego z antywirusów (risinga), ale to jeszcze nie jest to, co być powinno (w porównianiu do innych vist u znajomych).

do wcześniejszego: nie przełączałem kont, naprawdę, sam nie wiem czemu tam wszędzie było dominik. EDIT: mam pomysł z tym userem "dominik" może to dlatego, że przy włączaniu programu OTL wyskakiwała kontrola konta użytkownika, i trzeba było wpisać hasło administratora, czy to nie zadziałało więc na tej samej zasadzie, jak bym włączając OTL zrobił prawoklik i wybrał "uruchom jako administrator" ? Teraz też log zrobiłem z konta "Rodzice", a w tym pliku widnieje user "dominik logged as administrator" . przechodząc do meritum: Blokada zniknęła nie dało się scalić fix.reg z konta "Rodzice", ale z konta admina ("dominik") dało radę. teraz piszę już z odinfekowanego konta "Rodzice", załączam log z OTL z tego konta oczywiście no i przede wszystkim DZIĘKUJĘ BARDZO Ci Picasso za poświęcony czas, xie xie ! jesteś Wielka postaram się odwdzięczyć. mam w związku z tym pytanie, ale może wyślę je na pw, po zakończeniu akcji, chyba że to już koniec ale jakbyś miała wolny czas (wątpię czy go masz przez takich jak ja), to kiedyś zgłoszę się do Ciebie i poproszę o zerknięcie w system tak ogólnie właśnie pod kątem śmieci spowalniających komputer. OTL.Txt

to nie tak, Przepraszam, może trochę zamieszałem już mówię po kolei: mam trzy konta: Dominik -administrator, Rodzice - zwykły użytkownik( zainfekowane) i ów nieszczęsny Roch - zwykły użytkownik. od czasu infekcji korzystam TYLKO z tego ostatniego konta (rocha) - z niego cały czas piszę - z niego były dotychczasowe logi - na niego więc pewnie stworzyłaś skrypt - z tego samego konta skrypt uruchamiałem, a więc słucham się Ciebie wiernie Masz rację w zupełności - tryb awaryjny (zwykły, bez niczego) nie działa na zainfekowanym koncie "Rodzice" - nawiasem mówiąc próbowałem się dostać na tamto konto tylko poprzez zwykły tryb awaryjny, nie włączałem tego z obsługą sieci. Problem więc był następujący - nie umiałem się dostać na zainfekowane konto w żaden sposób - Ty podpowiedziałaś wiersz polecenia - i w rzeczy samej - jedynie ten tryb działa na zainfekowanym koncie. Ale przyznam się szczerze, iż bez podpowiedzi nie wiedziałbym, jak z wiersza polecenia skorzystać teraz to wydaje się rzeczywiście nie takie trudne, dzięki;) zrobiłem logi OTL i extra z poziomu zainfekowanego konta w trybie wiersz polecenia- te załączam w poście. Natomiast teraz oczywiście, logując się na to forum korzystam z konta "roch" od infekcji używam tylko tego konta. Działa również konto administratora - "dominik", z niego jednak nie korzystam, nie robiłem też na nim żadnych logów, nie uruchamiałem na nim skryptu. Biorąc pod uwagę ewentualny następny skrypt, rozumiem, że będę musiał zrobić analogicznie, tzn. wejść na zainfekowane konto w trybie awaryjnym z wierszem polecenia i uruchomić OTL, po czym wykonać skrypt. przed logami usunąłem rising, a adware'owych programów nie widzę ani w panelu sterowania-odinstaluj programy, ani w dodatkach w mozilli załączam logi zrobione z zainfekowanego konta Extras.Txt OTL.Txt

mam 3 konta - "dominik" - adm, "roch" - użytk, "rodzice" - użytkownik. log wygenerowałem z innego konta, niż to, na którym jest infekcja, ponieważ logując się na tamto zainfekowane ("Rodzice"), od razu jest biały ekran z komunikatem, widoczny jest tylko w tle podczas działania Menadżera (ctrl+alt+del) - innymi słowy nic się nie da zrobić na tamtym koncie. Zadania wykonane, ale się nie powiodło :/ Wystąpił problem podczas działania skryptu - komunikat "Program OLT przestał działać - zbieranie informacji...itd" po czym program OLT się wyłączył, wyłączył się również explorer (widoczny tylko pulpit i boczny pasek) - wszystkie operacje wykonywane na koncie "Roch" uruchomiłem ponownie komputer, zalogowałem się na zainfekowane konto - nadal biały ekran i komunikat, zalogowałem się na działające konto i powtórzyłem procedurę z OLT - ten sam komunikat + informacja " czy chcesz aby pliki: 1) C:\Users\Dominik\AppData\Local\Temp\WER5C13.tmp.version.txt 2) to samo... \WER709E.tmp.appcompet.txt 3) to samo.... \WER732.tmp.mdmp zostały wysłane do microsoft?" kliknąłem nie. Trzecia próba - włączyłem OLT w trybie awaryjnym na koncie "Roch" i wtedy dopiero OLT nie zawiesiło się. Komputer się zrestartował, ale konto "Rodzice" nadal jest zainfekowane - tzn. jest biały ekran, zaś eksplorer widoczny jest w tle, gdy się z tego konta wylogowuję używając ctrl+alt+del. konto zainfekowane nie działa również w trybie awaryjnym - nie wiem więc jak uruchomić OLT na tym koncie (może przez wiersz polecenia...? - ale niestety nie umiem tego zrobić). Gdy komputer podłączony jest do sieci, zamiast białego ekranu widać komunikat udający policję - z tym że u mnie nie jest tak, jak u większości Wydział Cyberprzestępczości czy jakoś tak - może to inna wersja weelsofa? Proszę o dalszą pomoc w miarę możliwości i dziękuję za tą już udzieloną Cały czas korzystam z konta "roch". Załączam nowy log z olt wykonany po wszystkim z konta "roch" i log z adwcleanera - procedura również na tym koncie. OTL.Txt AdwCleanerS1.txt

Witam, dopadł mnie problem już wielokrotnie poruszany - weelsoft. Akcje podejmowane przeze mnie: 1)próby wpisywania kodów wygenerowanych losowo - nieudane 2)próba ręcznego usunięcia poprzez tryb awaryjny z wierszem polecenia (sam tryb awaryjny nie działa) na koncie zainfekowanym + msconfig (instrukcja z komputerswiat.pl) - nie widać tych "dziwnych nazw" w zakładce uruchomione", które trzeba wyłączyć - tak jak widnieje w intrukcji na tamtej stronie komputer nie miał do czynienia z combofixem, nie ściągałem go pomny ostrzeżeń W chwili obecnej z komputera korzystam na innym koncie użytkownika. Proszę o pomoc - komputer potrzebny w pracy i na studiach nie wiem, czy to ma znaczenie, ale dodam: 1) komputer już przed złapaniem tego trojana mulił strasznie przy uruchamianiu - ok.2-3 minut od włączenia do gotowości; nie wiem czy to tylko wina dwóch antywirusów, czy czegoś innego; 2) ponadto wiatrak się włącza już przy ok. 50 stopniach (komp oczyszczony powietrzem) i chodzi prawie cały czas Załączam logi: OTL.Txt Extras.Txt