marasol Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Witam, próbowałem sobie z tym poradzić ale zbyt słaby jestem. poniżej logi z OTL. Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Proszę wrócić do konfiguracji OTL: KLIK. Logi zrobione na złych ustawieniach, ustawione wszędzie Wszystko, a ma być Użyj filtrowania. Proszę zrobić nowe logi, podmienić załączniki w pierwszym poście i na PW zawiadomić o edycji. Odnośnik do komentarza
marasol Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Teraz powinno byc poprawnie. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Prosiłam o edycję pierwszego posta i wstawienie tam logów, po to było PW. Tu jest więcej śladów infekcji, usługi odpadkowe wykazujące zaprzeszłą obecność rootkita oraz ślady podpinania zainfekowanych USB. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [ROC_roc_dec12] "C:\Program Files\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12 File not found O4 - HKU\S-1-5-21-1614895754-813497703-725345543-500..\Run: [ChomikBox] C:\Program Files\ChomikBox\ChomikBox.exe File not found O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\AccuWeather.lnk = File not found FF - prefs.js..extensions.enabledItems: freerip@mybrowserbar.com:4.5 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.4 FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "AVG Secure Search" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&mntrId=7c51a08d000000000000101111111111&tlver=1.4.19.19&affID=17160" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=7c51a08d000000000000101111111111&tlver=1.4.19.19&instlRef=sst&affID=17160&q=" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=386496&p=" SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\lieog.dll -- (ryrgxtg) NetSvcs: ryrgxtg - File not found SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\02.tmp -- (fbvdt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\02.tmp -- (eljwwdzf) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\02.tmp -- (chejlfxls) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\sXe Injected\ddsxei.sys -- (ddsxeiservice) DRV - File not found [Kernel | On_Demand | Stopped] -- d:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009\WNt500x86\Sandra.sys -- (SANDRA) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RTL2832UUSB.sys -- (RTL2832UUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTL2832UBDA.sys -- (RTL2832UBDA) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL2832U_IRHID.sys -- (RTL2832U_IRHID) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) :Files C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\5yxumrvb.default\searchplugins\winamp-search.xml C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\5yxumrvb.default\searchplugins\conduit.xml C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\5yxumrvb.default\searchplugins\daemon-search.xml C:\Documents and Settings\Administrator\Dane aplikacji\Hyec C:\Documents and Settings\Administrator\Dane aplikacji\Lyem C:\Documents and Settings\Administrator\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\MFAData netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Otwórz Firefox i w Dodatkach odinstaluj adware Babylon + DAEMON Tools Toolbar. Otwórz Google Chrome i ustaw jakąś stronę startową, bo aktualnie pusta. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER (należy usunąć sterownik SPTD przed akcją). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
marasol Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 nie mogę wstawić tego pliku OTL po wykonaniu skryptu (Nie masz uprawnień do wysyłania tego typu plików) ale zamieszczam adware i log otl po wykonaniu wszystkich operacji podanych w poście. no i dzięki za pomoc, w tej chwili wsyzstko działa mniej więcej jak powinno. AdwCleanerS7.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Ten AdwCleaner to widzę, że był stosowany wieeeele razy. nie mogę wstawić tego pliku OTL po wykonaniu skryptu (Nie masz uprawnień do wysyłania tego typu plików) W zasadach działu (i Pomocy forum = link na spodzie) jest objaśnione, że załączniki akceptują tylko rozszerzenie *.TXT, a to *.LOG. Niemniej tego raportu już nie muszę oglądać. Skan w OTL udawadnia wykonanie zadania. Ale nie podałeś mi loga z GMER. Próbowałeś go uruchamiać, co się dzieje? A co do OTL, to jeszcze mini poprawka, po niej zadam już zamknięcia tematu. 1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.3 FF - HKCU\Software\MozillaPlugins\@facebook.com/FBPlugin,version=1.0.3: C:\Documents and Settings\Administrator\Dane aplikacji\Facebook\npfbplugin_1_0_3.dll File not found [2011-01-10 14:29:48 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\5yxumrvb.default\extensions\DTToolbar@toolbarnet.com [2011-06-26 12:56:54 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\5yxumrvb.default\extensions\ffxtlbr@babylon.com [2012-01-25 22:05:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\MFAData [2008-06-25 02:52:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Hyec [2010-08-17 16:23:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Lyem [2012-01-25 22:38:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\AVG Klik w Wykonaj skrypt. Tym razem bez restartu. Wystarczy do oceny tylko log z usuwania. 2. Przez SHIFT + DEL pokasuj w poniższych katalogach foldery od odinstalowanych już aplikacji: C:\Documents and Settings\All Users\Dane aplikacji C:\Documents and Settings\Administrator\Dane aplikacji . Odnośnik do komentarza
marasol Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 wykonałem co kazałaś.tutaj pliki z gamer przed i po poprawce. (chyba o to chodziło) gmeru.txt gmeru ostatni.txt 07172012_111641u.txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 W GMER nic podejrzanego. Skrypt do OTL wykonany. Przejdź do zamknięć tematu: 1. Jakoś nie zauważyłam na Twojej liście zainstalowanych FoxTab PDF Converter. Nośnik adware, do deinstalacji. Przy okazji pozbądź się skanera MKS online (niewiarygodny, martwy, firma nie istnieje). 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj aktualizacje: KLIK. Z Twojej listy zainstalowanych: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 30"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3"Gadu-Gadu" = Gadu-Gadu 7.7"Gadu-Gadu 10" = Gadu-Gadu 10"Google Chrome" = Google Chrome Rozszczepione Gadu też punktuję, gdyż do obu poważne zastrzeżenia. GG7 to kiepskie bezpieczeństwo (brak szyfrowanego łączenia) i kiepska zgodność z własną siecią. GG10 to z kolei duża konsumpcja zasobów systemowych i ogłuszająca ilość reklam. Poczytaj o alternatywnych programach z obsługą sieci Gadu: Darmowe komunikatory. Chodzi o: WTW, AQQ, Kadu, Miranda. Reszta nie liczy się. . Odnośnik do komentarza
Rekomendowane odpowiedzi