foczasty Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Witam, Niestety, mnie też uziemił ten jak widzę coraz popularniejszy problem. Uprzejmię proszę o pomoc, za co z góry dziękuję. Pozdrawiam p.s. kłopot z operą, nie można dodać linków, chrome działa ;-) OTL.Txt Extras.Txt Odnośnik do komentarza
foczasty Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Witam, Dziś zainfekowało mi kompa ustroństwem z tematu, lekarstwem jest program ComboFix który uruchamiamy w trybie awaryjnych, zaś dalej postępujcie zgodnie z komunikatami. To tyle, u mnie działa. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 foczasty proszę przeczytać: KLIK + KLIK. Twoja porada jest: szkodliwa + nie działa w 90% przypadków na forum (jest wiele wariantów) i to co musimy robić po takich "poradach" to usuwanie śladów zastosowania ComboFix (bo polecić uruchomienie był ktoś zdolny, ale już prawidłowo usunąć narzędzie z systemu nie), pouczamy / przestrzegamy i tak ręcznie musimy usuwać infekcję. . Odnośnik do komentarza
foczasty Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 pardzo przepraszam za wprowadzenie w błąd i dziękuję za poprawienie czyli komputer mi działa, ale dalej mam z nim coś nie tak... Odnośnik do komentarza
picasso Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Te dwa tematy sklejam. Skoro użyłeś już tego nieszczęsnego ComboFix, to należy teraz podać log który utworzyło narzędzie C:\ComboFix.txt (nie uruchamiaj go ponownie). Odnośnik do komentarza
foczasty Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Picasso, dziękuję za wyrozumiałość, zatem ponawiam wołanie o pomoc serdecznie dziękuję ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 ComboFix prawdzie usuwał składniki obu infekcji, ale niekompletnie, zostały dwa foldery infekcji UKASH na dysku. Trzeba po nim poprawić. Poza tym, w systemie widoczny ślad starej infekcji cpuvis (w postaci odpadkowego sterownika), a infekcja ta przekierowuje folder Autostart na własny i nie jest pewnym czy tu sprawa jest na pewno skorygowana. I mamy do czyszczenia także adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files c:\users\Foka\AppData\Local\Microsoft\Windows\2616 c:\users\Foka\AppData\Roaming\hellomoto C:\Users\Foka\AppData\Roaming\mozilla\Firefox\Profiles\vk6ezd5x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112560&tt=100512_3_&babsrc=SP_ss&mntrId=8e74404d000000000000b24ce55b856d" O4 - HKLM..\Run: [] File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\My applications\cpuvis.sys -- (cpuvis) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\archlp.sys -- (archlp) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Odinstaluj BabylonObjectInstaller. Otwórz Google Chrome, wejdź do opcji i w zarządzaniu wyszukiwarkami przestaw domyślną z bieżącego Search the web (Babylon) na np. Google, po tym skasuj Search the web (Babylon) z listy. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. W systemie są odpadkowe sterowniki po McAfee. Zastosuj narzędzie McAfee Consumer Products Removal tool. 5. Zrób nowy log OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj (a nie Wykonaj skrypt!). HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
foczasty Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 postępowałem zgodnie z wytycznymi, poniżej w kolejności logi mam pytanie: jak oceniasz programy "czyszcząco - sprzątajace" system i czy możesz jakiś polecic? bardzo dziękuję za pomoc - wielki szacunek dla Ciebie ;-) p.s. "nie masz uprawnień do wysłanie tego typu pliku" loga wkleję All processes killed ========== FILES ========== c:\users\Foka\AppData\Local\Microsoft\Windows\2616 folder moved successfully. c:\users\Foka\AppData\Roaming\hellomoto folder moved successfully. C:\Users\Foka\AppData\Roaming\mozilla\Firefox\Profiles\vk6ezd5x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\searchplugin folder moved successfully. C:\Users\Foka\AppData\Roaming\mozilla\Firefox\Profiles\vk6ezd5x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\modules folder moved successfully. C:\Users\Foka\AppData\Roaming\mozilla\Firefox\Profiles\vk6ezd5x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\META-INF folder moved successfully. C:\Users\Foka\AppData\Roaming\mozilla\Firefox\Profiles\vk6ezd5x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\defaults folder moved successfully. C:\Users\Foka\AppData\Roaming\mozilla\Firefox\Profiles\vk6ezd5x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components folder moved successfully. C:\Users\Foka\AppData\Roaming\mozilla\Firefox\Profiles\vk6ezd5x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\chrome folder moved successfully. C:\Users\Foka\AppData\Roaming\mozilla\Firefox\Profiles\vk6ezd5x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} folder moved successfully. C:\Program Files\mozilla firefox\searchplugins\babylon.xml moved successfully. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! ========== OTL ========== Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1 Prefs.js: "Search the web (Babylon)" removed from browser.search.selectedEngine Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ not found. Service cpuvis stopped successfully! Service cpuvis deleted successfully! File C:\Program Files\My applications\cpuvis.sys not found. Service archlp stopped successfully! Service archlp deleted successfully! File system32\drivers\archlp.sys not found. Service hwusbfake stopped successfully! Service hwusbfake deleted successfully! File system32\DRIVERS\ewusbfake.sys not found. Service dgderdrv stopped successfully! Service dgderdrv deleted successfully! File System32\drivers\dgderdrv.sys not found. Service cpuz135 stopped successfully! Service cpuz135 deleted successfully! File C:\windows\TEMP\cpuz135\cpuz135_x32.sys not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 56466 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Foka ->Temp folder emptied: 7865576 bytes ->Temporary Internet Files folder emptied: 23768783 bytes ->Java cache emptied: 33148368 bytes ->FireFox cache emptied: 148734266 bytes ->Google Chrome cache emptied: 238849967 bytes ->Opera cache emptied: 25182179 bytes ->Flash cache emptied: 389742 bytes User: Public ->Temp folder emptied: 0 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 56466 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 200704 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 456.00 mb OTL by OldTimer - Version 3.2.55.0 log created on 07282012_160940 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Zestaw logów niekompletny. Mówiłam wyraźnie: 5. Zrób nowy log OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj (a nie Wykonaj skrypt!). HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders A co do: p.s. "nie masz uprawnień do wysłanie tego typu pliku" loga wkleję Zasady działu (chyba nie przeczytane) + Pomoc forum (link na spodzie) opisują, że załączniki przyjmują tylko rozszerzenie *.TXT, a to jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. . Odnośnik do komentarza
foczasty Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 zaległy plik proszę i serdecznie dziękuję OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Tak jak przypuszczałam, infekcja cpuvis wcale nie została wcześniej usunięta prawidłowo, w rejestrze nadal oba foldery Autostart przekierowane na folder infekcji: ========== Custom Scans ========== "Startup" = C:\Program Files\My applications -- [2011/02/10 21:44:56 | 000,000,000 | R--D | M] "Startup" = C:\Program Files\My applications -- [2011/02/10 21:44:56 | 000,000,000 | R--D | M] 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Startup"="C:\Users\Foka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Startup"=hex(2):"%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" :Commands [reboot] Klik w Wykonaj skrypt. System będzie restartował. 2. Po restarcie upewnij się, że na dysku nie ma folderu C:\Program Files\My applications. 3. Zrób nowy log z OTL, ale ograniczony tylko do partii, która mnie interesuje, tzn. wszystkie opcje ustaw na Brak +Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Klik w Skanuj. . Odnośnik do komentarza
foczasty Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 folder C:\Program Files\My applications został usunięty dziękuję p.s. a w kwesti programu czyszczącego? to ma sens? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Lipca 2012 Zgłoś Udostępnij Opublikowano 29 Lipca 2012 Zrobione co należy. Przejdź do wykończeń: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio ComboFix uruchamiany z dysku H. Pobierz ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Foka\Desktop\ComboFix.exe /uninstall Gdy komenda ukończy, w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych czym należy się zająć: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"HOMESTUDENTR" = Microsoft Office Home and Student 2007 ----> brak pakietu SP3"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl) mam pytanie: jak oceniasz programy "czyszcząco - sprzątajace" system i czy możesz jakiś polecic? Zmierzasz do programów które "jednym klikiem" robią konserwacje automatyczne, czyszczą rejestr i pliki? Nie jest zwolennikiem aplikacji, które automatycznie robią operacje zbiorowe, użytkownik nie ma nad tym kontroli, nie potwierdza co się dzieje (lub nie umie tego sprawdzić), a potem mogą się pojawić skutki uboczne, które trudno zdiagnozować. Nie jestem również zwolennikiem czyszczenia rejestru na ślepo, bez zastanowienia. Algorytmy czyszczące nie są perfekcyjne, można sobie naważyć piwa. To co z kolei polecam, to taktowne optymalizacje, czyli: 1. Redukcja obiektów startowych. I tu przykładowo pierwsze z brzegu optymalizacje pokazowe u Ciebie. Za pomocą programu Autoruns w karcie Logon możesz odptaszkować te zbędniki: O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not foundO4 - HKLM..\Run: [CLMLServer] C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe (CyberLink Corp.)O4 - HKLM..\Run: [RemoteControl8] C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.)O4 - HKLM..\Run: [switchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)O4 - HKLM..\Run: [updateLBPShortCut] C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKLM..\Run: [updateP2GoShortCut] C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKLM..\Run: [updatePDRShortCut] C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKLM..\Run: [updatePPShortCut] C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKLM..\Run: [updatePSTShortCut] C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKCU..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe ()O4 - HKCU..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe ()O4 - HKCU..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.) A w karcie Services zdeaktywować różne usługi "aktualizacyjne" programów. 2. Defragmentacja dysku, w tym Boot Time (do scalania plików nieprzesuwalnych spod Windows). Tu darmowe propozycje: PerfectDisk Free Defrag, Puran Defrag Free Edition. Przed akcją usunięcie podstawowych śmieci, czyli czyszczenie plików tymczasowych, a program nagminnie tu stosowany to TFC - Temp Cleaner 3. Przy okazji ... Unikanie aplikacji pazernych na zasoby, takich jak Gadu-Gadu 10 . Program zasobożerny, dręczy też reklamami. Są programy alternatywne z obsługą sieci Gadu, które nie męczą tak komputera: WTW, Miranda, Kadu, AQQ (ten ma jednak reklamy i wyższe spożycie niż poprzednicy ze względu na fikuśny system skinowania). Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi