Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

ibsvc.exe ukash

HUGOLOT

Przez HUGOLOT
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Proszę się dostosować do zasad działu i dostarczyć obowiązkowe tu logi: KLIK. HijackThis to staroć i mierny skaner. Od dawna tym się nie posługujemy. Załącznik usuwam.

 

 

Chciałem postawić nowy XP al skończyło się niebieskim ekranem i błąd STOP: 0x0000007E (0xAAAAAAAA, 0xBBBBBBBB, 0xCCCCCCCC, 0xDDDDDDDD)

 

Przypuszczalnie dysk w trybie SATA i brak sterownik na CD XP. Płyty instalacyjne XP to archaizmy.

 

 

 

.

Odnośnik do komentarza
HUGOLOT

HUGOLOT

Opublikowano
  • Autor
Opublikowano

Zrobiłem logi

 

Results of screen317's Security Check version 0.99.57

Windows XP Service Pack 3 x86

Internet Explorer 6 Out of date!

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

Please wait while WMIC compiles updated MOF files.

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

JavaFX 2.1.1

Java 7 Update 5

Java version out of Date!

Adobe Flash Player 10 Flash Player out of Date!

Adobe Flash Player 10.3.183.50 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of Date!

Mozilla Firefox (3.5.3) Firefox out of Date!

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

 

EDIT: Tak masz rację, zrobiłem z administratora w trybie awaryjnym.

Podaje log z poprawnego kąta w trybie awaryjnym.

Nowy dokument tekstowy.txt

Extras.Txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

No tak, ale log z OTL zrobiłeś z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: HP-AAC677982B8F | User Name: Administrator | Logged in as Administrator.

 

To konto nie było nawet czynne przed operacją (świeżo zrzucony katalog na dysk). Konta mają inne rejestry i foldery. Logi muszą być zrobione z poziomu konta na którym ujawnia się problem. Przejdź w Tryb awaryjny, zaloguj się na właściwe konto i zrób świeże logi z OTL.

 

 

EDIT: Logi podmienione. Infekcji jest tu większa ilość.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1659004503-764733703-1801674531-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
IE - HKU\S-1-5-21-1659004503-764733703-1801674531-1003\..\URLSearchHook: {a8625cb7-85fe-4936-92a4-b2a7c925209e} - No CLSID value found
O3 - HKU\S-1-5-21-1659004503-764733703-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1659004503-764733703-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKU\S-1-5-21-1659004503-764733703-1801674531-1003..\Run: [Gupopu] C:\Documents and Settings\hp\Dane aplikacji\Gupopu.exe ()
O4 - HKU\S-1-5-21-1659004503-764733703-1801674531-1003..\Run: [Nupopb] C:\Documents and Settings\hp\Dane aplikacji\Nupopb.exe File not found
O4 - HKU\S-1-5-21-1659004503-764733703-1801674531-1003..\Run: [tbrena] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe ()
O4 - HKU\S-1-5-21-1659004503-764733703-1801674531-1003..\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()
O4 - HKU\S-1-5-21-1659004503-764733703-1801674531-1003..\RunOnce: [F86415CEBD4860130000F8631D7064D8] C:\Documents and Settings\All Users\Dane aplikacji\F86415CEBD4860130000F8631D7064D8\F86415CEBD4860130000F8631D7064D8.exe ()
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\261070~1.41\{c16c1~1\browse~1.dll) - c:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1070.41\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()
SRV - File not found [Auto | Stopped] -- C:\Program Files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe -- (NeroRegInCDSrv)
SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService\ibsvc.exe /SERVICE -- (IBUpdaterService)
SRV - [2013-01-04 18:01:47 | 002,554,472 | ---- | M] () [Disabled | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1070.41\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe -- (BrowserProtect)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Files
RECYCLER /alldrives
C:\WINDOWS\csdrive32.exe
C:\WINDOWS\yodrive32.exe
C:\WINDOWS\yadrive32.exe
C:\WINDOWS\System32\roboot.exe
C:\ProgramData
C:\Documents and Settings\hp\UserData
C:\Documents and Settings\hp\.swt
C:\Documents and Settings\hp\swt-win32-3740.dll
C:\Documents and Settings\hp\Dane aplikacji\nd.bin
C:\Documents and Settings\hp\Dane aplikacji\sqlite.jar
C:\Documents and Settings\hp\Dane aplikacji\java_u.jar
C:\Documents and Settings\hp\Dane aplikacji\Nupopb.scr
C:\Documents and Settings\hp\Dane aplikacji\PerformerSoft
C:\Documents and Settings\hp\Dane aplikacji\*.exe*
C:\Documents and Settings\hp\Dane aplikacji\*.exe*
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\All Users\Dane aplikacji\F86415CEBD4860130000F8631D7064D8
C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect
C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService
C:\Documents and Settings\hp\Menu Start\Programy\System Progressive Protection
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware Alawar Ask Toolbar Updater, Ask Toolbar, Babylon toolbar, BabylonObjectInstaller, GamingWonderland Toolbar, Smiley Bar for Facebook, Softonic toolbar on IE and Chrome oraz zbędny downloader Akamai NetSession Interface.

 

3. Firefox bardzo zabrudzony adware, ale czyszczenie nieopłacalne, bo to archaiczny dziurawy Firefox 3.5.3. Odinstaluj go, a przy deinstalacji na pytanie o usuwanie plików użytkownika odpowiedz twierdząco. Jeśli przed deinstalacją chcesz zachować z tego Liska zakładki + hasła (i nic więcej), to skorzystaj z narzędzia MozBackup.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\*.*


D:\*.*


E:\*.*


G:\*.*

 

Klik w Skanuj (a nie Wykonaj skrypt). Dołącz też log z usuwania OTL z punktu 1 oraz ten utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zostały poprawki:

 

1. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych wymaż search.babylon.com, ustaw opcję "Otwórz stronę nowej karty". W Rozszerzeniach odinstaluj Alawar Ask Toolbar, Babylon Translator, Settings Protector.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\hp\Dane aplikacji\Mozilla
C:\Documents and Settings\hp\Dane aplikacji\StatusWinks
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\All Users\Dane aplikacji\McAfee
C:\Program Files\gtUninstall GamingWonderland.dll
C:\WINDOWS\Tasks\Norton Security Scan for hp.job
E:\AUTORUN.INF
E:\setupSNK.exe
E:\eula.*.txt
E:\install.*
E:\vcredist.bmp
E:\VC_RED.cab
E:\VC_RED.MSI
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Zrób nowy log OTL z opcji Skanuj.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko zrobione, przejdź do:

 

1. W Google Chrome nadal widać adware Babylon. Otwórz Google Chrome i wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Search the web (Babylon). W sekcji "Po uruchomieniu" z listy stron startowych wymaż search.babylon.com, ustaw opcję "Otwórz stronę nowej karty". Wyczyść Historię.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Wyniki MBAM: wszystko do usunięcia, a po tym jeszcze przez SHIFT+DEL wykończ folder C:\Program Files\OpenApp. Aczkolwiek należy zaznaczyć, że wyniki PUM.Disabled.SecurityCenter to tylko adotacje o wyłączonych powiadomieniach Centrum zabezpieczeń.

 

2. Na koniec aktualizacje. Usuń stare wersje Adobe / Java / kodeki, zaktualizuj przeglądarki IE i Google Chrome oraz zainstaluj pakiet SP3 dla Office 2007: KLIK. Wg raportu obecnie w systemie są wersje:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"{B7B3E9B3-FB14-4927-894B-E9124509AF5A}" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"ENTERPRISE" = Microsoft Office Enterprise 2007
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 4.7.5
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1659004503-764733703-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 21.0.1180.89

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...