gr00by Opublikowano 9 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2013 Witam! Wpadl mi w rece komputer, ktory po odpaleniu w trybie normalnym i awaryjnym natychmiast sie wylogowywuje do planszy z nazwami userow. Uzytkowniczka zeznaje, ze byla infekcja Ukash. Jak zebrac logi z takiego PC? Odnośnik do komentarza
RA1 Opublikowano 9 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2013 Spróbuj zrobić logi z FRST. Odnośnik do komentarza
gr00by Opublikowano 9 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 9 Sierpnia 2013 Dziekuje za info - raport w zalaczniku, prosba o analize. OTL.txtPobieranie informacji ... Odnośnik do komentarza
RA1 Opublikowano 9 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2013 To nie jest log z FRST, tylko OTLPE. Musisz poczekać na picasso https://www.fixitpc.pl/topic/19096-a-picasso-na-wakacjach/?do=findComment&comment=126838 Odnośnik do komentarza
gr00by Opublikowano 10 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2013 Nie mam pojecia, czemu po kliknieciu w link od RA1 pojawila mi sie sekcja OTLPE - musialem przypadkiem na touchpad'zie pewnie przesunac... Nie wiem, czy moge zrobic skan FRST - zainfekowany OS to XP a widze w poscie, ze sprawa sie tyczy raczej Vista/7. Czy moge odpalic WinRe z plyty Win7 i wtedy ruszyc skan? Czy musze miec WinRe systemu XP? Odnośnik do komentarza
diox Opublikowano 10 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2013 Dokładnie, odpalasz WinRE z płyty Win 7, WinRE nie wykryje systemu, ale pomijasz to i idziesz dalej z instrukcją . Nie ma WinRE dla Windows XP . Odnośnik do komentarza
gr00by Opublikowano 11 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Sierpnia 2013 Log z FRST w zalaczniku. FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 20 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2013 Cytat po odpaleniu w trybie normalnym i awaryjnym natychmiast sie wylogowywuje do planszy z nazwami userow. Uzytkowniczka zeznaje, ze byla infekcja Ukash. Objaw sugerowałby naruszoną wartość Userinit, ale: - W raporcie FRST nie widać tego wpisu. Nie jestem też pewna czy w skan FRST mogę do końca wierzyć na polskim systemie XP. Były trudności z detekcją polskich ścieżek, które zgłaszałam, zostało to jakoby naprawione, ale... - OTLPE w ogóle nie notuje Userinit, choć nie pamiętam jak to jest w starym OTL (nowy zawsze pokazuje Userinit). Niezależnie od wyników skanów proponuję zaimportować Userinit i zobaczymy co się stanie: 1. Przygotuj import rejestru w Notatniku: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik ma być dostępny z poziomu OTLPE. 2. Z poziomu OTLPE uruchom OTL, zostaw okno otwarte i go nie zamykaj. To zamontuje rejestr. Klik w Start > Run > regedit i z menu Plik zaimportuj plik FIX.REG. 3. Następnie w OTL w sekcji Custom Scans/Fixes wklej: :Files C:\Documents and Settings\Karolina\Menu Start\Programy\Autostart\keertrgkmbqorjgcqxk.lnk C:\Documents and Settings\Karolina\Dane aplikacji\ArcaVirMicroScan C:\Documents and Settings\Karolina\Dane aplikacji\AVG Secure Search C:\Documents and Settings\Karolina\Dane aplikacji\DriverFinder C:\Documents and Settings\Karolina\Dane aplikacji\eDownload C:\Documents and Settings\Karolina\Dane aplikacji\Funmoods C:\Documents and Settings\Karolina\Dane aplikacji\OpenCandy C:\Documents and Settings\Karolina\Dane aplikacji\PriceGong C:\Documents and Settings\Karolina\Dane aplikacji\ProgSense C:\Documents and Settings\Karolina\Dane aplikacji\systweak C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit C:\Documents and Settings\All Users\Dane aplikacji\~Browser Manager :OTL IE - HKU\Karolina_ON_C\..\URLSearchHook: {cc2e2b99-14d3-4516-883c-9ea147f594ef} - Reg Error: Key error. File not found FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: File not found FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: File not found O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - File not found O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [Zwinky Search Scope Monitor] C:\Program Files\Zwinky_5q\bar\1.bin\5qSrchMn.exe (MindSpark) O4 - HKLM..\Run: [Zwinky_5q Browser Plugin Loader] C:\Program Files\Zwinky_5q\bar\1.bin\5qbrmon.exe (VER_COMPANY_NAME) O4 - HKU\Karolina_ON_C..\Run: [AdobeBridge] File not found O4 - HKU\Karolina_ON_C..\Run: [browser Infrastructure Helper] C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Smartbar\Application\QuickShare.exe (Smartbar) O4 - HKU\Karolina_ON_C..\Run: [ccleaner] File not found O4 - HKU\Karolina_ON_C..\Run: [DriverFinder] File not found O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - File not found SRV - File not found [Auto] -- -- (vToolbarUpdater13.2.0) SRV - File not found [On_Demand] -- -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental) SRV - [2013/06/22 16:15:52 | 000,042,504 | ---- | M] (COMPANYVERS_NAME) [Auto] -- C:\Program Files\Zwinky_5q\bar\1.bin\5qbarsvc.exe -- (Zwinky_5qService) DRV - File not found [Kernel | On_Demand] -- -- (UIUSys) DRV - File not found [File_System | On_Demand] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand] -- -- (catchme) DRV - File not found [Kernel | On_Demand] -- -- (btwhid) DRV - File not found [Kernel | On_Demand] -- -- (BTWDNDIS) DRV - File not found [Kernel | On_Demand] -- -- (BTDriver) DRV - File not found [Kernel | On_Demand] -- -- (btaudio) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. Na dysku C powstanie log z usuwania. 4. Spróbuj wejść do Windows. Jeśli to się uda, usuń adware: - Przez Dodaj/Usuń programy odinstaluj Zwinky, Smartbar. - Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log ze standardowego OTL z opcji Skanuj (ma powstać plik Extras). Dołącz log z usuwania OTL z punktu 3 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
gr00by Opublikowano 21 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 21 Sierpnia 2013 Log z OTLPE zalaczony. Niestety, system nadal wylogowywuje uzytkownika (tryb normalny i awaryjny + linia polecen) :-( BTW: Czy moglby ktos zajrzec do jeszcze jednego mojego posta - dot. rowniez infekcji Ukash. Dziekuje! OTLPE_08212013_175831.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Co się pokazało podczas importu pliku FIX.REG? Przedstaw mi jak wartość Userinit teraz wygląda. Z poziomu OTLPE uruchom OTL (podmontuje rejestr) i zostaw okno otwarte. Następnie Start > Run > regedit > wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon Rozwiń okno, by było widać po prawej stronie czy jest wartość Userinit. ALT+PrintScreen. Start > Run > mspaint i CTRL+V. Zapisz obrazek i go tu pokaż. . Odnośnik do komentarza
gr00by Opublikowano 24 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 Przy imporcie pokazal sie komunikat, ze operacja importu pliku zakonczyla sie pomyslnie. PrintScreen zalaczony. Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 Hmmm, objaw silnie sugeruje wadę Userinit, ale wpis poprawny, usuwanie widocznej infekcji było już robione. 1. Dostarcz mi pełny rejestr do analizy. Z poziomu OTLPE skopiuj te elementy: - Z folderów użytkowników pliki: C:\Documents and Settings\Karolina\NTUSER.DAT C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat C:\Documents and Settings\Administrator\NTUSER.DAT C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat - Z folderu C:\WINDOWS\system32\config plik SOFTWARE Wszystko zapakuj do ZIP, umieść na jakimś hostingu i podeślij na PW link do paczki. 2. Dodaj też skan kilku ścieżek. W Notatniku utwórz plik o zawartości: Folder: C:\Documents and Settings\Karolina\Menu Start\Programy\Autostart Folder: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart Folder: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart Folder: C:\Documents and Settings\Karolina\Ustawienia lokalne\Temp Folder: C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp Zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. . Odnośnik do komentarza
gr00by Opublikowano 28 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2013 Log z FRST w zalaczniku. Dane do plikow wyslane na PW. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Dosłany rejestr nic nie wykazuje, za wyjątkiem faktu, że pliku SYSTEM (o który poprosiłam dodatkowo) nie da rady podmontować w moim rejestrze (błąd montowania). To sugeruje uszkodzenie rejestru. Proponuję cofnąć rejestr do stanu sprzed usuwania infekcji i uruchamiania ComboFix. Na dysku jest folder kopii rejestru utworzony przez ComboFix: 2013-08-06 20:28 - 2013-08-06 20:59 - 00000000 ____D C:\Windows\erdnt 1. Otwórz Notatnik i wklej w nim: RestoreErunt: cf Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Sprawdź czy jesteś w stanie zalogować konto, a jeśli tak, to zrób raporty spod Windows (z OTL i FRST). Dołącz plik fixlog.txt. . Odnośnik do komentarza
gr00by Opublikowano 1 Września 2013 Autor Zgłoś Udostępnij Opublikowano 1 Września 2013 Komp odpalil sie prawidlowo. Nie wrzucalem logow tak dlugo, bo caly dysk byl skompresowany DiskSpace'm - pare godzin trwala zmiana atrybutow. Ktos probowal wczesniej uzywac ComboFix'a na tym PC, jak zreszta widac. Jak posprzatac tez ten poComboFix'owy syf? po prostu /uninstall? Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 1 Września 2013 Zgłoś Udostępnij Opublikowano 1 Września 2013 Cytat Ktos probowal wczesniej uzywac ComboFix'a na tym PC, jak zreszta widac. Jak posprzatac tez ten poComboFix'owy syf? po prostu /uninstall? Na razie nic nie rób. Przywrócenie rejestru sprzed uruchomienia ComboFix spowodowało powrót usuwanych już z rejestru wpisów śmieci. Trzeba czyścić: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [Zwinky Search Scope Monitor] - "C:\PROGRA~1\ZWINKY~2\bar\1.bin\5qsrchmn.exe" /m=2 /w /h [x] HKLM\...\Run: [Zwinky_5q Browser Plugin Loader] - C:\PROGRA~1\ZWINKY~2\bar\1.bin\5qbrmon.exe [x] HKLM\...\Policies\Explorer: [NoDrives] 0 HKCU\...\Policies\Explorer: [ForceClassicControlPanel] 1 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=hp&installDate=04/04/2013 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9250315AS_6VCKJGG8____6VCKJGG8&ts=1354548559 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9250315AS_6VCKJGG8____6VCKJGG8&ts=1354548559 URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKLM - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 SearchScopes: HKLM - {5a15c091-f3c2-4c8f-8964-e3434a2a4a95} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^ZJ^xpt249^YY^pl&si=begin-download&ptb=ED147F04-8A39-4FE4-BF0D-CD9C6635E2FE&ind=2013062216&n=77fce448&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120665&babsrc=SP_ss_gin2g&mntrId=B89B0017C4161A04 SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120665&babsrc=SP_ss_gin2g&mntrId=B89B0017C4161A04 SearchScopes: HKCU - {5a15c091-f3c2-4c8f-8964-e3434a2a4a95} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^ZJ^xpt249^YY^pl&si=begin-download&ptb=ED147F04-8A39-4FE4-BF0D-CD9C6635E2FE&ind=2013062216&n=77fce448&psa=&st=sb&searchfor={searchTerms} BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll No File Toolbar: HKLM - QuickShare Widget - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\System32\mscoree.dll (Microsoft Corporation) Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\13.2.0\ViProtocol.dll No File ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No File [ ] S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [x] S2 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [x] S2 Zwinky_5qService; C:\PROGRA~1\ZWINKY~2\bar\1.bin\5qbarsvc.exe [x] S3 btaudio; system32\drivers\btaudio.sys [x] S3 BTDriver; system32\DRIVERS\btport.sys [x] S3 BTWDNDIS; system32\DRIVERS\btwdndis.sys [x] S3 btwhid; system32\DRIVERS\btwhid.sys [x] S3 catchme; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys [x] S3 StarOpen; No ImagePath S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [x] Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q "C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Google\Chrome" CMD: rd /s /q "C:\Documents and Settings\Karolina\Dane aplikacji\Mozilla" CMD: rd /s /q "C:\Program Files\mozilla firefox" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj Internet Explorer Toolbar 4.6 by SweetPacks, QuickShare, Zwinky Toolbar. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner. . Odnośnik do komentarza
gr00by Opublikowano 1 Września 2013 Autor Zgłoś Udostępnij Opublikowano 1 Września 2013 W zalaczniku wszystkie logi. AdwCleanerR0.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 2 Września 2013 Zgłoś Udostępnij Opublikowano 2 Września 2013 Wszystko zrobione. Drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
gr00by Opublikowano 2 Września 2013 Autor Zgłoś Udostępnij Opublikowano 2 Września 2013 Log w zalaczniku. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 3 Września 2013 Zgłoś Udostępnij Opublikowano 3 Września 2013 Skrypt przetworzony poprawnie. Kolejne zadania: 1. Przez SHIFT+DEL dokasuj poniższe foldery oraz pliki o rozszerzeniu *.OLD (to te wadliwe kopie rejestru): C:\_OTL C:\FRST C:\WINDOWS\erdnt C:\WINDOWS\system32\config\SOFTWARE.OLD C:\WINDOWS\system32\config\SYSTEM.OLD C:\WINDOWS\system32\config\DEFAULT.OLD C:\WINDOWS\system32\config\SECURITY.OLD C:\WINDOWS\system32\config\SAM.OLD 2. Odinstaluj ComboFix. Pobierz ponownie (KLIK) i umieść wprost na C:\. Start > Uruchom > wklej komendę: C:\ComboFix.exe /uninstall 3. Uruchom TFC - Temp Cleaner. 4. Wykonaj pełny skan MBAM i przedstaw wyniki. . Odnośnik do komentarza
gr00by Opublikowano 3 Września 2013 Autor Zgłoś Udostępnij Opublikowano 3 Września 2013 Wszystko zrobione, logi z MBAM w zalaczniku. MBAM-log-2013-09-03 (12-17-19).txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 3 Września 2013 Zgłoś Udostępnij Opublikowano 3 Września 2013 1. Wyniki MBAM: - Do usunięcia szczątki adware: PUP.Optional.MixiDJToolbar.A, PUP.Optional.OpenCandy, PUP.Optional.Softonic. - Za żadne cracki / patche nie biorę odpowiedzialności. - Pozycje punktujące keyfinder141 do ominięcia. To kwestie interpretacji. Narzędzie przecież może być pobrane w zbożnym celu. 2. Do usunięcia poniższe i zastąpienia najnowszymi wersjami. ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX (Version: 11.7.700.224) ----> wtyczka dla IE Java 6 Update 37 (Version: 6.0.370) 3. Na wszelki wypadek także wymiana haseł logowania w serwisach. . Odnośnik do komentarza
gr00by Opublikowano 4 Września 2013 Autor Zgłoś Udostępnij Opublikowano 4 Września 2013 Dziekuje za pomoc - temat do zamkniecia. Odnośnik do komentarza
Rekomendowane odpowiedzi