agata1 Opublikowano 15 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 15 Sierpnia 2013 po naciśnięciu na link w rozmowie ze znajomym na facebookuściągnęłam plik, które wysyła mi ten sam link [ zapewne zawirusowany] do innychpotrafi on być wysłany samowolnie co 20 minut do osób, które są aktualnie dostępnechrome wyraźnie zwolnił na szybkościa przy uruchamianiu systemu ponad minutę jest czarny ekran, a następnie wyskakuje informacjaże system Windows nie może otworzyć pliku o nazwie ' trz9BE1.tmp 'co nigdy nie miało miejscaproszę o pomoc! Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 19 Sierpnia 2013 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Running] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\point32k.sys -- (Point32) DRV - File not found [Kernel | Disabled | Stop_Pending] -- system32\DRIVERS\epfwwfpr.sys -- (epfwwfpr) DRV - File not found [Kernel | Disabled | Running] -- system32\DRIVERS\ehdrv.sys -- (ehdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- F:\I386\AsProcOb.sys -- (ASUSProcObsrv) IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=2b0ad2a0-4444-11e1-a807-002618629aae&q={searchTerms} IE - HKCU\..\SearchScopes\{21F6842D-E5D6-40CC-AA5A-1D6314FF58A7}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=2b0ad2a0-4444-11e1-a807-002618629aae&q={searchTerms} O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found [2013-08-15 12:45:24 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group [2013-08-15 12:07:38 | 000,115,712 | ---- | C] (Solar) -- C:\Users\AGATA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe [2013-08-15 20:08:00 | 000,361,984 | ---- | M] () -- C:\Users\AGATA\AppData\Roaming\01C15E5D.exe [2013-08-15 12:07:57 | 000,366,080 | ---- | M] () -- C:\Users\AGATA\AppData\Roaming\0009D72C.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. . Odnośnik do komentarza
agata1 Opublikowano 19 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 19 Sierpnia 2013 wszystko zrobione dodaję logi OTL.Txt raport.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 20 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2013 Wprawdzie zadania wykonane, ale infekcja nie została usunięta, plik w starcie zmienił nazwę z lsass.exe na trz9BE1.tmp. Kolejna porcja akcji: 1. Odinstaluj zbędne aplikacje Akamai NetSession Interface Service, Windows Media Player Firefox Plugin. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\AGATA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\trz9BE1.tmp C:\ProgramData\ESET C:\Program Files\ESET C:\Users\AGATA\AppData\Roaming\Mozilla :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie nowy log z wynikami usuwania. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 2. . Odnośnik do komentarza
agata1 Opublikowano 20 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 20 Sierpnia 2013 Zrobione OTL.Txt raport z usuwania.txt Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Skrypt wykonany, ale nadal widzę Akamai NetSession Interface w starcie (załatw go). Przejdź do dalszych czynności: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
agata1 Opublikowano 23 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2013 Pełne skanowanie zakończone, nic nie wykryto!Dziękuję Ci bardzo za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi