pysiek Opublikowano 10 Października 2013 Zgłoś Udostępnij Opublikowano 10 Października 2013 Witam, po wpisaniu w Google czegokolwiek i nacisnieciu na wyszukana fraze przekierowuje na stronki typu "ihavenet.pl" itp. logi z OTL Extras.Txt OTL.Txt Odnośnik do komentarza
jessica Opublikowano 10 Października 2013 Zgłoś Udostępnij Opublikowano 10 Października 2013 @Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci. Wlogu jest zaplanowane Zadanie, ale jakoś nie dostrzegam pozostałej części tej infekcji. Na razie usuniemy tylko to Zadanie: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: :OTL [2013-10-10 06:34:31 | 000,000,310 | ---- | M] () -- C:\Windows\tasks\Yawamyq.job O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found. O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16:64bit: - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Reg Error: Key error.) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.) :Commands [emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. Zrób też wymagane logi z FRST, bo @Picasso, jak już wróci, na pewno będzie je chciała zobaczyć Odnośnik do komentarza
pysiek Opublikowano 10 Października 2013 Autor Zgłoś Udostępnij Opublikowano 10 Października 2013 Na wstępnie chciałbym bardzo podziekowac za szybko odzew, umieszzam pliki o które byłem poproszony. Jeszcze raz serdecznie dziekuje Addition.txt FRST.txt OTL.Txt 10102013_095507.txt Odnośnik do komentarza
jessica Opublikowano 10 Października 2013 Zgłoś Udostępnij Opublikowano 10 Października 2013 File ptytemp] not found. Nie wszystko się wykonało, bo w raporcie z usuwania widać, że gdzieś po drodze odcięty został lewy dolny róg Skryptu. Logi dokładniej przejrzy @Picasso jak wróci. W międzyczasie możesz sprawdzić ten ukryty plik C:\Windows\SysWow64\rdpd3di.dll na JOTTI/ albo na VIRUSTOTAL Próbowałam go dopasować wg nazwy do jakiegoś Twego programu, ale do niczego nie pasuje. Nie podoba mi się też to, że jest ukryty. Odnośnik do komentarza
picasso Opublikowano 12 Października 2013 Zgłoś Udostępnij Opublikowano 12 Października 2013 jessica To częsta infekcja tu na forum, wyłącza określone komponenty systemu (Centrum zabezpieczeń, Przywracanie systemu, Windows Defender i MSSE). Plik DLL uruchamiany przez plik JOB Harmonogramu. To jest para: [2013-10-10 06:34:31 | 000,000,310 | ---- | M] () -- C:\Windows\tasks\Yawamyq.job [2013-07-08 23:14:03 | 000,471,040 | RHS- | C] () -- C:\Windows\SysWow64\rdpd3di.dll Gdyby został podany log FRST w pierwszej kolejności, wszystko byłoby dla Ciebie jasne. Tylko w FRST jest pokazywanie pliku docelowego wywołanego przez JOB oraz kompletna obsługa nowej struktury Harmonogramu zadań systemów Vista i nowsze. OTL nie obsługuje tego wcale. pysiek Na początek na temat używanych programów: - HijackThis nie ma zgodności z systemem x64 i sfałszowane dane. - SpyHunter to skaner wątpliwej reputacji. Instalka do usunięcia z dysku, nie ponawiać instalacji. - Używane wymarłe skanery typu MKS, Spyware Doctor. - Widać, że pobierasz śmieci z portali, "Asystent pobierania" zamiast poprawnego instalatora: Trojan-Killer(45675).exe. Zagadnieniu jest poświęcony cały artykuł: KLIK. 1. Odinstaluj HijackThis, Skaner on-line mks_vir oraz nadwyżkę antywirusów (obecnie w tle Avast + MSSE, sugeruję zostawić bardziej rozbudowany Avast). 2. Doczyść resztki infekcji i skanerów. Otwórz Notatnik i wklej w nim: Task: {0E3A8F00-4620-4CAC-BDDF-2C8DF9EDA83C} - \EPUpdater No Task File Task: {36945782-DC16-4AF4-B8E5-A3F8BD8F06A5} - \BitGuard No Task File SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - Yandex URL = http://yandex.ru/yandsearch?clid=47356&text={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKCU\...\Policies\system: [DisableLockWorkstation] 0 HKCU\...\Policies\system: [DisableChangePassword] 0 DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No File [ ] ShellExecuteHooks-x32: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No File [ ] FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird S2 MBAMScheduler; "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe" [x] S2 MBAMService; "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe" [x] R1 11748921; C:\Windows\System32\DRIVERS\11748921.sys [157712 2013-09-27] (Kaspersky Lab) R0 11748922; C:\Windows\System32\DRIVERS\11748922.sys [40464 2013-09-27] (Kaspersky Lab) S3 ALSysIO; \??\C:\Users\Jola\AppData\Local\Temp\ALSysIO64.sys [x] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [x] S3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [x] S3 TC131; System32\Drivers\TC131.sys [x] C:\Windows\SysWow64\rdpd3di.dll C:\Windows\system32\Drivers\1174892.sys C:\Windows\system32\Drivers\11748921.sys C:\Windows\system32\Drivers\11748922.sys C:\Windows\027B5748C40941FE949B7B81A8304EF4.TMP C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Spyware Doctor C:\Program Files\GridinSoft Trojan Killer C:\ProgramData\Kaspersky Lab C:\ProgramData\PC Tools C:\Users\Jola\AppData\Roaming\ArcaVirMicroScan C:\Users\Jola\AppData\Roaming\TestApp C:\Users\Jola\AppData\Roaming\Yandex C:\Users\Jola\Downloads\Trojan-Killer(45675).exe C:\Users\Jola\Doctor Web Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Wypowiedz się czy działa Centrum zabezpieczeń i czy jest włączone Przywracanie systemu. Dodatkowo, ominęłam usuwanie tych plików SpyHunter, gdyż nie jestem pewna czy nie są przypadkiem używane w rozruchu Windows: C:\spyhunter.fix C:\shldr.mbr C:\shldr Co widzisz przy uruchamianiu systemu Windows? Czy przypadkiem nie pokazuje się menu GRUB4DOS zamiast menu startowego Windows 7? . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się