lilleczka Opublikowano 18 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2010 dobra, musiałam sprawdzić jak to jest z tymi kontami - z normalnego mam 4 konta - Eliza, ziomek, Staszek i Gość - te dwa ostatnie praktycznie nieużywane z awaryjnego też 4 konta ale tutaj zamiast Gość jest Administrator żebym Ciebie dobrze zrozumiała - na awaryjnym wchodzę na te 3 konta (poza Administratorem) i na każdym robię OTL, GMER mogę zrobić np. na swoim potem wracam na normalny i z korzystając z dowolnego konta przesyłam logi to pytanie na jutrzejsze, o nie!, na dzisiejsze popołudnie - teraz odpuszczam - za 4 muszę wstać do pracy serdeczne dzięki za dotychczasową pomoc! pozdrawiam Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2010 Zgłoś Udostępnij Opublikowano 18 Listopada 2010 żebym Ciebie dobrze zrozumiała - na awaryjnym wchodzę na te 3 konta (poza Administratorem) i na każdym robię OTL, GMER mogę zrobić np. na swoim potem wracam na normalny i z korzystając z dowolnego konta przesyłam logi Tak. Tylko jakoś nazwy plików logów tak oznacz, by od razu w nazwie było oznaczenie z jakiego konta są. Wprawdzie ja to będę widzieć w logach w nagłówkach, ale to dla jasności wyświetlania Załączników na forum. Odnośnik do komentarza
lilleczka Opublikowano 18 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2010 witam ponownie zgodnie ze wskazówkami wygenerowałam logi OTL na każdym koncie użytkownika, próba wykonania GMER zakończyła się totalnym zawieszeniem (dwukrotnie) i koniecznością odłączenia komputera od zasilania dwa pytania: czy przesłać wygenerowane logi? (a może z racji "twardego resetu" wygenerować je jeszcze raz?) czy podjąć kolejną próbę wykonania GMER Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2010 Zgłoś Udostępnij Opublikowano 18 Listopada 2010 czy przesłać wygenerowane logi? (a może z racji "twardego resetu" wygenerować je jeszcze raz?) Prześlij to co masz, by były materiały do usuwania infekcji. Narazie opuść GMER. Odnośnik do komentarza
lilleczka Opublikowano 20 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2010 w załączeniu przesyłam najświeższe logi z OTL z dwóch kont użytkowników, jeszcze cieplutkie ale widzę, że gdzieś mi wcięło loga z mojego konta więc muszę go jeszcze raz zrobić z GMER, zgodnie z sugestią się wstrzymałam no i log z ostatniego konta OTL Jul.Txt OTL Stas.Txt OTL Eli.Txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2010 Zgłoś Udostępnij Opublikowano 21 Listopada 2010 Konta Eliza i Julek mają fałszywego antywirusa, ślady po infekcji z urządzenia USB oraz śmieci adware. Natomiast konto Stas (to jest właśnie to aaa, folder na dysku nie musi być taki sam jak nazwa wyświetlana) nie ma tej infekcji, ewentualnie do korekty mini wpisy "not found", ale to nie jest na teraz istotne. Najpierw należy odblokować konta zdejmując działanie pseudo-oprogramowania. Zabieramy się za usuwanie: 1. Startujesz do Trybu awaryjnego na każde z kont po kolei, na każdym uruchamiasz OTL i wybierasz opcję Wykonaj skrypt, której należy podać osobny pasujący do konta plik FIX.TXT. Do pobrania pliki FIX.TXT dostosowane do danych kont (oczywiście wybierz opcję zapisu plików na dysku): Konto Julek: FIX.TXT Konto Eliza: FIX.TXT Wszystkie logi powstałe z usuwania zachowaj. 2. Startujesz do Trybu normalnego, w Dodaj/Usuń wykonujesz deinstalację: My Web Search (Popular Screensavers) + ShopperReports + Softonic-Eng7 Toolbar. 3. Z poziomu Trybu normalnego (to powinno być już bezproblemowe) wygeneruj po kolei logi z OTL dla każdego z kont, opcją Skanuj dla jasności. . Odnośnik do komentarza
lilleczka Opublikowano 21 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2010 witam przy próbie wykonania skryptów w trybie awaryjnym (zresztą w normalnym też) w momencie pobierania pliku nie widać w ogóle plików txt a przy pasku "Plik typu" podrzuca tylko "Fix files" dziwna rzecz - Security Tool się dzisiaj w ogóle nie uaktywnił, kiedy rozwijam listę programów z menu "Start" w ogóle go nie ma, mimo że wcześniej był jestem w stanie bez problemów dostać się wszędzie, do wszystkich folderów i plików w swoim komputerze nie wiem co się stało, ale w cuda nie wierzę więc wietrzę jakiś podstęp - pamiętajcie, że nie udało mi się wykonać skryptów czy w tej sytuacji mam wykonać punkty 2 i 3 z instrukcji w poprzednim poście? może jestem przewrażliwiona na punkcie słowa "Tool" ale na pasku mam nową (chyba nową??? bo nie kojarzę wcześniej) ikonkę wyświetlającą się jako "Exper Tool" Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2010 Zgłoś Udostępnij Opublikowano 22 Listopada 2010 przy próbie wykonania skryptów w trybie awaryjnym (zresztą w normalnym też) w momencie pobierania pliku nie widać w ogóle plików txt a przy pasku "Plik typu" podrzuca tylko "Fix files" Nie rozumiem... Pokaż na obrazku co Ty widzisz. dziwna rzecz - Security Tool się dzisiaj w ogóle nie uaktywnił, kiedy rozwijam listę programów z menu "Start" w ogóle go nie ma, mimo że wcześniej był Może dlatego, że na początku zostały usunięte główne wpisy, a to co jest na kontach użytkowników to wpisy typu "RunOnce". czy w tej sytuacji mam wykonać punkty 2 i 3 z instrukcji w poprzednim poście? Nie, proszę nadal o wykonanie skryptów dla każdego z kont. I dopiero na koniec deinstalacja. Skoro teraz w trybie normalnym można działać i fałszywy antywirus nie reaguje, to zamiast plików FIX.TXT będziesz wklejać skrypt bezpośrednio z posta do OTL. Czyli: 1. Dla konta Julek: uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :OTL IE - HKU\S-1-5-21-1659004503-562591055-839522115-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2405280" IE - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL File not found IE - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - Reg Error: Key error. File not found FF - prefs.js..extensions.enabledItems: {9CE11043-9A15-4207-A565-0C94C42D590D}:2.0 O3 - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\Toolbar\WebBrowser: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found. O3 - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - Reg Error: Value error. File not found O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1005..\Run: [ares] C:\Program Files\Ares\Ares.exe File not found O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1005..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe File not found O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1005..\Run: [RGSC] D:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe File not found O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1005..\RunOnce: [113499697] C:\Documents and Settings\Julek\Ustawienia lokalne\Dane aplikacji\113499697.exe () O15 - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..Trusted Domains: se-2011-download.com ([]http in Trusted sites) O15 - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..Trusted Domains: se-2011-payment.com ([]http in Trusted sites) O33 - MountPoints2\{861ae142-7e6b-11dc-bee4-000e50f46b27}\Shell\AutoRun\command - "" = G:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe -- File not found O33 - MountPoints2\{861ae142-7e6b-11dc-bee4-000e50f46b27}\Shell\open\command - "" = G:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe -- File not found Uruchom przez Wykonaj skrypt. Komputer będzie restartować, a na koniec dostaniesz log z usuwania. 2. Dla konta Eliza: uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :OTL O3 - HKU\S-1-5-21-1659004503-562591055-839522115-1006\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - Reg Error: Value error. File not found O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1006..\RunOnce: [0598144] C:\Documents and Settings\Eliza\Ustawienia lokalne\Dane aplikacji\0598144.exe () O15 - HKU\S-1-5-21-1659004503-562591055-839522115-1006\..Trusted Domains: se-2011-download.com ([]http in Trusted sites) O15 - HKU\S-1-5-21-1659004503-562591055-839522115-1006\..Trusted Domains: se-2011-payment.com ([]http in Trusted sites) O33 - MountPoints2\{ca9bdf0a-fc29-11dc-bfd9-000e50f46b27}\Shell\Open(&0)\command - "" = Recycled\ctfmon.exe [2010-11-02 21:52:38 | 000,000,821 | ---- | M] () -- C:\Documents and Settings\Eliza\Pulpit\Security Essentials 2011.lnk Uruchom przez Wykonaj skrypt. Komputer będzie restartować, a na koniec dostaniesz log z usuwania. 3. Wykonujesz zalecane deinstalacje. 4. Wykonujesz dla każdego konta nowe logi OTL opcją Skanuj, oraz pokazujesz także logi powstałe z usuwania. . Odnośnik do komentarza
lilleczka Opublikowano 22 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2010 w załączeniu logi OTL po wykonaniu skryptów na każdym z kont nie udało mi się usunąć "My Web Search (Popular screensavers)" - pojawił się komunikat, zrobiłam zrzut z ekranu ale nie wiem jak go tutaj pokazać... OTL E skrypt.txt log J skrypt.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2010 Zgłoś Udostępnij Opublikowano 22 Listopada 2010 Wedle spodziewań: fałszywy antywirus się nie ujawnia, bo klucze RunOnce zniknęły (stąd też i OTL nie usunął ich, bo ich po prostu już nie ma). Reszta zadań wykonana. nie udało mi się usunąć "My Web Search (Popular screensavers)" - pojawił się komunikat, zrobiłam zrzut z ekranu ale nie wiem jak go tutaj pokazać... Obrazek możesz wstawić na ImageShack i podać tu link. Jednakże przypuszczam, że niemożność deinstalacji to jest wynik już usunięcia pewnych komponentów MyWebSearch (czyli brak "deinstalatora"). Inne odinstalowałaś? Jeśli nie, zrób to. Poproszę teraz o: 1. Wykonaj pełny skan za pomocą Malwarebytes' Anti-Malware. Zrób te skany dla każdego z kont z osobna. MBAM powinien znaleźć szczątki tego adware MyWebSearch. Jeśli to się nie stanie, podam ręczny fiks jak wywalić wpis tego śmiecia z Dodaj/Usuń. 2. Pokazujesz: nowe logi OTL opcji Skanuj oraz wyniki skanowania MBAM. EDIT: Do użytkownika Karola. Proszę się tu nie dopisywać! Każdy użytkownik ma swój własny temat! Wydzielone tu: https://www.fixitpc.pl/topic/2110-securitytool/ . Odnośnik do komentarza
lilleczka Opublikowano 22 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2010 w załączeniu przesyłam z konta Eliza skan z MBAW, log z OTL-a wykonany po skanie i zrzut z ekranu po próbie usunięcia "My WEb..." - już umiem czy po skanie MBAW powinnam kliknąć usuń zaznaczone? za chwilę prześlę komplet z drugiego konta i logi z konta Julek mbam-log-2010-11-22 (20-20-12) E.txt OTL.Txt mbam-log-2010-11-22 (20-42-40) J.txt OTL J.Txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2010 Zgłoś Udostępnij Opublikowano 22 Listopada 2010 Log z konta Eliza wygląda już poprawnie i nic tu więcej nie będziemy z nim wykonywać. Jeśli wygenerujesz zestawy skanu MBAM + log OTL z drugiego konta, dołącz w powyższym poście, a ja tu odpowiednio zmodyfikuję swój post. zrzut z ekranu po próbie usunięcia "My WEb..." Przyczyna o jakiej już mówiłam: brak modułu deinstalacyjnego, ponieważ tego śmiecia już czymś wcześniej jakby usuwano (w logach były odnośniki "not found"). Problem niemożności deinstalacji sam się rozwiąże poprzez tę akcję: czy po skanie MBAW powinnam kliknąć usuń zaznaczone? Tak, wszystko usuń. W raporcie są szczątki po tych adware, które już tu widziałam (i wpis w Dodaj / Usuń także jest), oraz po trojanach i nawet uchował się jeszcze skrót tego pseudo-antywirusa. . Odnośnik do komentarza
lilleczka Opublikowano 22 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2010 ok, logi z drugiego konta dołączyłam do poprzedniego posta czy jak pousuwam wszystko po skanowaniu MBAW przesłać ponownie logi z OTL? dosyłam log ze skanowania MBAW po usunięciu śmieci na koncie Julek za chwilę dołączę to samo z mojego konta czy jak już mój komputer zostanie doprowadzony do stanu używalności polecisz mi jakiegoś dobrego AV? bo widzę, że sam się doprasza ochrony no i log po usunięciu śmieci MBAW na koncie Eliza (ten oznaczony Eli) mbam-log-2010-11-22 (20-58-58).txt mbam-log-2010-11-22 (21-24-15) Eli.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2010 Zgłoś Udostępnij Opublikowano 23 Listopada 2010 W porządku. Pozostało do zrobienia: CZEŚĆ SPRZĄTAJĄCA: 1. Z poziomu konta Julek ostatnia operacja w OTL. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - Reg Error: Key error. File not found O4 - HKLM..\RunOnceEx: [] File not found Uruchom przez Wykonaj skrypt. Żadnych logów już nie musisz pokazywać. W OTL na koniec uruchom funkcję Sprzątanie. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE ZABEZPIECZENIA: 1. Podstawowy defekt systemu: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 7.0.5730.13) Obowiązkowa aktualizacja do statusu: Service Pack 3 + Internet Explorer 8. 2. Podobnie jest z dodatkowym oprogramowaniem: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03"{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.1"Gadu-Gadu" = Gadu-Gadu 7.7 Ta archaiczna Java musi wylecieć na korzyść najnowszej wersji. Do wymiany i Adobe Reader. Wszystko tu: INSTRUKCJE. Gadu-Gadu 7.7 - nie obsługuje w pełni własnej sieci i nie ma szyfrowania. W temacie Darmowe komunikatory znajdziesz alternatywy (proponuję: WTW, Miranda, Kadu dla Windows lub - jeśli reklamy nie są problemem - AQQ). 3. Rozprawiając o software zabezpieczającym, może Cię zainteresuje pełny darmowy pakiet COMODO Internet Security. . Odnośnik do komentarza
lilleczka Opublikowano 23 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2010 witam ponownie wykonałam wszystkie polecenia z poprzedniego postu picasso - jesteś genialna!!! ogromnie dziękuję za pomoc, jasne i czytelne instrukcje i za uratowanie mnie od tego paskudztwa miałabym jeszcze jakieś pytania - w temacie zabezpieczenia komputera i dodatkowego oprogramowania - ale to chyba już nie w tym dziale, prawda? jeszcze raz stokrotne dzięki!!! Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2010 Zgłoś Udostępnij Opublikowano 24 Listopada 2010 miałabym jeszcze jakieś pytania - w temacie zabezpieczenia komputera i dodatkowego oprogramowania - ale to chyba już nie w tym dziale, prawda? Jakie pytania? Jakaś grubsza dyskusja to owszem, w dziale Oprogramowanie zabezpieczające. Odnośnik do komentarza
lilleczka Opublikowano 24 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2010 w zasadzie to jedno najbardziej dla mnie istotne - poleciłaś mi pakiet COMODO, trochę poczytałam i mi się podoba więc się zdecydowałam ale kiedy aktualizowałam Adobe Reader to on automatycznie ściągnął mi McFee i jestem w małej kropce McFeeto tylko AV a COMODO to cały pakiet łącznie z zaporą, więc bardziej mi odpowiada chciałabym się tylko upewnić, że mogę bez sentymentu odinstalować McFee i ściągnąć COMODO ale oczywiście mogę przegalopować do drugiego działu Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2010 Zgłoś Udostępnij Opublikowano 24 Listopada 2010 w zasadzie to jedno najbardziej dla mnie istotne - poleciłaś mi pakiet COMODO, trochę poczytałam i mi się podoba więc się zdecydowałam ale kiedy aktualizowałam Adobe Reader to on automatycznie ściągnął mi McFee i jestem w małej kropceMcFeeto tylko AV a COMODO to cały pakiet łącznie z zaporą, więc bardziej mi odpowiada chciałabym się tylko upewnić, że mogę bez sentymentu odinstalować McFee i ściągnąć COMODO McAfee to sponsor doczepiony do Adobe i zapomniałam Ci powiedzieć, byś tego nie instalowała. To jest zbędne, zresztą to nie jest żaden pełny antywirus tylko skrócony szybki skaner (więc nawet gdyby został dołożony COMODO nie powinno być konfliktu). Sumując: McAfee odinstalować, on nie jest Ci potrzebny, pełny pakiet COMODO doinstalować. . Odnośnik do komentarza
lilleczka Opublikowano 24 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2010 (edytowane) oki, rozumiem dziękuję bardzo, bardzo, bardzo za pomoc mam nadzieję, że nieprędko będziemy miały okazję do kontaktu - o rany! jak to brzmi! ale sama rozumiesz o co chodzi pozdrawiam serdecznie over... Edytowane 24 Listopada 2010 przez picasso Hahaha. Temat wygląda na ukończony, toteż go zamykam. Jeśli coś by się działo, poproś o otworzenie na PW. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi