Wirus ukhax ale jest problem

[brainq]

Witam znów zlapalem wirusa tego co pamiętam musiałem wejdź na awaryjny i tu problem jak zaloguje sie to potem mija sekunda ,wylogowuje i robi restart kompa wiec sa jakie rady??

[picasso]

1. Mówisz o Trybie awaryjnym, ale czy na pewno sprawdziłeś Tryb awaryjny z wierszem polecenia? Jeśli nie będzie możliwe jego uruchomienie:

 

2. Zrób raporty z FRST uruchomionego w środowisku zewnętrznym.

 

 

 

.

[brainq]

to znaczy tryb polecenia mi nie wywala tylko jak mam wpisac to zebym bezposrednio uruchomil otl i zapisac na penie oraz program malwarebytes za pomoca wiersza??

[picasso]

Wspominasz o OTL, a tu są nowe zasady działu i obowiązkowym raportem jest także FRST (uruchomiony spod Windows). W kwestii Trybu awaryjnego:

 

- Pobierasz na dowolnym dostępnym komputerze FRST i zapisujesz na pendrive. Pendrive podpinasz pod zainfekowany komputer.

- Startujesz do Trybu awaryjnego z obsługą Wiersza polecenia. W linii komend wpisujesz polecenie notepad i ENTER. To otworzy Notatnik, w Notatniku poprzez menu Otwórz > Mój komputer > sprawdzasz pod jaką literą jest widziany pendrive.

- W linii poleceń wpisujesz X:\FRST.exe (gdzie X to pobrana litera pendrive) i robisz zgodnie z opisem skan. Na pendrive powstaną logi, podaj je tu.

 

 

 

.

[brainq]

dobra wpisalem explorer.exe i teraz leci zaraz dam logi z otl sorry za zamieszanie i co do zasad jak zakonczy operacja zaznajomie z nimi rzadko bywam na forum.

[picasso]

Podtrzymuję, proszę również o raporty z FRST. To narzędzie jest nowsze i ma określone skany których nie ma w OTL.

[brainq]

Oto logi:

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Winlogon: [shell] explorer.exe,C:\Users\brainq\AppData\Roaming\Other.res [109568 2013-08-29] () 
HKLM-x32\...\Run: [] - [x]
AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [ ] ()
ProxyEnable: Internet Explorer proxy is enabled.
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=5AAD00240102E57D&affID=120695&tsp=4962
URLSearchHook: HKLM-x32 - BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - C:\Program Files (x86)\BitTorrentControl_v12\prxtbBitT.dll (Conduit Ltd.)
URLSearchHook: HKCU - BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - C:\Program Files (x86)\BitTorrentControl_v12\prxtbBitT.dll (Conduit Ltd.)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1382798608&from=cor&uid=SAMSUNGXHD322HJ_S17AJ90S556796
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382798608&from=cor&uid=SAMSUNGXHD322HJ_S17AJ90S556796&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382798608&from=cor&uid=SAMSUNGXHD322HJ_S17AJ90S556796&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382798608&from=cor&uid=SAMSUNGXHD322HJ_S17AJ90S556796&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382798608&from=cor&uid=SAMSUNGXHD322HJ_S17AJ90S556796&q={searchTerms}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=5AAD00240102E57D&affID=120695&tsp=4962
SearchScopes: HKCU - {C284EF20-BD5E-4147-B2C1-5F7120D3F582} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3225826&CUI=UN14797257712146312&UM=1
BHO-x32: BatBrowse - {b67b3dbb-c1c9-49d2-b016-2748b0b5017e} - C:\Program Files (x86)\BatBrowse\BatBrowseBHO.dll (BatBrowse)
BHO-x32: BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - C:\Program Files (x86)\BitTorrentControl_v12\prxtbBitT.dll (Conduit Ltd.)
BHO-x32: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals)
Toolbar: HKCU - No Name - {B6AC5E3C-5CEB-4E72-B451-F0E1BA983C14} - No File
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
CHR HKLM-x32\...\Chrome\Extension: [ccncljhbalbbkkfgopogabimepmfkmff] - C:\Program Files (x86)\BatBrowse\ccncljhbalbbkkfgopogabimepmfkmff.crx
CHR HKLM-x32\...\Chrome\Extension: [cekcjpgehmohobmdiikfnopibipmgnml] - C:\Users\brainq\AppData\Local\Google\Chrome\User Data\Default\Extensions\
S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-26] (BonanzaDeals)
S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-26] (BonanzaDeals)
S2 Update BatBrowse; C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe [66336 2013-11-07] ()
S2 Util BatBrowse; C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe [66336 2013-11-07] ()
Task: {3D0A5DE2-7A96-4FFD-B996-119B59B95778} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-26] (BonanzaDeals) 
Task: {5CD12A27-1CEB-495E-BC9A-73BEF8E26F3D} - System32\Tasks\BonanzaDealsUpdate => C:\Program
Task: {970D189F-FD4B-4AB5-80D2-6BD60BAB8EA4} - System32\Tasks\Dealply => C:\Users\brainq\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE 
Task: {9B712709-E84B-4BF1-AD53-392A8803E137} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert
Task: {9FFB6370-03C3-4BFC-9262-F80D4BB20CDE} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-26] (BonanzaDeals) 
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
C:\Users\brainq\AppData\Local\Temp\*.exe
C:\Users\brainq\AppData\Roaming\alsoft.ini
C:\Users\brainq\AppData\Roaming\Other.res
C:\Users\brainq\AppData\Roaming\Ruvu
C:\Users\brainq\AppData\Roaming\Moefze
C:\Users\brainq\AppData\Roaming\Beihix
C:\Program Files (x86)\mozilla firefox
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

System zostanie odblokowany. Loguj się normalnie i przeprowadź kolejne akcje:

 

2. Odinstaluj adware poprzez Panel sterowania: BatBrowse 1.0.0, BitTorrentControl_v12 Toolbar, Bonanza Deals.

 

3. Następnie wyczyść Google Chrome z adware:

- Ustawienia > karta Rozszerzenia > odinstaluj BatBrowse, BonanzaDeals, Extended Protection.

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

6. Zrób nowy skan FRST (zaznacz, by powstał ponownie plik Addition). Dołącz plik fixlog.txt oraz log utworzony przez AdwCleaner.

 

 

 

.