bialykaszalot Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Kolega ma problem po użyciu combofixa. miał wirusy więc jakiś mądry kolega powiedział mu żeby użył combofixa to mu usunie wirusy, on to zrobił i.. wirusy usunięte ale klawiatura nie działa, ikonki pozmieniane (większość zamieniała się w ikonkę gry League of legends) w załączniku logi. OTL.Txt Addition.txt ComboFix.txt Extras.Txt FRST.txt Odnośnik do komentarza
kacpik6676 Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Pomoze ktos? jak cos to jest moj problem bialykaszalot pomaga, a mi zalezy na pomocy jak najszybciej bo brak klawy boli ;/ Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Komputer był i jest mocno zainfekowany (rootkit ZeroAccess, rootkit Necurs, adware...). Niedziałanie klawiatury to pewnie wynik pobytu rootkita Necurs, który zablokował większość sterowników Windows. Usunięcie rootkita ma priorytet, czyli zadania będą podawane partiami: 1. Uruchom ESET Necurs Remover i zresetuj system. 2. Po restarcie systemu zrób nowe logi FRST (zaznacz ponownie pole Addition, by powstały dwa logi) oraz zaległy GMER. . Odnośnik do komentarza
bialykaszalot Opublikowano 10 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Link do eseta wygasł (404 not found) czy w zamian tego może przeskanować TDSSKiller? podczas skanowania TDSSkillerem wykryło Necurs'a ale kolega woli poczekać na twoją decyzje czy usuwać czy co robić. Odnośnik do komentarza
Anonim8 Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 mogłeś na własną reke wpisać w google i zaraz byś miał link aktywny http://download.eset.com/special/ESETNecursCleaner.exe Odnośnik do komentarza
bialykaszalot Opublikowano 10 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Nie może odpalić go. klika tak program się zamyka, klika nie i to samo. spróbuje jeszcze w trybie awaryjnym, zrobię edita jbc c: // powiedziałem żeby spróbował w trybie awaryjnym, zrestartował kompa i... klawiatura nagle zaczęła działać :v zaraz dołączę log frst. /logi gotowe. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Brakuje raportu z GMER. A klawiatura zaczęła działać, bo sterowniki zostały odblokowane po usunięciu rootkita Necurs. Link do eseta wygasł (404 not found) czy w zamian tego może przeskanować TDSSKiller? Wcale nie wygasł. Podany przeze mnie link był poprawny. Jeśli pokazywało się "not found", to może infekcja to blokowała. Poza tym, teraz już mam wątpliwości które narzędzie zastosowano, ESET czy Kaspersky, wyraźnie się wypowiedz. I widzę na dysku folder C:\TDSSKiller_Quarantine. . Odnośnik do komentarza
Anonim8 Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Podany przeze mnie link był poprawny. Jeśli pokazywało się "not found", to może infekcja to blokowała. Sprawdzałem > tez miałem Not Found. Odnośnik do komentarza
bialykaszalot Opublikowano 10 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Kolega napisał że tylko skanował tdsskillerem ale nic nie usuwał. ESET był używany, była informacja że znalazł Necurs'a i były 2 możliwości do wyboru Tak i Nie. żadnej nie mógł wybrać bo program od razu się zamykał. log wstawię do 20 minut. Ten link co dał Belfegor normalnie działa a jest identyczny jak w twoim temacie. // Gmer zrobiony GMER.txt.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Belfegor Sprawdzałem > tez miałem Not Found. Skoro u Ciebie było "not found", to być może firma coś w linku podstawiała, albo był inny problem. bialykaszalot & kacpik6676 Po usunięciu rootkita możemy przejść do dalszego czyszczenia, bo jest tu jeszcze mnóstwo roboty. System potwornie zaśmiecony adware, a niektóre zostały co dopiero zainstalowane podczas próby rozwiązywania problemu, m.in. przy pobieraniu Avast (sic!): C:\Users\win7\Downloads\avast.Free.Antivirus_2014_9.0.2013.292 (37071).exe C:\Users\win7\Downloads\Gadwin-PrintScreen(12471).exe To nie są poprawne instalatory tylko portalowy "Asystent pobierania" (pewnie z dobrychprogramów.pl), którego cel to zaśmiecić system. Do czytania cały ten materiał: KLIK. Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe (Pandora.TV) C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe () C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe () C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe (AVG Secure Search) C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe () C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\loggingserver.exe (Systweak Inc) C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe (Akamai Technologies, Inc.) C:\Users\win7\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) C:\Users\win7\AppData\Local\Akamai\netsession_win.exe () C:\Program Files (x86)\AVG Secure Search\vprot.exe (Ask) C:\Program Files (x86)\Ask.com\Updater\Updater.exe () C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [vProt] - C:\Program Files (x86)\AVG Secure Search\vprot.exe [2552856 2014-02-03] () HKLM-x32\...\Run: [] - [X] HKLM-x32\...\Run: [ApnUpdater] - C:\Program Files (x86)\Ask.com\Updater\Updater.exe [1648264 2013-04-25] (Ask) HKLM-x32\...\Run: [Regedit32] - C:\Windows\SysWOW64\regedit.exe [398336 2009-07-14] (Microsoft Corporation) HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [746176 2013-11-01] () HKU\S-1-5-21-2985978322-4174081002-1716717453-1000\...\Run: [Akamai NetSession Interface] - C:\Users\win7\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.) HKU\S-1-5-21-2985978322-4174081002-1716717453-1000\...\Run: [Regedit32] - C:\Windows\system32\regedit.exe HKU\S-1-5-21-2985978322-4174081002-1716717453-1000\...\Run: [softonic for Windows] - C:\Users\win7\AppData\Local\Softonic\Softonic.exe [4140016 2014-01-17] (Softonic) HKU\S-1-5-21-2985978322-4174081002-1716717453-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] - C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe [1266712 2013-05-31] (AVG Secure Search) HKU\S-1-5-21-2985978322-4174081002-1716717453-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] - C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe [1266712 2013-06-07] (AVG Secure Search) AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\loader.dll [1958880 2013-11-18] () AppInit_DLLs-x32: c:\PROGRA~3\BitGuard\271832~1.68\{C16C1~1\BitGuard.dll => C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll [3618304 2013-11-18] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1383242864&from=cor&uid=ST500DM002-1BD142_Z2AYQQQAXXXXZ2AYQQQA HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?affID=119370&tt=190313_wo1&babsrc=HP_ss_gin2g&mntrId=C2683085A98D4FF2 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1383242864&from=cor&uid=ST500DM002-1BD142_Z2AYQQQAXXXXZ2AYQQQA HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1383242864&from=cor&uid=ST500DM002-1BD142_Z2AYQQQAXXXXZ2AYQQQA HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1383242864&from=cor&uid=ST500DM002-1BD142_Z2AYQQQAXXXXZ2AYQQQA URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383242864&from=cor&uid=ST500DM002-1BD142_Z2AYQQQAXXXXZ2AYQQQA&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383242864&from=cor&uid=ST500DM002-1BD142_Z2AYQQQAXXXXZ2AYQQQA&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383242864&from=cor&uid=ST500DM002-1BD142_Z2AYQQQAXXXXZ2AYQQQA&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383242864&from=cor&uid=ST500DM002-1BD142_Z2AYQQQAXXXXZ2AYQQQA&q={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119370&tt=190313_wo1&babsrc=SP_ss&mntrId=C2683085A98D4FF2 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383242864&from=cor&uid=ST500DM002-1BD142_Z2AYQQQAXXXXZ2AYQQQA&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6AB6ACED-1D8F-45DD-A76C-6E8A9DE04C63}&mid=da1fee0c96d44f9081720844c4f27dcc-4546c5d6091a027045a53985070398a815c2493c&lang=pl&ds=ax011&pr=&d=2012-10-08 16:03:16&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {AAF47223-F7F5-4ED8-BF00-7E27C8A91EF1} URL = http://www.claro-search.com/?q={searchTerms}&affID=110824&tt=4312_6&babsrc=SP_ss&mntrId=c268b1fa0000000000003085a98d4ff2 SearchScopes: HKCU - {F7FD647C-5D47-4225-9A9F-0C6A64B116C2} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=3B8798F8-C8CB-44C5-ABB4-B9137B1BC065&apn_sauid=37078711-FDCC-41BA-AA84-8BB4D085D8C7 BHO-x32: Claro LTD Helper Object - {000F18F2-09EB-4A59-82B2-5AE4184C39C3} - C:\Program Files (x86)\Claro LTD\claro\1.8.3.10\bh\claro.dll (Montera Technologeis LTD) BHO-x32: mixidj Helper Object - {4D6A9BBF-402C-4301-B1EF-28D04F71D761} - C:\Program Files (x86)\mixidj\mixidj\1.8.4.1\bh\mixidj.dll (MixiDJ) BHO-x32: SaveSense - {71e129ff-6c2a-4984-818c-7e2c998b8d99} - C:\Users\win7\AppData\Local\SaveSense\SaveSenseIE.dll (SaveSense) BHO-x32: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\17.3.0.49\AVG Secure Search_toolbar.dll (AVG Secure Search) BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com) BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) BHO-x32: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) Toolbar: HKLM-x32 - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\17.3.0.49\AVG Secure Search_toolbar.dll (AVG Secure Search) Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) Toolbar: HKLM-x32 - Claro LTD Toolbar - {9E131A93-EED7-4BEB-B015-A0ADB30B5646} - C:\Program Files (x86)\Claro LTD\claro\1.8.3.10\claroTlbr.dll (Montera Technologeis LTD) Toolbar: HKLM-x32 - MixiDJ Toolbar - {CA9B9C89-4662-4ADC-9C23-A452BECD5D19} - C:\Program Files (x86)\mixidj\mixidj\1.8.4.1\mixidjTlbr.dll (MixiDJ) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com) Handler-x32: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\17.3.0\ViProtocol.dll (AVG Secure Search) CHR HKLM-x32\...\Chrome\Extension: [boipimhfjpakfgckhbljjengakjhkcbp] - C:\Users\win7\AppData\Roaming\CRMixiDJTB\mixiDJ.crx [2013-02-05] CHR HKLM-x32\...\Chrome\Extension: [ccncljhbalbbkkfgopogabimepmfkmff] - C:\Program Files (x86)\BatBrowse\ccncljhbalbbkkfgopogabimepmfkmff.crx [2013-02-05] CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\win7\AppData\Roaming\BabSolution\CR\Delta.crx [2013-02-05] CHR HKLM-x32\...\Chrome\Extension: [kpepfkjapeclaafmhoelccknpfedainn] - C:\Program Files (x86)\mixidj\mixidj\1.8.4.1\mixidj.crx [2012-11-13] CHR HKLM-x32\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\17.3.0.49\avg.crx [2014-01-08] Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 01 %SystemRoot%\System32\mswsock.dll [320000] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Task: {1D1A4A87-F1BD-430D-8204-D2699A5DFC2D} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-12-10] (Systweak Inc) Task: {26F7DDB7-39D8-4A3B-BF4D-4ECD13B5480E} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-01] (BonanzaDeals) Task: {2A85C3C4-8A96-4F33-826A-A91621107D02} - System32\Tasks\PC Performer => C:\Program Files (x86)\PC Performer\PCPerformer.exe Task: {3311B86D-77D2-41EA-8921-FE93EAB34DA8} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-12-10] (Systweak Inc) Task: {41BEE9AE-7D80-4102-9E4C-22D84DFCB814} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2013-04-25] () Task: {423BC4A1-F70D-48D0-9201-76C4712A94C2} - System32\Tasks\{E6E5484E-F187-426C-BCB3-730EDD4F0C0A} => Firefox.exe http://ui.skype.com/ui/0/6.0.0.120.259/pl/abandoninstall?page=tsMain Task: {46E82F5B-4CEC-4DC3-86FC-C2194BE347EA} - System32\Tasks\Adobe Flash Player Updater Task: {56C1C39B-44E3-4365-80C2-8827DB5E8294} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-01] (BonanzaDeals) Task: {6DA06F35-1A95-4370-BD33-9FF60F9B64E7} - System32\Tasks\{A14CFDBB-71D4-4AD1-96D2-2B1EC4EFFCBB} => D:\LoL\League of Legends\RADS\system\rads_user_kernel.exe Task: {744E036A-4C2C-4521-B32B-F5025C12D8B6} - System32\Tasks\AdobeFlashPlayerUpdate 2 Task: {782503AE-CD0D-4A71-A3FE-58FBEF60194B} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {9FC8135C-4545-4E25-916E-C0800C077891} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-12-10] (Systweak Inc) Task: {ACB3845D-DD62-4482-85A9-5A714B561206} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {D87897EE-CF28-4707-BA4D-4FCFCA59F2B6} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {FDBD43D7-A5A7-48F1-A76F-3BAAFD90F496} - System32\Tasks\AdobeFlashPlayerUpdate Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => ? Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Google Update Helper (x32 Version: 1.3.23.0 - BonanzaDeals) Hidden S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-01] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-01] (BonanzaDeals) R2 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe [578264 2011-12-21] (Pandora.TV) R2 Update BatBrowse; C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe [80160 2014-02-05] () R2 Util BatBrowse; C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe [80160 2014-02-05] () R2 vToolbarUpdater17.3.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe [1771544 2014-01-08] (AVG Secure Search) R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2014-01-02] (Cherished Technololgy LIMITED) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\98560968.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\98560968.sys => ""="Driver" testsigning: ==> Check for possible unsigned rootkit driver C:\Users\win7\*.exe C:\Users\win7\AppData\Roaming\BabSolution C:\Users\win7\AppData\Roaming\Babylon C:\Users\win7\AppData\Roaming\DLKNFUF83457 C:\Users\win7\AppData\Roaming\File Scout C:\Users\win7\AppData\Roaming\KJN13S4UVR5HV C:\Users\win7\AppData\Roaming\VMFNTN8945 C:\Users\win7\AppData\Local\{5D70B5D6-274D-4B71-AEFE-1DDD443CC7CB} C:\Users\win7\AppData\Local\SaveSense C:\Users\win7\AppData\Local\SaveSenseLive C:\Users\win7\AppData\Local\Temp\{0DB35E2A-15AD-49B0-BC01-46DD3D366862}.exe C:\Users\win7\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\win7\Downloads\avast.Free.Antivirus_2014_9.0.2013.292 (37071).exe C:\Users\win7\Downloads\Gadwin-PrintScreen(12471).exe C:\Users\win7\Downloads\ps_setup.exe C:\Users\win7\Downloads\setup_przyspiesz_ndw556hqu.exe C:\Windows\system32\Drivers\iuzzblbf.sys C:\Windows\system32\Drivers\jfmspnpr.sys C:\Windows\system32\Drivers\tteiapif.sys C:\Windows\system32\Drivers\hrgccsil.sys Folder: C:\Users\win7\AppData\Roaming\BoL Folder: C:\Users\win7\AppData\Roaming\XulTest Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj następujące programy adware: Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, BatBrowse 1.0.0, BitGuard, Bonanza Deals, Claro LTD toolbar, Delta Chrome Toolbar, Delta toolbar, Foxtab, Google Update Helper (od adware BonazaDeals), MixiDJ Chrome Toolbar, MixiDJ Toolbar, Mobogenie, Open FM Packages, Pandora Service, PC Performer, Przyspiesz.pl 2.3.0.0, qone8 Browser Protecter, Qtrax Player (2 pozycje), RegClean Pro, Softonic for Windows, WPM17.8.0.3297. Również do deinstalacji zbędnik Akamai NetSession Interface. 3. Firefox mocno zanieczyszczony, ale nie opłaca się go czyścić, bo to stara wersja Firefox 19.0. O ile potrzebne, za pomocą MozBackup skopiuj zakładki + hasła (i nic więcej, by nie zrobić zaśmieconej kopii). Następnie odinstaluj Firefox, a przy pytaniu o usuwanie "danych użytkownika" potwierdź. 4. Google Chrome ma kompletnie zdewastowane preferencje. Dla tej przeglądarki następujące akcje: Ustawienia > karta Rozszerzenia > odinstaluj wszystko co się powtarza na w/w liście programów adware Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom Shortcut Cleaner. Na Pulpicie powstanie log sc-cleaner.txt. 7. Zrób nowe logi: FRST (zaznacz ponownie pole Addition, by powstały dwa logi) + OTL (bez Extras) + Farbar Service Scanner. Dołącz także pliki: fixlog.txt, sc-cleaner.txt oraz logi z AdwCleaner. . Odnośnik do komentarza
Anonim8 Opublikowano 11 Lutego 2014 Zgłoś Udostępnij Opublikowano 11 Lutego 2014 Skoro u Ciebie było "not found", to być może firma coś w linku podstawiała, albo był inny problem. Nie wiem Pika. Wiesz że ja się taki sprawami nie przejmuję. Kiedyś chciałem pobrać przez link fixitpc.pl Adobe flash playera i tez nie mogłem. Ogólnie mówiąc to nie są dla mnie problemy. Sorki z off. Odnośnik do komentarza
kacpik6676 Opublikowano 12 Lutego 2014 Zgłoś Udostępnij Opublikowano 12 Lutego 2014 Jeszcze raz ja otóż mam problem z wykonaniem tych pkt 1-7 nie rozumiem ich... ; // Czy zna pani kogoś kto to potrafi i by pomógł, gdyż na skype nie widziałem BiałegoKaszalota a on to potrafi ale "drugiej" osoby nie znam, a chciałbym naprawić system jak najszybciej się da. Z góry dziękuje. Odnośnik do komentarza
picasso Opublikowano 12 Lutego 2014 Zgłoś Udostępnij Opublikowano 12 Lutego 2014 kacpik6676 to jest proste i nie ma co szukać innych osob do pomocy. Z czym konkretnie masz problem? Odnośnik do komentarza
bialykaszalot Opublikowano 12 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2014 Już mu pomagam z tymi skryptami, usuwaniem itd. c: wstawię tutaj fixlogi itd. c: EDIT: Logi gotowe ;-;, nie da się usunąć Ask toolbar updater Open FM Packages. Open fm ma 0kb a ask toolbar zwraca błąd "nie masz praw administratora" czy jakoś tak sc-cleaner.txt Addition.txt AdwCleanerR0.txt AdwCleanerS0.txt Fixlog.txt FRST.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2014 Zgłoś Udostępnij Opublikowano 13 Lutego 2014 Open fm ma 0kb a ask toolbar zwraca błąd "nie masz praw administratora" czy jakoś tak Ale oba programy zniknęły już z listy zainstalowanych. Ogólnie prawie wszystkie operacje wykonane, choć FRST wywalił kilka błędów i są wymagane i inne poprawki: 1. Otwórz Notatnik i wklej w nim: Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{26F7DDB7-39D8-4A3B-BF4D-4ECD13B5480E} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{26F7DDB7-39D8-4A3B-BF4D-4ECD13B5480E} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsLiveUpdateTaskMachineCore Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{2A85C3C4-8A96-4F33-826A-A91621107D02} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2A85C3C4-8A96-4F33-826A-A91621107D02} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PC Performer Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3311B86D-77D2-41EA-8921-FE93EAB34DA8} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3311B86D-77D2-41EA-8921-FE93EAB34DA8} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_UPDATES Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41BEE9AE-7D80-4102-9E4C-22D84DFCB814} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41BEE9AE-7D80-4102-9E4C-22D84DFCB814} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{423BC4A1-F70D-48D0-9201-76C4712A94C2} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{423BC4A1-F70D-48D0-9201-76C4712A94C2} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E6E5484E-F187-426C-BCB3-730EDD4F0C0A} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{46E82F5B-4CEC-4DC3-86FC-C2194BE347EA} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{46E82F5B-4CEC-4DC3-86FC-C2194BE347EA} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player Updater Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{56C1C39B-44E3-4365-80C2-8827DB5E8294} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56C1C39B-44E3-4365-80C2-8827DB5E8294} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsLiveUpdateTaskMachineUA Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6DA06F35-1A95-4370-BD33-9FF60F9B64E7} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6DA06F35-1A95-4370-BD33-9FF60F9B64E7} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{A14CFDBB-71D4-4AD1-96D2-2B1EC4EFFCBB} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{744E036A-4C2C-4521-B32B-F5025C12D8B6} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{744E036A-4C2C-4521-B32B-F5025C12D8B6} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeFlashPlayerUpdate 2 Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{782503AE-CD0D-4A71-A3FE-58FBEF60194B} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{782503AE-CD0D-4A71-A3FE-58FBEF60194B} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BitGuard Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9FC8135C-4545-4E25-916E-C0800C077891} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9FC8135C-4545-4E25-916E-C0800C077891} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_DEFAULT Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{ACB3845D-DD62-4482-85A9-5A714B561206} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ACB3845D-DD62-4482-85A9-5A714B561206} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Game_Booster_AutoUpdate Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D87897EE-CF28-4707-BA4D-4FCFCA59F2B6} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D87897EE-CF28-4707-BA4D-4FCFCA59F2B6} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsUpdate Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FDBD43D7-A5A7-48F1-A76F-3BAAFD90F496} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FDBD43D7-A5A7-48F1-A76F-3BAAFD90F496} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeFlashPlayerUpdate Task: {26F7DDB7-39D8-4A3B-BF4D-4ECD13B5480E} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File Task: {2A85C3C4-8A96-4F33-826A-A91621107D02} - \PC Performer No Task File Task: {423BC4A1-F70D-48D0-9201-76C4712A94C2} - \{E6E5484E-F187-426C-BCB3-730EDD4F0C0A} No Task File Task: {46E82F5B-4CEC-4DC3-86FC-C2194BE347EA} - \Adobe Flash Player Updater No Task File Task: {56C1C39B-44E3-4365-80C2-8827DB5E8294} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File Task: {6DA06F35-1A95-4370-BD33-9FF60F9B64E7} - \{A14CFDBB-71D4-4AD1-96D2-2B1EC4EFFCBB} No Task File Task: {744E036A-4C2C-4521-B32B-F5025C12D8B6} - \AdobeFlashPlayerUpdate 2 No Task File Task: {ACB3845D-DD62-4482-85A9-5A714B561206} - \Game_Booster_AutoUpdate No Task File Task: {FDBD43D7-A5A7-48F1-A76F-3BAAFD90F496} - \AdobeFlashPlayerUpdate No Task File C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Przyspiesz C:\ProgramData\WPM C:\Users\Lee sin\daemonprocess.txt C:\Users\Lee sin\AppData\Local\avgchrome C:\Users\Lee sin\AppData\Local\AVG Secure Search C:\Users\Lee sin\AppData\Local\XulTest C:\Users\Lee sin\AppData\Roaming\Systweak C:\Users\Lee sin\AppData\Roaming\XulTest C:\Users\win7\AppData\Roaming\FoxTab C:\Users\win7\Desktop\Wyczyść rejestr za darmo!.lnk Reg: reg add "HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001" /v LibraryPath /t REG_SZ /d ^%SystemRoot^%\system32\NLAapi.dll /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q C:\TDSSKiller_Quarantine CMD: rd /s /q C:\Users\win7\Desktop\FRST-OlderVersion CMD: rd /s /q C:\Users\win7\Downloads\FRST-OlderVersion CMD: del /q C:\Users\win7\Downloads\njmkh7rf.exe CMD: del /q C:\Users\win7\Downloads\ESETNecursCleaner.* CMD: del /q C:\Users\win7\Downloads\tdsskiller.exe CMD: del /q C:\sc-cleaner.txt CMD: C:\Users\win7\Downloads\ComboFix.exe /uninstall Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Uruchomi się także deinstalacja ComboFix i proszę czekaj cierpliwie, aż ukończy się ten proces. 2. Preferencje Google Chrome są uszkodzone i nie wygląda na to, by odbył się reset. Powtórz: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
bialykaszalot Opublikowano 13 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2014 zrobione, załączam logi. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2014 Zgłoś Udostępnij Opublikowano 13 Lutego 2014 1. Mała poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001" /v LibraryPath /t REG_SZ /d ^%SystemRoot^%\system32\NLAapi.dll /f Unlock: C:\Qoobox CMD: rd /s /q C:\Qoobox CMD: del /q C:\ComboFix.txt CMD: del /q C:\Users\win7\Downloads\ESETNecursCleaner(1).exe CMD: del /q C:\Users\win7\Downloads\sc-cleaner.exe CMD: del /q C:\Users\win7\Downloads\adwcleaner.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Punkt dwa nadal wygląda na nie wykonany (lub są okoliczności uniemożliwiające poprawną akcję). Niezmiennie stoi to: Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. CHR Extension: (avast! Online Security) - C:\Users\win7\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2014-02-06] CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2014-02-06] Opisz mi co widzisz podczas uruchamiania Google Chrome (jakiś błąd?), co się dzieje podczas resetowania ustawień przeglądarki. . Odnośnik do komentarza
bialykaszalot Opublikowano 13 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2014 Opisz mi co widzisz podczas uruchamiania Google Chrome (jakiś błąd?), co się dzieje podczas resetowania ustawień przeglądarki. wchodzi w Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki, potem pojawia mu się okienko z resetowaniem, klika resetuj i tyle. nic więcej mu się nie pojawia. log zaraz wstawię. EDIT: log gotowy, nowego loga też zrobić? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2014 Zgłoś Udostępnij Opublikowano 13 Lutego 2014 1. Proponuję przeinstalować Google Chrome. Wyeksportuj zakładki, odinstaluj Google Chrome via Panel sterowania (przy pytaniu o usuwanie danych osobistych odpowiedz twierdząco), zainstaluj nowe Google Chrome i zaimportuj zakładki. 2. Zrób nowy log FRST (bez Addition). nowego loga też zrobić? Jeśli nie proszę, to znaczy że nie. A powyżej padła jednak taka prośba, bo będzie zmiana wywołana reinstalacją Google Chrome. . Odnośnik do komentarza
bialykaszalot Opublikowano 13 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2014 gotowe. FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2014 Zgłoś Udostępnij Opublikowano 13 Lutego 2014 Google Chrome ma teraz poprawne preferencje. Wszystko zrobione. Przechodzimy do części wykańczającej: 1. Ponownie uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL (omijasz Kosz) skasuj te foldery (przy pytaniu o "usuwanie plików systemowych" potwierdź): C:\FRST C:\Windows\erdnt ... oraz inne pobrane narzędzia (z wyjątkiem OTL) i logi w katalogach Pulpit i Pobrane. W OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Jeżeli coś zostanie wykryte, przedstaw raport. Jeśli nic, raport zbędny . Odnośnik do komentarza
student Opublikowano 13 Lutego 2014 Zgłoś Udostępnij Opublikowano 13 Lutego 2014 4. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną)… W instalatorze wciąż jak pamiętam jest opcja aktywacji funkcji testowych na końcu instalacji. Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2014 Zgłoś Udostępnij Opublikowano 13 Lutego 2014 student, właśnie o tym mówię, ma nie zaznaczać triala. . Odnośnik do komentarza
bialykaszalot Opublikowano 13 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2014 większość zrobiona, zostaje tylko skan MBAM'em. jeszcze 1 jest problem, większość programów uruchamia się przez notatnik, da się coś z tym zrobić? Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2014 Zgłoś Udostępnij Opublikowano 13 Lutego 2014 większość programów uruchamia się przez notatnik, da się coś z tym zrobić? No tak, ale "programy", czyli docelowe EXE czy ich skróty LNK? Pobierz Unassoc. W Opcjach folderów odznacz "Ukrywaj rozszerzenia znanych typów plików", by widzieć rozszerzenie, i ręcznie zmień go z EXE na COM. Uruchom program, na liście wyszukaj po kolei EXE i LNK. Sprawdź czy jest czynna opcja "Remove file association (User)", a jeśli to użyj jej. Restart systemu. . Odnośnik do komentarza
Rekomendowane odpowiedzi