Boorekh Opublikowano 2 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2014 Witam, Komputer po infeksji ukash dnia 28.03.2014 jest zablokowany przez wyskakujaca strone znanej tresci. Dzieki Waszym cennym wpisom : http://www.fixitpc.p...ows/#entry32551 udalo mi sie dojsc do kroku ( czynnosc wykonalem przez pendriv'a) : "Wynikowo powstaje log o nazwie FRST.txt w tym samym miejscu z którego uruchomiono narzędzie FRST.exe, czyli na pendrive. Log ten należy nam przedstawić na forum". Bardzo prosze o diagnoze i pomoc co mam robic dalej. Tryb awaryjny automatycznie się zamyka. Tresc pliku FRST.txt ponizej: FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2014 muzyk75 Post usuwam. Ominąłeś najważniejszą modyfikację = usługę Winmgmt. Ta modyfikacja oznacza, że nie można wejść w Tryb awaryjny, o czym zresztą użytkownik zawiadomił, więc pytanie o wchodzenie do awaryjnego niezasadne. Boorekh Post poprawiony. Jest wyraźnie napisane w zasadach, że raporty mają być w formie załączników. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: S2 Winmgmt; C:\ProgramData\lf0elc4rj.faa [332020 2014-03-28] (Microsoft Corporation) HKLM-x32\...\Run: [repljhtkievy] - C:\Windows\System32\regsvr32.exe /s "C:\Windows\SysWow64\oriuvolxbelipfbbv.dll" HKLM-x32\...\Run: [fst_pl_14] - [X] HKU\asus\...\Run: [LiveSupport] - "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log Startup: C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lf0elc4rj.lnk GroupPolicy: Group Policy on Chrome detected C:\ProgramData\lf0elc4rj.faa C:\ProgramData\lf0elc4rj.bbr C:\ProgramData\jr4cle0fl.gsa C:\Users\asus\AppData\Local\Temp\*.exe C:\Users\asus\AppData\Local\Temp\*.dll C:\Windows\Tasks\bench-Updater removing.job C:\Windows\Tasks\bench-sys.job C:\Windows\SysWow64\oriuvolxbelipfbbv.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść na pendrive obok narzędzia FRST. 2. F8 > Napraw komputer > uruchom z pendrive FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. 3. Zaloguj się normalnie do Windows. Zrób nowe logi z FRST, tym razem mają powstać trzy: FRST, Addition i Shortcut. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Boorekh Opublikowano 3 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2014 Dziekuje za pomoc i instrukcje! W zalaczniku powstale pliki. Czekam na dalsze wskazowki Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2014 Boorekh, nie wiem czym robiłeś plik fixlist.txt, ale jego format nie był poprawny, tzn. nastąpiły "przełamania linii" powodujące, że niektóre wpisy zostały rozbite na dwie linie i pojawiły się błędy (m.in. jeden wpis infekcji nie został usunięty). Jako że będzie tu wdrażany kolejny skrypt, od razu mówię, że skrypt ma w Notatniku wyglądać identycznie jak w moim poście, żadnych dodatkowych przełań linii nie może być. Podstawowa infekcja blokująca została usunięta, ale w systemie jest też adware i należy to doczyścić. Będę też usuwać szczątki Google Chrome (nie wygląda na zainstalowane). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lf0elc4rj.lnk HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9640320AS_5WX1411K____5WX1411K&ts=1357756836 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Restore = http://isearch.avg.com/?cid={8EB66A9A-3054-428C-B4D7-D71B382594FB}&mid=346767be4fef47d0be55f1867682e3fb-ad109eed7d82129fa99f2439e66e0179dd8afcce&lang=pl&ds=xn011&pr=sa&d=2013-01-08 21:49:26&v=13.3.0.17&sap=hp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9640320AS_5WX1411K____5WX1411K&ts=1357756836 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9640320AS_5WX1411K____5WX1411K&ts=1357756836 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20111007180115649&tb_oid=07-10-2011&tb_mrud=07-10-2011 SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 SearchScopes: HKLM-x32 - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20111007180115649&tb_oid=07-10-2011&tb_mrud=07-10-2011 SearchScopes: HKCU - F6EA237BD13C4538845B7F4E4C396681 URL = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=702eec3e00000000000020cf30660a08 SearchScopes: HKCU - {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20130108&user_guid=971227D93A1C47359E4FF995780DC70E&machine_id=77713ea934c9a7c2b8cc18cd7dba0951&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541401857873905 SearchScopes: HKCU - {ECF6F383-5693-4CFB-8392-A9B1D54568E1} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=E81E811E-0CD2-4703-B6BB-00746D99C0E3&apn_sauid=6299E8C5-E1A2-43A6-8FBA-13AB34A6F5D4 SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20111007180115649&tb_oid=07-10-2011&tb_mrud=07-10-2011 BHO-x32: brincome browser plug-in - {71D73763-42AD-6E18-24FB-CCA9A5A8E839} - C:\Windows\SysWow64\oriuvolxbelipfbbv.dll No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKCU - No Name - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No File Toolbar: HKCU - No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File Hosts: 54.204.28.26 nikdaiaidiiiogaidkkekcmokcgcdeac FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox CHR HKLM\SOFTWARE\Policies\Google: Policy restriction S2 ATE_PROCMON; \??\C:\Program Files (x86)\Anti Trojan Elite\ATEPMon.sys [X] C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack C:\Users\asus\AppData\Local\Google C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab PDF Converter C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FDPRO-516" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GPUTemp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\messenger.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Następnie deinstalacje: - Przez Panel sterowania odinstaluj adware Performance Solution Brincome, RelevantKnowledge oraz przestarzały Trend Micro Internet Security. - W systemie uruchamia się też okropnie stary Anti Trojan Elite, ale nie ma wpisu na liście zainstalowanych. Wejdź do folderu C:\Program Files (x86)\Anti Trojan Elite i sprawdź czy jest plik "uninstall" lub coś podobnego. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz też kolejny plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
Boorekh Opublikowano 5 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 Dziekuje za dalsza instrukcje:) ! Wszystko wykonane zgodnie z instrukcja krok po kroku w zalaczniku logi Bede czekac na dalsze wskazowki. Czy moge rowniez prosic o informacje jaki program mam zainstalowac aby nie zlapac juz takich trojanow? FRST.txt Fixlog.txt AdwCleanerS0.txt AdwCleanerR0.txt Odnośnik do komentarza
Hotex Opublikowano 5 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 BoorekhJeśli nie chcesz żadnych trojanów w systemie, wystarczy mieć zainstalowany Google Chrome, a w nim wtyczki AdBlock, Avast! i Traffic Light - wtyczki zupełnie darmowe, Wtyczki chronią cię przed wyskakującymi reklamami i przed wyłudzaniem danych i przed śledzeniem.Konfigurację Google Chrome zrobisz łatwo, także nie bój się.Co jakiś czas możesz przeskanować kompa Esetem online, by się upewnić czy rzeczywiście nie masz żadnych wirusów ani trojanów.U mnie to działa w stu procentach i niczego nie złapałem, ani nie został mój komputer zablokowany ani zhakowany. Odnośnik do komentarza
picasso Opublikowano 5 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 Boorekh Wszystko zrobione na opak. 1. Po pierwsze, te działania miały być zrobione w FRST uruchomionym spod Windows (działa inaczej i więcej skanuje) a nie ze środowiska WinRE! Komputer nie jest już zablokowany, więc uruchomienie FRST z zewnątrz jest niezasadne. W logu z usuwania masowe zwroty "Error: The entry should be fixed outside recovery mode.". Końcowy log FRST także ze złego środowiska. 2. Po drugie, znów błędy wklejania przy robieniu pliku naprawczego. Mówiłam wyraźnie, że treść ma być 1:1 wklejona do Notatnika i żadnych przełamań. A tu znowu to się dzieje. Przykład, oto wejście które było w mojej instrukcji (jedna linia): Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Oto co wkleiłeś (i nic nie wykonało się, bo wpis jest traktowany jako inna ścieżka): Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f 3. Po trzecie, wyraźnie kierowałam do opisu AdwCleaner i strony domowej pobierania. Dlaczego więc AdwCleaner został pobrany z serwisu trzeciego (AdwCleaner_www.INSTALKI.pl.exe)? W związku z tym, że wszystko poszło nie tak, proszę o nowe logi z FRST spod Windows. Hotex Omawiane rozszerzenia są też dla Firefox. I proszę nie wklejaj tego samego tekstu w innych tematach. Zgłoszono to jako spam w raporcie. . Odnośnik do komentarza
Boorekh Opublikowano 5 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 Przepraszam Picasso nic mnie nie tlumaczy, bede bardziej skupiony przy wykonywaniu kolejnej instrukcji. Lamanie byc moze jest spowodowane zawijaniem wierszy - rowniez i na to zwroce uwage. Z rozpedu zrobilem jeszcze raz fix nie ze srodowiska Windows - mam nadzieje ze nie namieszalem jeszcze bardziej... Przesylam logi jeszcze raz. Z gory dziekuje za wyrozumialosc dla takiego laika jak ja : ) Addition.txt FRST.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
Boorekh Opublikowano 5 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 Boorekh Jeśli nie chcesz żadnych trojanów w systemie, wystarczy mieć zainstalowany Google Chrome, a w nim wtyczki AdBlock, Avast! i Traffic Light - wtyczki zupełnie darmowe, Wtyczki chronią cię przed wyskakującymi reklamami i przed wyłudzaniem danych i przed śledzeniem. Konfigurację Google Chrome zrobisz łatwo, także nie bój się. Co jakiś czas możesz przeskanować kompa Esetem online, by się upewnić czy rzeczywiście nie masz żadnych wirusów ani trojanów. U mnie to działa w stu procentach i niczego nie złapałem, ani nie został mój komputer zablokowany ani zhakowany. Dziekuje Hotex zastosuje wskazowki jak tylko zakoncze usuwanie ukash'a : ) Odnośnik do komentarza
Hotex Opublikowano 6 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2014 Boorekh Dziekuje Hotex zastosuje wskazowki jak tylko zakoncze usuwanie ukash'a : ) Ok, fajnie. Picasso: Hotex Omawiane rozszerzenia są też dla Firefox. Cieszę się, ze i w Firefoxie zastosowali te rozszerzenia. I proszę nie wklejaj tego samego tekstu w innych tematach. Zgłoszono to jako spam w raporcie. Nie rozumiem, jak drobna pomoc może być oznaczona jako spam. Poza tym czy ja wklejałem ten sam tekst do wszystkich tematów? Nie. Tylko w tym i w jeszcze jednym, tym bardziej nie rozumiem dlaczego ktoś oznaczył to jako spam :/ Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się