antii7 Opublikowano 12 Grudnia 2014 Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Witam, dostałem od kolegi laptopa, który był bardzo zainfekowany. Przeskanowałem go combofix i później avastem, dużo to pomogło. Komputer wygląda na to, ze chodzi normalnie, ale obawiam się że po tak dużym zawirusowaniu jeszcze coś w nim siedzi. Dlatego proszę o sprawdzenie logów i pomoc. Pozdrawiam FSS.txt Gmer log.txt OTL.Txt Extras.Txt Odnośnik do komentarza
przemo22 Opublikowano 12 Grudnia 2014 Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 http://gameplay.pl/news.asp?ID=85285 Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2014 Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 antii7, na temat używania ComboFix: KLIK. I przedstaw log C:\ComboFix.txt, bo musi być wiadome co on robił, oraz wycinki z dziennika Avast co usuwał. Dodatkowo, dostarczony tu zestaw logów jest niekompletny: KLIK. Proszę dostarcz logi z FRST. Odnośnik do komentarza
antii7 Opublikowano 12 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2014 Załączam logi z Combofix i FRST. Logów z avasta nie posiadam. FRST.txt Addition.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2014 Zgłoś Udostępnij Opublikowano 13 Grudnia 2014 Brakuje trzeciego pliku FRST Shortcut. Tu nie było wirusów tylko adware/PUP, nabyte na jeden z tych sposobów: KLIK. ComboFix to była niefortunnie dobrana metoda czyszczenia, zamiast poprawnych deinstalacji via Panel sterowania odbyło się selektywne usuwanie na chama z dysku. To ma skutki uboczne (więcej śmieci w rejestrze). Na przyszłość: zacznij od Panelu sterowania i szukaj nieznanych / podejrzanych programów do deinstalacji, potem w przeglądarkach powtarzasz proces wertując menedżery rozszerzeń, na koniec dopiero skany / automaty (i nie ComboFix). Do czyszczenia mamy: szczątki adware, obiekty sztucznie dorobione przez ComboFix (niepoprawne resety niektórych wpisów) oraz wpisy puste. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S1 {e4a6645a-3f85-4e1f-aa41-8367978844db}w64; system32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}w64.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] U5 AppMgmt; C:\Windows\system32\svchost.exe [29696 2012-09-20] (Microsoft Corporation) Task: {1CE1CAF8-B073-46B1-A482-0BAD5B740E62} - System32\Tasks\{28B123DB-0563-4657-9CB4-5E1642AA4F5C} => pcalua.exe -a "C:\Program Files (x86)\PopCap Games\Plants vs. Zombies\PopUninstall.exe" -c "C:\Program Files (x86)\PopCap Games\Plants vs. Zombies\Install.log" Task: {2ACDC6D4-7082-47C1-9173-C7224A0F2844} - \SPDriver No Task File Task: {600AE852-E36A-4FF2-81EE-8DC1DBF856A5} - \bench-sys No Task File Task: {9CC57E81-3703-44C3-BAAB-1C9CB8F9481C} - \SPBIW_UpdateTask_Time_323238343032363735322d2350785732325b6c342a2d45 No Task File Task: C:\windows\Tasks\NDFNWE.job => C:\Users\Mariola\AppData\Roaming\NDFNWE.exe Task: C:\windows\Tasks\PZBSD.job => C:\Users\Mariola\AppData\Roaming\PZBSD.exe Startup: C:\Users\Mariola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_05838380.lnk CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3331319&octid=EB_ORIGINAL_CTID&ISID=MA8376247-F9E9-488D-94FC-D64D6EE6B2DE&SearchSource=55&CUI=&UM=6&UP=SPC1C339F9-086D-4F72-BAB3-E869D1CB1FBA&SSPV= CHR StartupUrls: Default -> "hxxp://www.trovi.com/?gd=&ctid=CT3331319&octid=EB_ORIGINAL_CTID&ISID=MA8376247-F9E9-488D-94FC-D64D6EE6B2DE&SearchSource=55&CUI=&UM=6&UP=SPC1C339F9-086D-4F72-BAB3-E869D1CB1FBA&SSPV=" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1389066822-2107305290-2761972221-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1389066822-2107305290-2761972221-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1389066822-2107305290-2761972221-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-1389066822-2107305290-2761972221-1001 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKU\S-1-5-21-1389066822-2107305290-2761972221-1001 -> {5387967B-EEB6-4153-9D59-0F3C7606A394} URL = C:\Program Files (x86)\Bench C:\Program Files (x86)\CommonShare C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\predm C:\ProgramData\Kaspersky Lab C:\ProgramData\Norton C:\ProgramData\WPM C:\ProgramData\Temp C:\Users\Mariola\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Mariola\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Mariola\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Mariola\AppData\Roaming\systweak C:\Users\Mariola\Desktop\Wyczyść rejestr za darmo!.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SPDriver /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoobzoYouTubeAccelerator /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Super Optimizer" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_78 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SPDriver /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_211 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_79 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_99 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Sense /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5387967B-EEB6-4153-9D59-0F3C7606A394} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5387967B-EEB6-4153-9D59-0F3C7606A394} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config "Multimedia mobilNET. RunOuc" start= disabled CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Mariola\AppData\Local CMD: dir /a C:\Users\Mariola\AppData\LocalLow CMD: dir /a C:\Users\Mariola\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
antii7 Opublikowano 13 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2014 Załączam wygenerowane logi. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2014 Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Wszystko przetworzone. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Symantec C:\Program Files (x86)\SymSilent C:\Program Files (x86)\Temp C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\boost_interprocess C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\NortonInstaller C:\ProgramData\PopCap Games C:\ProgramData\Symantec C:\Users\Mariola\Doctor Web C:\Users\Mariola\AppData\Local\CrashDumps C:\Users\Mariola\AppData\Local\CrashRpt C:\Users\Mariola\AppData\Local\globalUpdate C:\Users\Mariola\AppData\LocalLow\{EA34C851-D481-49F5-A356-3A8B0A8F3B7E} C:\Users\Mariola\AppData\LocalLow\GoHD C:\Users\Mariola\AppData\LocalLow\Sense C:\Users\Mariola\AppData\Roaming\NDFNWE C:\Users\Mariola\AppData\Roaming\PZBSD C:\Users\Mariola\AppData\Roaming\WebApp RemoveDirectory: C:\Qoobox RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
antii7 Opublikowano 14 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Załączam logi. Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2014 Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Miałeś użyć tylko opcję Szukaj, a nie Szukaj + Usuń. AdwCleaner nie jest wolny od fałszywych alarmów, a niektóre kasacje można wykonać lepiej niż za pomocą programu. AdwCleaner grzebał w przeglądarce Opera, zamiast tego zadałabym poprawne deinstalacje obiektów z poziomu opcji przeglądarki (jest to proces bardziej naturalny). Poproszę jeszcze o skan preferencji Opera po tym zamieszaniu: Otwórz Notatnik i wklej w nim: Folder: C:\Users\Mariola\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Mariola\AppData\Roaming\Opera Software\Opera Stable\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
antii7 Opublikowano 15 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Załączam nowe logi. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2014 Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 W Operze jest nadal adware. Otwórz Operę, CTRL+SHIFT+E i w Rozszerzeniach odinstaluj CinemaPro 1.5V24.10 i GoHD. Potwierdź wykonanie zadania. Odnośnik do komentarza
antii7 Opublikowano 15 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Zrobione Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2014 Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Kończymy: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj poniżej zakreślone programy oraz rozważ aktualizację systemu do wersji Windows 8.1 - wszystko w w/w linku. Platform: Windows 8 (X64) OS Language: Angielski (Wielka Brytania) Internet Explorer Version 10 ==================== Installed Programs ====================== Adobe Reader X (10.1.3) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.3 - Adobe Systems Incorporated) Google Chrome (HKLM-x32\...\Google Chrome) (Version: 37.0.2062.120 - Google Inc.) Odnośnik do komentarza
antii7 Opublikowano 15 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Dziękuję bardzo za pomoc Picasso, jesteś Wielka. Odnośnik do komentarza
Rekomendowane odpowiedzi