VVigor Opublikowano 6 Lipca 2011 Zgłoś Udostępnij Opublikowano 6 Lipca 2011 Witam. Otóz dzisiaj bawiłem się troche w ustawieniach internetowych, ponieważ mój system nie otwierał plików .exe. Wszystko cacy,restartuje komputer,bo musiałem odinstalować antywira, a po zalogowaniu czeka mnie miły ekranik; skórka podstawowa (windows 7) taka jak przy windows 1998 -.-' ,nie ma połączenia z internetem,nie można dosłownie niczego zmieniać... do tego nie można przywrócić systemu ! W każdym trybie,gdy włączam przywracanie wyskakuje mi błąd, że przywracanie jest wyłączone,no to idę tak jak pomoc mi każe i przy wejściu w "Ochronę systemu" dostaję błąd: Wystąpił neioczekiwany błąd na stronie właściwości: Usługa kopiowanie woluminów w tle używana przez funkcję przywracania systemu nie działa. Aby uzyskać więcej informacji, zobacz dziennik zdarzeń. (0x81000202) A,teraz w menedżerze zadań zmieniłem na "uruchamiaj normalnie",teraz internet działa,skórka jest taka jak powinna,usunęły mi się jednak punkty przywracania,mam w cholere wirusów ,a do tego gdy chcę jakieś usunąć to dostaję bluescreena... Na sam koniec co chwile otwiera mi się (sam!) IE z jakimiś reklamami... Przejechałem kompa CCleanerem,dwa restarty temu działał ... teraz znowu wyskakuje błąd,że opcje internetowe nie pozwalają na włączanie tego programu itepe... ehh znowu to samo ;/ ogólnie komp zaczął ładnie mulić od ostatniego tygodnia. A i zauważyłem jeszcze,siedze teraz w słuchawkach i nagle słysze ludzi gadających ze sobą jakieś pół minuty ;O potem dźwięk ustaje. Sceny rodem z horroru ; O Do tego gdy piszę to nagle tracę możliwość pisania,jakbym kliknął w inne miejsce. Logi dodałem A i kolejny problem ;/ wiem masakra z tym kompem : mam 2 powiadomienia ; nie włączone centrum ochronne windowsa,gdy próbuję włączyć wyskakuje błąd "nie można uruchomić usługi centrum zabezpieczeń ..." Z kolei gdy próbuję wejść w usługi to wyskakuje błąd odnośnie ActiveX Jakby co to drugim systemem (windows.old) jest XP Log z Gmera dodam później,bo to kupa czasu,na razie tylko z OTLa Extras.Txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2011 Zgłoś Udostępnij Opublikowano 7 Lipca 2011 Zakładanie podwójnych tematów jest bezsensowne i niemile widziane. Usuwam duplikat. Moderatorowi chodziło jedynie o klasyfikację problematyki, to nie była "instrukcja", by powielać temat. Problemy infekcji są rozwiązywane w jednym określonym dziale. Wyskakujące reklamy, błąd ActiveX przy otwieraniu przystawki (oraz również z tej samej przyczyny problem uruchamiania EXE), wyłączone Centrum, przestawianie się Ochrony systemu plików = skutki infekcji. Wszystkie błędy związane z ActiveX / strefami zabezpieczeń to pochodna klucza "L" wstawionego przez infekcję do układu stref zabezpieczeń Windows: KLIK. Link podany tylko poglądowo dla nakreślenia tła, gdyż ten klucz zaraz będę usuwać w grupie innych plików infekcji, nie jest to jedyny składnik u Ciebie "zaimplementowany". 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011-07-07 00:20:08 | 000,000,286 | -H-- | M] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2011-07-07 00:10:27 | 000,000,286 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2011-07-07 00:10:23 | 000,000,246 | -H-- | M] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job [2011-07-07 00:10:15 | 000,000,300 | -HS- | M] () -- C:\Windows\tasks\EXACTTWUT.job [2011-07-06 21:03:59 | 000,195,072 | RHS- | M] () -- C:\Windows\System32\msshau.dll [2011-07-06 20:55:00 | 000,000,000 | -HSD | C] -- C:\ProgramData\MPK :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\] :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przez Wykonaj skrypt. System będzie restartował. Po restarcie powinien się otworzyć automatycznie log z wynikami usuwania (jeśli nie, szukaj go w katalogu C:\_OTL) 2. Błędy relatywne do stref ustąpią i bez przeszkód będziesz mógł przestawić status usługi wyłączonej przez malware. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator, dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia ustaw na Automatycznie (opóźnione uruchomienie) plus usługę zastartuj przyciskiem. 3. Roboty deinstalacyjne, gdyż są tu adware-paski. Przejdź do Panelu sterowania do apletu deinstalacji i usuń: Babylon Toolbar, Conduit Engine, Softonic-Polska Toolbar. Powtórz ich usuwanie także w menedżerze rozszerze Firefox. 4. Wytwarzasz nowy log z OTL opcją Skanuj + log trybu skanu z AD-Remover. Dołącz też log uzyskany z usuwania w punkcie 1. . Odnośnik do komentarza
VVigor Opublikowano 7 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2011 To tak: teraz już programy otwierają się bez problemu,mimo,że w rejestrze nie miałem podfolderu L,jednak po tym wklejeniu i skanowaniu przez OTL wszystko zaczęło działać. ee.. Tylko jest jeden problem,gdy chcę wgrać log z OTLa po naprawieniu problemu forum wyskakuje mi z problemem : Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku co jest grane? nie ważne,wrzucam log z OTLa do posta. Nie wiem czemu OTl nie dał mi folderu Extras,więc wrzucam tylko OTL.txt All processes killed ========== OTL ========== C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job moved successfully. C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully. C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job moved successfully. C:\Windows\Tasks\EXACTTWUT.job moved successfully. C:\Windows\System32\msshau.dll moved successfully. C:\ProgramData\MPK\1 folder moved successfully. C:\ProgramData\MPK folder moved successfully. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\ deleted successfully. ========== COMMANDS ========== [EMPTYFLASH] User: Administrator User: All Users User: Dawid ->Flash cache emptied: 1785 bytes User: Default User: Default User User: Public Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator User: All Users User: Dawid ->Temp folder emptied: 1256359 bytes ->Temporary Internet Files folder emptied: 43367201 bytes ->Java cache emptied: 114791179 bytes ->FireFox cache emptied: 121206934 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 401408 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 583025 bytes RecycleBin emptied: 293977 bytes Total Files Cleaned = 269,00 mb OTL by OldTimer - Version 3.2.26.0 log created on 07072011_100315 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Ad-Report-SCAN1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2011 Zgłoś Udostępnij Opublikowano 7 Lipca 2011 Tylko jest jeden problem,gdy chcę wgrać log z OTLa po naprawieniu problemu forum wyskakuje mi z problemem : Błąd Nie masz uprawnień by wgrywać ten rodzaj plikuco jest grane? W zasadach działu jest napisane, że dopuszczam tylko Załączniki o rozszerzeniu *.TXT a nie *.LOG. Zmiana nazwy pliku i by się załączył. Ponadto, to krótki log i mógł wejść wprost do posta.... Przeklejam, by ograniczyć korowody z pobieraniem. Nie wiem czemu OTL nie dał mi folderu Extras,więc wrzucam tylko OTL.txt Brak uwagi. W konfiguracji jest powiedziane, by wszystko ustawić na "Użyj filtrowania". OTL uruchomiony więcej niż raz przestawia "Rejestr - skan dodatkowy" na "Brak" i należy ręcznie przełączyć na "Użyj filtrowania". Extras po raz drugi i tak nie jest mi potrzebny. To tak: teraz już programy otwierają się bez problemu,mimo,że w rejestrze nie miałem podfolderu L Był. Mówiłam: Link podany tylko poglądowo dla nakreślenia tła, gdyż ten klucz zaraz będę usuwać w grupie innych plików infekcji I to zrobiłam skryptem OTL, w którym stoi: ========== REGISTRY ==========Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\ deleted successfully. (ten klucz tylko w poście tak wygląda, kwestia przekodowania, w rejestrze wyświetlał się jako "L") Skrypt wykonany pomyślnie, pliki infekcji usunięte. Pozostały jeszcze śmieci po paskach. 1. Uruchom AD-Remover w trybie usuwania, by wykończył to co wykrył po Conduit. Jako uzupełnienie ładuj mały skrypt do OTL usuwający wpisy, których Ad-Remover nie ruszy. W OTL w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt. :OTL IE - HKU\S-1-5-21-3408581020-2640828358-2560692130-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - Reg Error: Key error. File not found O3 - HKU\S-1-5-21-3408581020-2640828358-2560692130-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=2&q=" 2. W przeglądarce Google Chrome także jest Babylon Toolbar: **** Google Chrome Version [12.0.742.112] **** Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x) Otwórz Google Chrome, w pasku adresów wklep chrome://extensions i odinstaluj Babylon. Jeśli tam go nie będzie, dokasuj ręcznie, tzn. w pasku adresów eksploratora wklej %localappdata%\Google\Chrome\Application i ENTER. Zostanie otworzony katalog, w którym będzie folder o nazwie wersji przeglądarki zawierający kolejny folder Extensions. To tam powinien być ów dhkplhfnhceodhffomolpfigojocbpcb do kasacji. 3. Następnie sprawdzanie pod kątem ewentualnych pozostałości po infekcji. Przeskanuj system przez Malwarebytes' Anti-Malware i przedstaw raport wynikowy. . Odnośnik do komentarza
VVigor Opublikowano 7 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2011 2. W przeglądarce Google Chrome także jest Babylon Toolbar: **** Google Chrome Version [12.0.742.112] **** Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x) Otwórz Google Chrome, w pasku adresów wklep chrome://extensions i odinstaluj Babylon. Jeśli tam go nie będzie, dokasuj ręcznie, tzn. w pasku adresów eksploratora wklej %localappdata%\Google\Chrome\Application i ENTER. Zostanie otworzony katalog, w którym będzie folder o nazwie wersji przeglądarki zawierający kolejny folder Extensions. To tam powinien być ów dhkplhfnhceodhffomolpfigojocbpcb do kasacji. Mam dwa foldery z wersjami i w tym i w tym w folderach extension pliku takowego nie ma,to samo w samej przeglądarce. Ogólnie komp wyszedł na prostą, niczego więcej już chyba nie potrzeba Daję jeszcze oczywiście log z malwarebytes' Dziękuję Ci Picasso za uratowanie mojego grata Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Wersja bazy: 7042 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 2011-07-07 18:52:38 mbam-log-2011-07-07 (18-52-26).txt Typ skanowania: Szybkie skanowanie Przeskanowano obiektów: 156256 Upłynęło: 7 minut(y), 35 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 2 Zainfekowanych wartości rejestru: 0 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 0 Zainfekowanych plików: 0 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\SQ4DY0FH7F (Trojan.FakeAlert.SA) -> No action taken. Zainfekowanych wartości rejestru: (Nie znaleziono zagrożeń) Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: (Nie znaleziono zagrożeń) Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2011 Zgłoś Udostępnij Opublikowano 7 Lipca 2011 (edytowane) Mam dwa foldery z wersjami i w tym i w tym w folderach extension pliku takowego nie ma,to samo w samej przeglądarce. Na wszelki wypadek jeszcze zapuść szukanie na dysku na nazwę dhkplhfnhceodhffomolpfigojocbpcb 1. W MBAM są wykryte dwa dodatkowe klucze od tej infekcji. Widzę tu "No action taken", a to ma być usunięte za pomocą MBAM. 2. Posprzątaj po używanych narzędziach: w OTL uruchom Sprzątanie + odinstaluj AD-Remover. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. Wprawdzie Ochrona systemu była tu zdeaktywowana początkowo, ale przynajmniej raz ją ożywiłeś i mogły się zrobić punkty przywracania z zapisami infekcji. 4. Aktualizacje: Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Gadu-Gadu 10" = Gadu-Gadu 10 - System nie jest zaktualizowany, należy zainstalować Service Pack 1 + Internet Explorer 9. Tak, IE także, niezależnie od tego że posługujesz się Firefox / Google Chrome. Z silnika IE korzystają funkcje systemu i musi być aktualizowany. Z ustawieniami IE miałeś tu zresztą do czynienia, strefy internetowe i kluczyk "L".... Do aktualizacji również wymienione produkty Adobe. Wszystkie szczegóły w tym temacie: INSTRUKCJE. - Mam też propozycję wymiany potwora GG10 alternatywą z obsługą GG10. W temacie Darmowe komunikatory do wglądu opisy: AQQ, Kadu, WTW, Miranda (tylko te spełniają warunki dobrej obsługi GG10). Mój typ to WTW, najlepiej z nich obsługuje Gadu. . Edytowane 20 Października 2011 przez picasso 12.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi