Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Zawirusowany komputer




  • Zamknięty Temat jest zamknięty
31 odpowiedzi w tym temacie

#1 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 26 08 2016 - 19:37

Witam serdecznie .Koleżanka przyniosła mi lapka i ... proszę o pomoc. udało mi się tylko zrobić skany z otl inne nie wchodzą  Oto logi : http://wklej.org/id/2798245/   http://wklej.org/id/2798251/ z góry dziękuję za pomoc :)



#2 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 26 08 2016 - 21:13

Udało mi się jeszcze zrobić skan adwCleaner oto log : http://wklej.org/id/2798330/



#3 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5780 postów
  • Płeć:Mężczyzna

Napisano 26 08 2016 - 21:34

1) Adw-Cleaner: najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

 

2) Użyj USBFix,  >http://www.searcheng...67
Kliknij w nim na: CLEAN.
Daj raport z tego usuwania.

 

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2016-08-25 21:59:33 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\mntemp
[2016-08-22 15:07:04 | 000,098,304 | ---- | M] (gy) -- C:\Documents and Settings\All Users\All Users.exe
[2016-08-22 15:07:04 | 000,077,824 | -H-- | M] (gy) -- C:\WINDOWS\WINDOWS.exe
[2016-08-22 15:07:04 | 000,077,824 | -H-- | M] (gy) -- C:\WINDOWS.EXE
[2016-08-22 15:07:04 | 000,077,824 | -H-- | M] (gy) -- C:\Documents and Settings\olka\Pulpit\Pulpit.exe
[2016-08-22 15:07:04 | 000,077,824 | -H-- | M] (gy) -- C:\Program Files\Program Files.exe
[2016-08-22 15:07:04 | 000,077,824 | -H-- | M] (gy) -- C:\Documents and Settings\olka\olka.exe
[2016-08-22 15:07:04 | 000,077,824 | -H-- | M] (gy) -- C:\Documents and Settings\olka\Moje dokumenty\Moje dokumenty.exe
[2016-08-22 15:07:04 | 000,077,824 | -H-- | M] (gy) -- C:\Documents and Settings\olka\Dane aplikacji\Dane aplikacji.exe
[2016-08-22 15:07:04 | 000,077,824 | -H-- | M] (gy) -- C:\Program Files\Common Files\Common Files.exe
[2016-08-22 15:07:04 | 000,077,824 | ---- | M] (gy) -- C:\Ghost.bat
[2016-08-22 15:07:04 | 000,077,824 | ---- | M] (gy) -- C:\Documents and Settings\All Users\Dane aplikacji\Dane aplikacji.exe
[2016-08-21 14:58:57 | 000,077,824 | -H-- | C] (gy) -- C:\Documents and Settings\olka\Default User.exe
[2016-08-22 15:07:02 | 000,098,304 | ---- | C] (gy) -- C:\Documents and Settings\All Users\All Users.exe
[2016-08-22 15:07:02 | 000,077,824 | -H-- | C] (gy) -- C:\WINDOWS\WINDOWS.exe
[2016-08-22 15:07:02 | 000,077,824 | -H-- | C] (gy) -- C:\WINDOWS.EXE
[2016-08-22 15:07:02 | 000,077,824 | -H-- | C] (gy) -- C:\Documents and Settings\olka\Pulpit\Pulpit.exe
[2016-08-22 15:07:02 | 000,077,824 | -H-- | C] (gy) -- C:\Program Files\Program Files.exe
[2016-08-22 15:07:02 | 000,077,824 | -H-- | C] (gy) -- C:\Documents and Settings\olka\olka.exe
[2016-08-22 15:07:02 | 000,077,824 | -H-- | C] (gy) -- C:\Documents and Settings\olka\Moje dokumenty\Moje dokumenty.exe
[2016-08-22 15:07:02 | 000,077,824 | -H-- | C] (gy) -- C:\Documents and Settings\olka\Dane aplikacji\Dane aplikacji.exe
[2016-08-22 15:07:02 | 000,077,824 | -H-- | C] (gy) -- C:\Program Files\Common Files\Common Files.exe
[2016-08-22 15:07:02 | 000,077,824 | ---- | C] (gy) -- C:\Documents and Settings\All Users\Menu Start\Programy\Programy.exe
[2016-08-22 15:07:02 | 000,077,824 | ---- | C] (gy) -- C:\Ghost.bat
[2016-08-22 15:07:02 | 000,077,824 | ---- | C] (gy) -- C:\Documents and Settings\All Users\Dane aplikacji\Dane aplikacji.exe
[2016-08-22 15:07:02 | 000,077,824 | ---- | C] (gy) -- C:\WINDOWS\Fonts\6100D111111.com
[2016-08-22 15:07:02 | 000,077,824 | ---- | C] (gy) -- C:\WINDOWS\Fonts\1C5EC.com
O33 - MountPoints2\{53942630-6ae2-11e6-ab93-a6349fa22ef5}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O32 - AutoRun File - [2008-04-15 14:00:00 | 000,059,308 | RHS- | M] () - E:\AutoRun.inf -- [ FAT32 ]
O4 - HKLM..\Run: [TempCom] C:\WINDOWS\Fonts\1C5EC.com (gy)
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico0]  File not found
O4 - HKLM..\Run: [tray_ico1]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe (Cronosoft)
O4 - HKLM..\Run: [DriverCD] E:\Run.exe File not found
O2 - BHO: (SaalesCheickEr) - {7A7A0C2E-604A-420A-BEC2-B2C822BF1915} - C:\Program Files\SaalesCheickEr\VmcOCdA2Xrxdqe.dll ()
O2 - BHO: (PRinnceCoupon) - {BE51D9C7-229B-43B9-A995-BDDDD80AD512} - C:\Program Files\PRinnceCoupon\VRBCR0IMiWmAdV.dll ()
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\FaceSmooch Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (FaceSmooch Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\FaceSmooch Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/facesmooch3/{3214D0AD-D604-4F25-A3A9-0C3A8437CE63}
IE - HKCU\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\FaceSmooch Toolbar\tbhelper.dll ()
IE - HKCU\..\SearchScopes,DefaultScope = {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpr...er/facesmooch3/{3214D0AD-D604-4F25-A3A9-0C3A8437CE63}?q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/facesmooch3/{3214D0AD-D604-4F25-A3A9-0C3A8437CE63}
IE - HKLM\..\SearchScopes,DefaultScope = {2f23ab71-4ac6-41f2-a955-ea576e553146}
IE - HKLM\..\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}: "URL" = [String data over 1000 bytes]
DRV - [2014-08-23 09:26:37 | 000,004,096 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\03.tmp -- (nbbxpyc)
DRV - [2014-08-16 10:48:16 | 000,004,096 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\01.tmp -- (qaoenxmwn)
DRV - [2014-06-13 11:58:48 | 000,004,096 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\02.tmp -- (uiuuw)
SRV - [2016-08-22 15:07:04 | 000,077,824 | -H-- | M] (gy) [Auto | Stopped] -- C:\Program Files\Bewildered Dear\Bewildered Dear.exe -- (Bewildered Dear)
SRV - [2011-11-30 13:50:07 | 000,378,880 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-11-15 00:00:35 | 000,347,648 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-11-02 23:54:58 | 000,277,504 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-10-30 16:20:19 | 001,942,528 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-10-30 16:18:17 | 001,129,984 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
SRV - [2008-04-15 14:00:00 | 000,165,888 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\eoneznvm.dll -- (qmeko)
MOD - [2011-11-30 13:50:07 | 000,378,880 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
MOD - [2011-11-15 00:00:35 | 000,347,648 | ---- | M] () -- C:\WINDOWS\update.5.0\svchost.exe
MOD - [2011-11-02 23:54:58 | 000,277,504 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
MOD - [2011-10-30 16:20:19 | 001,942,528 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

 

4) Zrób logi z FRST http://searchengines...a-postępowania/

.



#4 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 26 08 2016 - 21:59

log z adwCleaner : http://wklej.org/id/2798360/  przystępuję do dalszych kroków



#5 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 26 08 2016 - 22:16

log usbfix : http://wklej.org/id/2798384/



#6 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 26 08 2016 - 22:25

log po skrypcie : http://wklej.org/id/2798385/



#7 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 26 08 2016 - 22:40

 

 

http://wklej.org/id/2798393/    http://wklej.org/id/2798394/    http://wklej.org/id/2798395/ i ostatnie logi



#8 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5780 postów
  • Płeć:Mężczyzna

Napisano 26 08 2016 - 22:49

Dałeś dwa logi FRST.txt, a żadnego Shortcut.txt.

C:\WINDOWS\system32\EXPLORER.EXE

Sprawdź, czy jest plik o takiej samej nazwie w C:\WINDOWS

bo nie powinno być takiego pliku w folderze "system32".

 

Otwórz Notatnik i wklej w nim:

C:\WINDOWS\FONTS\6100D111111.com
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TempCom
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sysdriver32_.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sysdriver32.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9114894.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9043137.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\7768176.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2556084.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1920802.exe
C:\WINDOWS\sysdriver32_.exe
C:\WINDOWS\sysdriver32.exe
C:\WINDOWS\pss\Autostart.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers => ""="Service"
C:\WINDOWS\system32\wmimgr32.dll
Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\Hary\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
C:\DOCUME~1\Hary\DANEAP~1\PRICEF~1
C:\Windows\Tasks\At2.job
2016-08-26 23:19 - 2011-11-30 13:50 - 00000000 ___HD C:\WINDOWS\update.7.1
2016-08-26 23:19 - 2011-10-30 16:22 - 00000000 ___HD C:\WINDOWS\update.5.0
2016-08-26 23:19 - 2011-10-30 16:20 - 00000000 ___HD C:\WINDOWS\update.2
2016-08-26 23:19 - 2011-10-30 16:18 - 00000000 ___HD C:\WINDOWS\update.1
S3 biyza; \??\C:\WINDOWS\system32\06.tmp [X]
S3 catchme; \??\C:\DOCUME~1\olka\USTAWI~1\Temp\catchme.sys [X]
S1 F06DEFF2-5B9C-490D-910F-35D3A9119622; \??\C:\Program Files\Movies App\Datamngr\setmgrc3.cfg [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X]
S3 ialm; system32\DRIVERS\igxpmp32.sys [X]
S4 IntelIde; Brak ImagePath
U3 TlntSvr; Brak ImagePath
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml [2015-07-18]
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\desktop.ini [2008-04-15]
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\folder.htt [2016-08-21]
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\.DEFAULT -> ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
SearchScopes: HKU\S-1-5-21-1935655697-1604221776-1417001333-1005 -> ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
URLSearchHook: [S-1-5-21-1935655697-1604221776-1417001333-1005] UWAGA => Brak domyślnego URLSearchHook
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
HKU\S-1-5-21-1935655697-1604221776-1417001333-1005\...\Run: [wsctf.exe] => wsctf.exe
HKU\S-1-5-21-1935655697-1604221776-1417001333-1005\...\Run: [EXPLORER.EXE] => C:\WINDOWS\system32\EXPLORER.EXE [36864 2006-10-25] (Microsoft Corporation)
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-19\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-20\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\...\Winlogon: [Userinit] userinit.exe,EXPLORER.EXE
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Użyj Sality Killer -->http://support.kaspe...alitykiller.exe
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire...5e3b0870wm7xefk

Napisz, czy wykrył SALITY?

.

.



#9 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 26 08 2016 - 23:14

pliku nie znalazłem  a co do loga to też go nie mogę znaleźć ... po zakończonym skanowananiu wyskoczyło mi 15 logów i to wtedy musiałem pomylić logi... cały czas wyskakuje też mi komunikat : nie można znaleźć składnika  igfxsrvc.exe 



#10 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 26 08 2016 - 23:54

skanowanie zakończone nie znalazł sality... 



#11 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5780 postów
  • Płeć:Mężczyzna

Napisano 27 08 2016 - 06:28

cały czas wyskakuje też mi komunikat : nie można znaleźć składnika  igfxsrvc.exe

wg logów, to plik jest:

(Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe

 

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

igfxsrvc.exe; explorer.exe

kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

igfxsrvc.exe;explorer.exe

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

.



#12 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 27 08 2016 - 10:22

http://wklej.org/id/2798530/    http://wklej.org/id/2798538/  odezwę się wieczorem jadę w delegację :)



#13 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5780 postów
  • Płeć:Mężczyzna

Napisano 27 08 2016 - 11:54

igfxsrvc.exe - plik jest na swoim miejscu, i ma prawidłowe klucze Rejestru.

Nie mam pojęcia dlaczego wyskakuje komunikat, skoro z tym plikiem wszystko jest OK.

 

Do usunięcia natomiast jest plik C:\WINDOWS\system32\EXPLORER.EXE

Otwórz Notatnik i wklej w nim:

C:\WINDOWS\system32\EXPLORER.EXE
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt".

.



#14 ixe

ixe

    Second Rank

  • Użytkownicy +
  • 107 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Żary

Napisano 27 08 2016 - 20:48

http://wklej.org/id/2798995/  http://wklej.org/id/2798997/  logi z FRSRo do tej aplikacji to cały czas się uruchamia a do tego nie chce się wyłączyć, udaje mi się chwilowo ją wyłączyć w menadżerze zadań . nie mam pojęcia o co z nią chodzi.



#15 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5780 postów
  • Płeć:Mężczyzna

Napisano 27 08 2016 - 21:46

 logi z FRSRo do tej aplikacji to cały czas się uruchamia a do tego nie chce się wyłączyć

pierwszy raz słyszę, by komuś FRST sam się uruchamiał.

 

C:\WINDOWS\system32\wmimgr32.dll

Sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL

 

Otwórz Notatnik i wklej w nim:

HKLM\...\Winlogon: [Userinit] userinit.exe,EXPLORER.EXE
HKU\S-1-5-21-1935655697-1604221776-1417001333-1005\...\Run: [wsctf.exe] => wsctf.exe
URLSearchHook: [S-1-5-21-1935655697-1604221776-1417001333-1005] UWAGA => Brak domyślnego URLSearchHook
C:\WINDOWS\system32\wmimgr32.dll
C:\Program Files\folder.htt
StandardProfile\AuthorizedApplications: [C:\WINDOWS\sysdriver32.exe] => Enabled:sysdriver32
StandardProfile\GloballyOpenPorts: [2116:TCP] => Enabled:flofcwxu
StandardProfile\AuthorizedApplications: [C:\WINDOWS\update.1\svchost.exe] => Enabled:
StandardProfile\AuthorizedApplications: [C:\WINDOWS\update.2\svchost.exe] => Enabled:
NETSVC: qmeko -> Brak ścieżki do pliku.
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowe logi FRST.

.

 






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych