Proszę o sprawdzenie logów

Post10 paź 2013, 17:12

Witam jak w temacie proszę o sprawdzenie logów , ponieważ chwilę temu zablokował mi się komputer i wyskoczyło okienko policji wszystkie artykuły pokazane i że tam muszę coś zapłacić bardzo proszę o sprawdzenie z góry dziękuję .
Pozdrawiam
Dostępne tylko dla zarejestrowanych użytkowników link

-- 10 paź 2013, 17:12 --

Mógłby ktoś pomóc ? ;/

Post11 paź 2013, 09:27

Mógłby ktoś pomóc ? ;/

Nikt nie może pomóc, bo z logów wynika, że nie masz żadnej infekcji.
Ale przynajmniej usuniemy sponsorskie śmieci:
1) Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
Kliknij w nim na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[S1].txt

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O20:64bit: - AppInit_DLLs: (C:\Windows\System32\guard64.dll) - File not found
[2013-07-16 13:40:27 | 000,006,500 | ---- | M] () -- C:\Users\mati\AppData\Roaming\mozilla\firefox\profiles\r7y5ruez.default-1364127494106\searchplugins\babylon.xml
[2013-07-16 13:40:43 | 000,001,304 | ---- | M] () -- C:\Users\mati\AppData\Roaming\mozilla\firefox\profiles\r7y5ruez.default-1364127494106\searchplugins\holasearch.xml
[2013-08-26 15:14:23 | 000,004,120 | ---- | M] () -- C:\Users\mati\AppData\Roaming\mozilla\firefox\profiles\r7y5ruez.default-1364127494106\searchplugins\SweetIM Search.xml
[2013-06-22 17:43:17 | 000,002,082 | ---- | M] () -- C:\Users\mati\AppData\Roaming\mozilla\firefox\profiles\r7y5ruez.default-1364127494106\searchplugins\sweetim.xml
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - prefs.js..browser.startup.homepage: "http://www.holasearch.com/?babsrc=HP_ss&mntrId=2AC7485B39CFB238&affID=121963&tsp=4945"
FF - prefs.js..browser.search.defaultenginename: "Hola Search"
FF - prefs.js..browser.search.selectedEngine: "Hola Search"

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

F.

Post11 paź 2013, 12:09

No to nie wiem bo to jako reklama wyskoczyła nie mogłem zamknąć potem komputer się zawiesił i koniec .
link adwcleaner - Dostępne tylko dla zarejestrowanych użytkowników
otl po restarcie - Dostępne tylko dla zarejestrowanych użytkowników
nowe skanowanie otl - Dostępne tylko dla zarejestrowanych użytkowników
Pozdrawiam .

Post11 paź 2013, 13:24

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{3FD62A50-6893-4F2D-94A8-D66DB3F775D1}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

na wszelki wypadek zrób logi z FRST Dostępne tylko dla zarejestrowanych użytkowników

F.

Post11 paź 2013, 13:26

Additional - Dostępne tylko dla zarejestrowanych użytkowników
scan - Dostępne tylko dla zarejestrowanych użytkowników

Post11 paź 2013, 13:45

W tych logach także nie widzę tej infekcji.
Tak więc teraz jest większa pewność, że wcale nie ma tej infekcji u Ciebie.

Kosmetyka:
Otwórz Notatnik i wklej w nim:

S2 rgtbcwttkwighx; c:\windows\SysWOW64\FUJYNC~1.EXE [x]
S2 SKLService; D:\KAward\rsasws.exe [x]
S3 Update Server; C:\Program Files\Common Files\Bitdefender\Bitdefender Arrakis Server\bin\arrakis3.exe [x]
c:\windows\SysWOW64\FUJYNC~1.EXE

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

F.

Post11 paź 2013, 15:33

Ok DZIĘKI WIELKIE .
Pozdrawiam

fixlog.txt Dostępne tylko dla zarejestrowanych użytkowników

Post11 paź 2013, 15:55

nie no jak były logi sprawdzone i mowa że nie ma to już nie będę zakładał nowych tematów .

Post12 paź 2013, 11:18

matikolud pisze:nie no jak były logi sprawdzone i mowa że nie ma to już nie będę zakładał nowych tematów .

Jest tu jeszcze trochę pracy, a by poprawić stan komputera. Podaj nowe logi z OTL (oba), przejmuję temat.

Post12 paź 2013, 15:53

Proszę bardzo nowe logi OTl .
Link : otl Dostępne tylko dla zarejestrowanych użytkowników
Link : Extras Dostępne tylko dla zarejestrowanych użytkowników
Pozdrawiam .

Post13 paź 2013, 15:21

"{6B02D047-A56D-4994-B1F1-53DA6B9885AB}" = AVG 2013
"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"UnityWebPlayer" = Unity Web Player
"MozillaMaintenanceService" = Mozilla Maintenance Service
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{71D30D86-88C0-4A6E-8A9B-5403A8A5D6D4}" = Bing Bar

Odinstaluj. Poza tym użyj Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - [2008-06-30 21:38:32 | 000,253,952 | R--- | M] (Stanford University) [Auto | Running] -- C:\Program Files (x86)\Folding@Home #01\Folding@Home #02\FAH-Console.exe -- (FAH-02)
SRV - [2008-06-30 21:38:32 | 000,253,952 | R--- | M] (Stanford University) [Auto | Running] -- C:\Program Files (x86)\Folding@Home #01\Folding@Home #01\FAH-Console.exe -- (FAH-01)
DRV:64bit: - [2012-11-02 14:17:46 | 000,261,056 | ---- | M] (BitDefender) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\avchv.sys -- (avchv)
DRV:64bit: - [2011-06-10 07:34:52 | 000,539,240 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope =
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKCU\..\SearchScopes\{3FD62A50-6893-4F2D-94A8-D66DB3F775D1}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN95369597430959535&UM=1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.useDBForOrder: "false"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_117.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@t.garena.com/garenatalk: C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\mati\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
[2013-08-10 22:22:59 | 000,000,000 | ---D | M] (Block site) -- C:\Users\mati\AppData\Roaming\mozilla\Firefox\Profiles\r7y5ruez.default-1364127494106\extensions\{dd3d7613-0246-469d-bc65-2a3cc1668adc}
CHR - Extension: No name found = C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.5_0\
CHR - Extension: No name found = C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.3_0\
CHR - Extension: No name found = C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default\Extensions\bebnnlollpcjnfpkafhoclljaojgnfok\4.0_0\
CHR - Extension: No name found = C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.6_0\
CHR - Extension: No name found = C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.20_0\
CHR - Extension: No name found = C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
O2 - BHO: (Bing Bar Helper) - {1dad3af3-ef2f-4f64-ac4b-11789189fcb6} - C:\Program Files (x86)\Microsoft\BingBar\7.2.241.0\BingExt.dll File not found
O3 - HKLM\..\Toolbar: (Bing Bar) - {eec0f710-38b5-4aba-99bf-ec87564a4e13} - C:\Program Files (x86)\Microsoft\BingBar\7.2.241.0\BingExt.dll File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\Microsoft Office\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\Microsoft Office\Office12\EXCEL.EXE/3000 File not found
[2013-10-11 13:23:00 | 000,000,000 | ---D | C] -- C:\FRST
[2013-10-11 11:45:08 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-09-13 15:13:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
[2013-09-24 16:55:55 | 000,000,024 | ---- | C] () -- C:\Windows\SysWow64\sysogg.dll
[2013-01-24 23:20:19 | 000,000,046 | ---- | C] () -- C:\Windows\SysWow64\4E37A837910D.ini
[2011-01-15 15:04:53 | 000,000,022 | -HS- | C] () -- C:\Users\mati\AppData\Roaming\Sys6925.Config Collection.sys
@Alternate Data Stream - 189 bytes -> C:\ProgramData\Temp:8927A071

:Services
gupdate
gupdatem

:Files
C:\Program Files (x86)\Google\Update
C:\Program Files (x86)\Pando Networks
C:\Users\mati\AppData\LocalLow\Unity
C:\Program Files\ESET
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Scan, a potem Clean) + nowe logi z OTL.

Post14 paź 2013, 15:51

Nie wiem dlaczego ale po odinstalowaniu programów + wklejeniu skryptu do OTl po ponownym uruchomieniu miałem dziwne sterowniki do karty sieciowej i musiałem zainstalować sterowniki z płytki , ponieważ nie było internetu . . Mógłbym prosić o poradę jakiego antywirusa zainstalować ? bo obecnie avg usunięty to nie mam nic

log z usuwania otl - Dostępne tylko dla zarejestrowanych użytkowników
adwcleaner - Dostępne tylko dla zarejestrowanych użytkowników
nowy log otl - Dostępne tylko dla zarejestrowanych użytkowników
nowy log extras - Dostępne tylko dla zarejestrowanych użytkowników

Post16 paź 2013, 00:21

Avasta albo avirę, proste i wystarczą.

Post16 paź 2013, 00:26

Zresztą, skoro nie miałeś żadnej infekcji, to avg nie był aż taki zły...

Sama filutka78 napisała:

Nikt nie może pomóc, bo z logów wynika, że nie masz żadnej infekcji.

Cosik_ktosik, kominekl uważa, że avira jest zła, bo ma słabą wykrywalność.

Też polecam avasta... Mimo że jego komunikaty są denerwujące. A całkiem ich wyłączyć raczej nie należy...

Post20 paź 2013, 10:38

Mógłbym prosić o poradę jakiego antywirusa zainstalować ? bo obecnie avg usunięty to nie mam nic

Wystarczy Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
[2013-10-13 16:43:00 | 000,000,000 | ---D | C] -- C:\AdwCleaner

:Files
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.