Witam, mam jakiegoś virusa, zastąpił mi plik msconfig.exe, z każdym nowym uruchomieniem windowsa łączy się z stroną blob2.ge.tt, czasami samoczynnie pobiera jakieś pliki tmp, dodatkowo przy starcie mam Windows Startup-application zdublowane, które jak wyłączę i tak się samo włączy.
Było tego trochę więcej, np. usuwało mi różne .exe programów bez możliwości przywrócenia (bestplayer, rocketdock).
OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników
Pozdrawiam.
Virus/robak - pomóżcie! logi z OTL
- kominekl
- Posty: 5855
- Rejestracja: 27 lis 2011, 14:25
- Kontaktowanie:
Virus/robak - pomóżcie! logi z OTL
"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"UnityWebPlayer" = Unity Web Player
"FlashGet3.7" = FlashGet3.7
Odinstaluj to oprogramowanie, oraz inne ewentualnie zbędne Ci.
Logi.
Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
:OTL
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{F2CE0ACA-B1AC-11E1-BAF8-0040F497589C}
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&crg=3.1010000.10011&barid={F2CE0ACA-B1AC-11E1-BAF8-0040F497589C}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=112542&tt=120912_cpc_3812_6&babsrc=SP_ss&mntrId=809f02ec000000000000001d7d062bef
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&crg=3.1010000.10011&barid={F2CE0ACA-B1AC-11E1-BAF8-0040F497589C}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.selectedEngine: "AVG Secure Search"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@ieinspector.com/ha_plugin: D:\Programy\IEInspector\HTTPAnalyzerFullV6\firefox\Components File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Lelen\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Lelen\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Lelen\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
[2012-03-05 12:50:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Lelen\AppData\Roaming\mozilla\Firefox\Profiles\cvl3o09g.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Windows Explorer] C:\Users\Lelen\msdata\iexplorer.exe ()
O4 - HKCU..\Run: [] File not found
O4 - HKCU..\Run: [Windows Explorer] C:\Users\Lelen\msdata\iexplorer.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16:64bit: - DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.7.2)
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate Support Package 2)
O16 - DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate 2)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate Support Package)
[2012-11-12 11:04:55 | 000,000,000 | ---D | C] -- C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
@Alternate Data Stream - 187 bytes -> C:\ProgramData\TEMP:B1FBBD09
:Files
C:\Users\Lelen\AppData\Local\Google\Update
C:\Users\Lelen\AppData\LocalLow\Unity
C:\Windows\tasks\*.*
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL -> http://hotfix.pl/articles.php?article_id=143.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
-
- Posty: 4
- Rejestracja: 24 lis 2012, 09:38
Virus/robak - pomóżcie! logi z OTL
Logi z skryptu OTL (niestety musiałem skrypt wykonać 2x bo pierwsze logi zapomniałem zapisać, ale wszystko co miało to usunęło z tego co widziałem) - Dostępne tylko dla zarejestrowanych użytkowników
ADWCleaner - Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller - Dostępne tylko dla zarejestrowanych użytkowników
Nowy log z OTL - Dostępne tylko dla zarejestrowanych użytkowników
I po każdym reboocie coś takiego mam:
ADWCleaner - Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller - Dostępne tylko dla zarejestrowanych użytkowników
Nowy log z OTL - Dostępne tylko dla zarejestrowanych użytkowników
I po każdym reboocie coś takiego mam:
- kominekl
- Posty: 5855
- Rejestracja: 27 lis 2011, 14:25
- Kontaktowanie:
Virus/robak - pomóżcie! logi z OTL
Logi.
W tym przypadku zastosuj Combofix -> http://www.hotfix.pl/articles.php?article_id=41. Podaj log z jego działania, oraz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
-
- Posty: 4
- Rejestracja: 24 lis 2012, 09:38
- kominekl
- Posty: 5855
- Rejestracja: 27 lis 2011, 14:25
- Kontaktowanie:
Virus/robak - pomóżcie! logi z OTL
Combofix.
Wejdź w START -> Uruchom - i wklej tam -> "c:\users\Lelen\Downloads\ComboFix.exe" /uninstall .
Logi.
Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
:OTL
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.selectedEngine: "AVG Secure Search"
[2012-11-25 17:06:11 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012-11-25 16:53:24 | 000,000,000 | ---D | C] -- C:\ComboFix
[2012-11-25 16:53:10 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012-11-25 16:52:54 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
:Files
$RECYCLE.BIN /alldrives
C:\TDSSKiller_Quarantine
c:\users\Default\AppData\Local\temp
c:\users\Lelen\msdata\iexplorer.exe
c:\users\Lelen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\P90X.lnk
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"=-
"Ad Muncher"=-
"CreativeTaskScheduler"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=-
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"CTxfiHlp"=-
"HP Software Update"=-
"Adobe ARM"=-
"SunJavaUpdateSched"=-
"AMD AVT"=-
"Windows Explorer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EvtMgr6"=-
"LogiScrollApp"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
-
- Posty: 4
- Rejestracja: 24 lis 2012, 09:38
Virus/robak - pomóżcie! logi z OTL
Log ze skryptu OTL - Dostępne tylko dla zarejestrowanych użytkowników
Log z autoruns - Dostępne tylko dla zarejestrowanych użytkowników
Dzięki, w sumie już mi nie wyświetla żadnego wirusa że mam :>
Log z autoruns - Dostępne tylko dla zarejestrowanych użytkowników
Dzięki, w sumie już mi nie wyświetla żadnego wirusa że mam :>
- kominekl
- Posty: 5855
- Rejestracja: 27 lis 2011, 14:25
- Kontaktowanie:
Virus/robak - pomóżcie! logi z OTL
Autoruns.
W Autoruns odznacz, a następnie usuń (co się bezie dało):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
EvtMgr6
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
Wszystko.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
Wszystko.
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Wszystko.
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Wszystko.
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions
Wszystko.
Task Scheduler
Wszystko.
HKLM\System\CurrentControlSet\Services
AdobeARMservice
AMD External Events Utility
AMD FUEL Service
Creative ALchemy AL6 Licensing Service
Creative Audio Engine Licensing Service
FLEXnet Licensing Service 64
IDriverT
iPod Service
Microsoft SharePoint Workspace Audit Service
MSSQLSERVER
mysql
ose
osppsvc
SQLBrowser
SwitchBoard
TuneUp.UtilitiesSvc
UxTuneUp
WinDefend
wlidsvc
WMPNetworkSvc
HKLM\System\CurrentControlSet\Services
Wszystko z frazą -> File Not Found.
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
Wszystko.
Logi.
Następnie podajesz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 15 gości