Witam,
najprawdopodobniej mam na komputerze wirusa działającego na słowa "wirus, doctors itp.", który zamyka przeglądarkę.
Proszę o pomoc w pozbyciu się go - poniżej logi z DDS (OTL nie mogłam uruchomić w żadnym z rozszerzeń).
Attach: Dostępne tylko dla zarejestrowanych użytkowników
DDS: Dostępne tylko dla zarejestrowanych użytkowników
Dzięki
wirus zamykający przeglądarkę
-
filutka78
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
-
przecinek140
- Posty: 10
- Rejestracja: 09 lis 2013, 11:47
-
filutka78
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
wirus zamykający przeglądarkę
ależ szybki jesteś 
Otwórz Notatnik i wklej w nim:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
Zrób nowe logi z FRST.
F.
Otwórz Notatnik i wklej w nim:
HKCU\...\Winlogon: [Shell] %appdata%\microsoft\rundil64.exe <==== ATTENTION
HKCU\...\Run: [Java] - %APPDATA%\Microsoft\jushed.exe
%appdata%\microsoft\rundil64.exe
HKCU\...\Run: [] - [x]
Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe
C:\Program Files (x86)\AVG Secure Search
Task: C:\Windows\Tasks\{186A796F-D860-4B57-9740-A358A0C36E72}.job => C:\ProgramData\BetterSoft\ContinueToSave\ContinueToSave.exe
C:\ProgramData\BetterSoft\ContinueToSave
C:\Users\Gosia\AppData\Local\Temp\ipl270.tmp.exe
C:\Users\Gosia\AppData\Local\Temp\ipl8F82.tmp.exe
C:\Users\Gosia\AppData\Local\Temp\iplA321.tmp.exe
C:\Users\Gosia\AppData\Local\Temp\iplAD3F.tmp.exe
C:\Users\Gosia\AppData\Local\Temp\iplD632.tmp.exe
C:\Users\Gosia\AppData\Local\Temp\iplDB9E.tmp.exe
C:\Users\Gosia\AppData\Local\Temp\jre-7u25-windows-i586-iftw.exe
C:\Users\Gosia\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
C:\Users\Gosia\AppData\Local\Temp\NOSEventMessages.dll
C:\Users\Gosia\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Gosia\AppData\Local\Temp\t.dll
U3 tmlwf;
U3 tmwfp;
CHR HKLM-x32\...\Chrome\Extension: [bildoibdboopgomcbiplincneeicgipj] - C:\Program Files (x86)\StartSearch plugin\startsplg.crx
C:\Program Files (x86)\StartSearch plugin
CHR Plugin: (QuickTime Plug-in 7.6.8) - C:\Program Files (x86)\QuickTime\plugins\npqtplugin.dll No File
CHR Plugin: (QuickTime Plug-in 7.6.8) - C:\Program Files (x86)\QuickTime\plugins\npqtplugin2.dll No File
CHR Plugin: (QuickTime Plug-in 7.6.8) - C:\Program Files (x86)\QuickTime\plugins\npqtplugin3.dll No File
CHR Plugin: (QuickTime Plug-in 7.6.8) - C:\Program Files (x86)\QuickTime\plugins\npqtplugin4.dll No File
CHR Plugin: (QuickTime Plug-in 7.6.8) - C:\Program Files (x86)\QuickTime\plugins\npqtplugin5.dll No File
CHR Plugin: (QuickTime Plug-in 7.6.8) - C:\Program Files (x86)\QuickTime\plugins\npqtplugin6.dll No File
CHR Plugin: (QuickTime Plug-in 7.6.8) - C:\Program Files (x86)\QuickTime\plugins\npqtplugin7.dll No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll No File
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
AppInit_DLLs-x32: c:\progra~2\contin~1\sprote~1.dll [ ] ()
Task: {1E303664-26B8-40CD-82F1-A6E2873FE58C} - System32\Tasks\ROC_JAN2013_TB_rmv => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe
Task: {033F74F1-61DF-4242-9E81-3BBBFA2ECB9D} - System32\Tasks\{186A796F-D860-4B57-9740-A358A0C36E72} => C:\ProgramData\BetterSoft\ContinueToSave\ContinueToSave.exe
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
Zrób nowe logi z FRST.
F.
Ostatnio zmieniony 09 lis 2013, 13:24 przez filutka78, łącznie zmieniany 1 raz.
-
przecinek140
- Posty: 10
- Rejestracja: 09 lis 2013, 11:47
wirus zamykający przeglądarkę
bo doprowadza mnie już do szału;)
-
filutka78
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
wirus zamykający przeglądarkę
wróć do mojego poprzedniego postu
-
przecinek140
- Posty: 10
- Rejestracja: 09 lis 2013, 11:47
-
filutka78
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
wirus zamykający przeglądarkę
Nie jest dobrze - infekcja natychmiast się odrodziła od nowa.
Powtórka z rozrywki:
1) Otwórz Notatnik i wklej w nim:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Daj go.
Zrób nowy log z FRST (już bez Addition)
F.
Powtórka z rozrywki:
1) Otwórz Notatnik i wklej w nim:
C:\Users\Gosia\AppData\Roaming\Microsoft\jushed.exe
C:\Users\Gosia\AppData\Roaming\Microsoft\jushed.exe
C:\Users\Gosia\AppData\Roaming\Microsoft\rundil32.exe
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Daj go.
Zrób nowy log z FRST (już bez Addition)
F.
-
przecinek140
- Posty: 10
- Rejestracja: 09 lis 2013, 11:47
-
filutka78
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
wirus zamykający przeglądarkę
Nic z tego - znów infekcja natychmiast się odrodziła od nowa.
Powtórz ostatnie usuwanie.
Potem:
Do >Dostępne tylko dla zarejestrowanych użytkowników wklej:
Naciśnij Look i pokaż raport.
F.
Powtórz ostatnie usuwanie.
Potem:
Do >Dostępne tylko dla zarejestrowanych użytkowników wklej:
:filefind
jushed.exe
rundil32.exe
:regfind
jushed.exe
rundil32.exe
Naciśnij Look i pokaż raport.
F.
-
przecinek140
- Posty: 10
- Rejestracja: 09 lis 2013, 11:47
wirus zamykający przeglądarkę
SystemLook: Dostępne tylko dla zarejestrowanych użytkowników
"no data found" wygląda optymistycznie ale nie znam się
"no data found" wygląda optymistycznie ale nie znam się
-
filutka78
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
wirus zamykający przeglądarkę
Tak, powinno być OK.
Ale mimo wszystko zrób nowy log z FRST - chcę to na własne oczy zobaczyć.
F.
Ale mimo wszystko zrób nowy log z FRST - chcę to na własne oczy zobaczyć.
F.
-
przecinek140
- Posty: 10
- Rejestracja: 09 lis 2013, 11:47
-
filutka78
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
wirus zamykający przeglądarkę
Otwórz Notatnik i wklej w nim:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Zrób nowy log z FRST.
Jeśli zauważysz w nim, że te pliki nadal są, to użyjesz > Dostępne tylko dla zarejestrowanych użytkowników
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.
Oraz nowy log z FRST.
(nie śpiesz się, ja muszę zająć się obiadem)
F.
C:\Users\Gosia\AppData\Roaming\Microsoft\jushed.exe
C:\Users\Gosia\AppData\Roaming\Microsoft\jushed.exe
C:\Users\Gosia\AppData\Roaming\Microsoft\rundil32.exe
C:\Users\Gosia\AppData\Roaming\Microsoft\*.exe
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Zrób nowy log z FRST.
Jeśli zauważysz w nim, że te pliki nadal są, to użyjesz > Dostępne tylko dla zarejestrowanych użytkowników
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.
Oraz nowy log z FRST.
(nie śpiesz się, ja muszę zająć się obiadem)
F.
-
Oshi21
- Posty: 2
- Rejestracja: 05 cze 2013, 12:06
wirus zamykający przeglądarkę
Dodatkowo:
Error: (11/09/2013 09:22:39 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: m->NextScheduledSPRetry 43651950
Jak jeszcze widoczne to odinstaluj:
Bonjour
Browsers Protector
continuetosave
Jave {później ją zainstalujesz jeszcze raz]
W trybie normalnym jak nie pójdzie to wykonaj w awaryjnym.
+ tak jak wyżej nowe logi FRST według zaleceń
Error: (11/09/2013 09:22:39 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: m->NextScheduledSPRetry 43651950
Jak jeszcze widoczne to odinstaluj:
Bonjour
Browsers Protector
continuetosave
Jave {później ją zainstalujesz jeszcze raz]
W trybie normalnym jak nie pójdzie to wykonaj w awaryjnym.
+ tak jak wyżej nowe logi FRST według zaleceń
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości
