Zmulony PC

[bladekkk]

Witam bardzo proszę o sprawdzenie loga combofix ---> Dostępne tylko dla zarejestrowanych użytkowników
Z góry dzięki bardzo za pomoc

[kominekl]

Witam bardzo proszę o sprawdzenie loga combofix ---> Dostępne tylko dla zarejestrowanych użytkowników
Z góry dzięki bardzo za pomoc

Combofix`a nie używamy ot tak. to zbyt silnie ingerujące w system narzędzie. Wejdź w START -> URUCHOM -> i wklej tam:

"c:\users\Ola\Desktop\ComboFix.exe" /uninstall

Następnie zapoznaj się z koniecznymi logami.

[bladekkk]

Zastosowałem się do regulaminu
Windows 7 64 bity komp jest strasznie zmulony
log otl ---> Dostępne tylko dla zarejestrowanych użytkowników
extras ---> Dostępne tylko dla zarejestrowanych użytkowników

logi Gmer Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Combofix.

Wykonaj zalecone działanie przed wykonaniem skryptu.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
IE - HKU\S-1-5-21-3054816279-1490095649-1850275544-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3054816279-1490095649-1850275544-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3054816279-1490095649-1850275544-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox
IE - HKU\S-1-5-21-3054816279-1490095649-1850275544-1000\..\SearchScopes\{46336979-E743-4076-97B3-4A84C884006A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316&ilc=12"
FF - prefs.js..extensions.enabledAddons: pdfforge%40mybrowserbar.com:7.0
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.7
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.7
FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?ei=utf-8&fr=greentree_ff1&type=827316&ilc=12&p="
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012-01-27 20:39:04 | 000,010,043 | ---- | M] () (No name found) -- C:\Users\Ola\AppData\Roaming\mozilla\firefox\profiles\bnrup13q.default\extensions\IplextoALL@ALLPlayer.org.xpi
[2013-05-08 21:22:14 | 000,870,680 | ---- | M] () (No name found) -- C:\Users\Ola\AppData\Roaming\mozilla\firefox\profiles\bnrup13q.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013-04-12 21:26:08 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES (X86)\PDFFORGE TOOLBAR\FF
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3054816279-1490095649-1850275544-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O16 - DPF: Garmin Communicator Plug-In Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
[2013-05-14 14:08:07 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-05-14 09:26:43 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010-05-06 13:09:54 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\123 Free Solitaire
[2010-06-28 18:48:00 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\GARMIN
[2010-10-20 10:51:27 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\HK-Software
[2011-01-18 09:49:12 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\Leadertech
[2011-01-18 11:13:33 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\Memeo
[2011-01-17 17:18:53 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\Nokia
[2010-09-29 16:16:53 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\PC Suite
[2011-01-18 09:55:40 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\Seagate
[2011-02-17 19:01:28 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\Sony
[2011-02-17 19:48:57 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\Sony Setup
[2010-10-17 17:01:44 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\Uniblue
[2011-02-21 21:45:39 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\Windows Live Writer
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:A724744F

:Files
$RECYCLE.BIN /alldrives
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

[bladekkk]

Witam
Kominekl bardzo serdecznie dziękuje za pomoc poniżej nowe logi :
log z usuwania ---> Dostępne tylko dla zarejestrowanych użytkowników
log AdwCleaner ---> Dostępne tylko dla zarejestrowanych użytkowników
log TDSSKiller ---> Dostępne tylko dla zarejestrowanych użytkowników
nowe log OTL ---> Dostępne tylko dla zarejestrowanych użytkowników
nowy log extras ---> Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

ADWCleaner.

Miał on zostać użyty z opcji Delete (Usuń), a nie z opcji Search (Szukaj). Popraw . Podaj log z opcji Delete (tej poprawnej), a następnie naciśnij w nim przycisk Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2013-05-21 08:52:27 | 002,066,480 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Ola\Desktop\TDSSKiller.exe
[2013-05-21 08:44:56 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-05-21 08:51:54 | 002,047,211 | ---- | M] () -- C:\Users\Ola\Desktop\tdsskiller.zip
[2013-05-17 11:12:40 | 000,377,856 | ---- | M] () -- C:\Users\Ola\Desktop\fhjyxqf2.exe

:Files
$RECYCLE.BIN /alldrives
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[bladekkk]

ADWcleaner Dostępne tylko dla zarejestrowanych użytkowników program kilka razy się zawiesił - dlatego chyba ten log jest czysty
OTL Dostępne tylko dla zarejestrowanych użytkowników
log autoruns
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

program kilka razy się zawiesił - dlatego chyba ten log jest czysty

Nie. Nie dlatego, ale jestem usatysfakcjonowany wynikiem . Odinstaluj Go.

Autoruns.

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
Persistence

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Memeo Instant Backup

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AFBAgent
ATKGFNEXSrv
BBSvc
BBUpdate
FirebirdGuardianDefaultInstance
FirebirdServerDefaultInstance
fsssvc
LMS
MemeoBackgroundService
MozillaMaintenance
nvsvc
odserv
ose
RichVideo
SeagateDashboardService
ServiceLayer
UNS
WinDefend
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

catchme
nmwcdx64

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui

Następnie podajesz nowe logi z OTL.

[bladekkk]

nowe logi
otl ---> Dostępne tylko dla zarejestrowanych użytkowników
extras ---> Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
[2013-05-21 11:20:47 | 000,000,000 | ---D | C] -- C:\Users\Ola\Desktop\Autoruns
[2013-05-21 11:14:35 | 000,000,000 | ---D | C] -- C:\Windows\TEMP
[2013-05-21 11:13:59 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2013-05-21 11:23:59 | 000,062,847 | ---- | M] () -- C:\Users\Ola\Desktop\AutoRuns.rar
[2013-05-21 11:23:06 | 002,976,754 | ---- | M] () -- C:\Users\Ola\Desktop\AutoRuns.arn
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.5.0)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.5.0)

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL naciśnij przycisk Sprzątanie.

"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

"Windows 7 - Codec Pack" = Windows 7 Codec Pack 3.7.0

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

Kroki Finalizujące.

Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.
Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.

[bladekkk]

dzięki bardzo komp chodzi jak nowy i właśnie pojechał z kumplem na budowę więc narazie już nic nie zdziałam,
kominekl chylę czoło bardzo serdecznie dziękuje ci za pomoc

[kominekl]

dzięki bardzo komp chodzi jak nowy i właśnie pojechał z kumplem na budowę więc narazie już nic nie zdziałam,
kominekl chylę czoło bardzo serdecznie dziękuje ci za pomoc

OK . Czekamy .