SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Skóty na pendrive - ScreenSaverPro.scr

Tryby wyświetlania wątku
Skóty na pendrive - ScreenSaverPro.scr
bajtelo Offline
Nowicjusz
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja: 0
#21
22.06.2013, 21:00
TDSKiller nic nie znalazł.

Przesyłam jeszcze logi z innego domowego komputera do którego był wpięty zawirusowany pendrive. Trochę wirusów już zostało usunięte.

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

RSIT

[Aby zobaczyć linki, zarejestruj się tutaj]

info
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#22
23.06.2013, 12:48
W autorunskarcie servicesodznacz:

AdobeFlashPlayerUpdateSvc
SkypeUpdate
GoogleUpdaterService

Zaktualizuj:

Skype ™ 5.8 do wersji Skype 6.5.73.158
Adobe Reader X (10.1.7) do wersji Adobe Reader XI 11.0.3


Odinstaluj:

Akamai NetSession
MozillaMaintenanceService
Spybot - Search & Destroy 2
SpyHunter

Zainstalowałeś taki chłam,mając wcześniej Avasta ?

Zainstaluj:

avast! Free Antivirus 8.0.1489
Malwarebytes Anti-Malware 1.75.0.1300

[Aby zobaczyć linki, zarejestruj się tutaj]


W OTLwłasne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Edysia\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-1220945662-1004336348-725345543-1003\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689
IE - HKU\S-1-5-21-1220945662-1004336348-725345543-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={sear
IE - HKU\S-1-5-21-1220945662-1004336348-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: [email protected]:1.0
FF - prefs.js..extensions.enabledItems: [email protected]:3.2.5.2
FF - prefs.js..extensions.enabledItems: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}:3.2.5.2
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1220945662-1004336348-725345543-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1220945662-1004336348-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-1220945662-1004336348-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Edysia\Menu Start\Programy\IMVU\Run IMVU.lnk File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O20 - Winlogon\Notify\Antiwpa: DllName - (antiwpa.dll) -File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013-02-15 18:59:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
[2013-02-05 18:04:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\C8F03DAD311B30DC0000C8EF74C43757
[2010-09-07 12:33:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Edysia\Dane aplikacji\Vivox
[2011-10-26 20:36:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Edysia\Dane aplikacji\Zuuvo

:Files
C:\Windows\tasks\*.*
C:\Documents and Settings\Edysia\Dane aplikacji\Mozilla\Extensions\[email protected]
C:\Documents and Settings\Edysia\Dane aplikacji\Mozilla\Firefox\Profiles\9qo5aflg.default\extensions\[email protected]
C:\Documents and Settings\Edysia\Dane aplikacji\Mozilla\Firefox\Profiles\9qo5aflg.default\searchplugins\conduit.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Documents and Settings\Edysia\Dane aplikacji\1A.exe.gonewiththewings
C:\Documents and Settings\Edysia\Dane aplikacji\temp.bin
C:\Documents and Settings\Edysia\Dane aplikacji\ScreenSaverPro.scr
C:\Program Files\trend micro\Edysia.exe
C:\Config.Msi
C:\WINDOWS\PEV.exe
C:\WINDOWS\MBR.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe

:Commands
[EMPTYTEMP]
[clearallrestorepoints]



Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Ściągnij również program

[Aby zobaczyć linki, zarejestruj się tutaj]

i przeprowadź skan jak coś znajdzie to nie usuwaj tylko daj raport.

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z Adwcleaner .
Jak również przedstaw raport z usuwania.
Szukaj
Odpowiedz
bajtelo Offline
Nowicjusz
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja: 0
#23
23.06.2013, 14:55
Nie mogę odinstalować SpyHuntera za pomoca dodaj/usuń programy. Nie ma też ikony do odinstalowania programu. Jak to usunąć?
Nie moge także wykonać skryptu. W trybie awaryjnym OTL zawiesza się na skanowaniu pliku catchme.sys. Na dole w OTL jest napisane "Processing DRV - File not found [Kernel | On_Demand | Stopped ]... Temp\catchme.sys ...."

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

Adw1

[Aby zobaczyć linki, zarejestruj się tutaj]

Adw2


Raporty z AdeCleaner dałem po drugim usuwaniu. Pierwszego raportu zapomniałem zapisać.
Antywirusa nie używam z założenia, bo chyba każdy mocno obciąża kompa...
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#24
23.06.2013, 15:36
Przecież nie napisałem żeby w awaryjnym robić.


Z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:Services
SpyHunter 4 Service
catchme

:Files
C:\Windows\tasks\*.*
C:\Documents and Settings\Edysia\Dane aplikacji\Mozilla\Extensions\[email protected]
C:\Documents and Settings\Edysia\Dane aplikacji\1A.exe.gonewiththewings
C:\Documents and Settings\Edysia\Dane aplikacji\temp.bin
C:\Documents and Settings\Edysia\Dane aplikacji\ScreenSaverPro.scr
C:\Program Files\trend micro\Edysia.exe
C:\Config.Msi
C:\WINDOWS\PEV.exe
C:\WINDOWS\MBR.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe

:OTL
PRC - [2013-01-14 22:33:14 | 000,769,920 | ---- | M] (Enigma Software Group USA, LLC.) -- C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: [email protected]:1.0
FF - prefs.js..extensions.enabledItems: [email protected]:3.2.5.2
FF - prefs.js..extensions.enabledItems: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}:3.2.5.2
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1220945662-1004336348-725345543-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1220945662-1004336348-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-1220945662-1004336348-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Edysia\Menu Start\Programy\IMVU\Run IMVU.lnk File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O20 - Winlogon\Notify\Antiwpa: DllName - (antiwpa.dll) -File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013-02-15 18:59:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
[2013-02-05 18:04:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\C8F03DAD311B30DC0000C8EF74C43757
[2010-09-07 12:33:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Edysia\Dane aplikacji\Vivox
[2011-10-26 20:36:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Edysia\Dane aplikacji\Zuuvo

:Commands
[EMPTYTEMP]


Przedstaw raport z wykonania,który zostanie wyświetlony po restarcie.
Szukaj
Odpowiedz
bajtelo Offline
Nowicjusz
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja: 0
#25
23.06.2013, 19:56
Faktycznie, nie napisałeś, że w awaryjnym. Z przyzwyczajenia tak zrobiłem.
Uruchomiłem poprzedni skrypt w trybie zwykłym, poszedł. Ten nowy nie chciał iść.

[Aby zobaczyć linki, zarejestruj się tutaj]

Raport

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#26
23.06.2013, 20:15
W własne opcje skanowania skrypt wklej i wykonaj.

Kod:
:OTL
[2013-06-22 21:54:17 | 000,000,000 | ---D | C] -- C:\Program Files\trend micro
[2013-06-15 11:31:17 | 000,141,824 | ---- | C] (SecurityCoverage Inc.) -- C:\Documents and Settings\Edysia\Dane aplikacji\1A.exe.gonewiththewings
[2013-06-15 11:30:48 | 000,141,824 | ---- | C] (SecurityCoverage Inc.) -- C:\Documents and Settings\Edysia\Dane aplikacji\temp.bin
[2013-06-15 11:30:48 | 000,141,824 | ---- | C] (SecurityCoverage Inc.) -- C:\Documents and Settings\Edysia\Dane aplikacji\ScreenSaverPro.scr
[2011-10-27 17:12:19 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011-10-27 17:12:19 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011-10-27 17:12:19 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011-10-27 17:12:19 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011-10-27 17:12:19 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013-02-05 18:04:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\C8F03DAD311B30DC0000C8EF74C43757

:Commands
[EMPTYTEMP]
[clearallrestorepoints]


Pokaż raport z wykonania.
Szukaj
Odpowiedz
bajtelo Offline
Nowicjusz
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja: 0
#27
25.06.2013, 11:49

[Aby zobaczyć linki, zarejestruj się tutaj]

Raport

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#28
26.06.2013, 21:33
Kliknij w sprzątanie w OTL+ klik w odinstaluj AdwCleaner
Szukaj
Odpowiedz
bajtelo Offline
Nowicjusz
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja: 0
#29
06.07.2013, 07:30
Zrobione, dzięki.

Polecasz jakiegoś antywira na przyszłość?
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości