Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
Dzień dobry, znajomi polecili mi Waszą grupę więc jestem.
Na początku chciałabym zaznaczyć, że nigdy nie korzystałam z takiej pomocy online więc niektóre kwestie będą dla mnie czarną magią.
Proszę o cierpliwość i w miarę dokładne wskazówki...takie wiecie...dla zielonej dziewczyny
Starałam się dostosować do schematu tego działu - za wszelkie błędy z góry przepraszam.
Komputer jest nowiutki. Kupiony 4 czerwca br. Mam nadzieję, że to ułatwi Wam zadanie. Nie zdążyłam na nim zrobić wielkiego bałaganu.
Objawy zainfekowania:
Avast co kilkanaście/kilkadziesiąt sekund pokazuje komunikaty (od wczoraj). Poza tym nie zauważyłam żadnych nieprawidłowości w działaniu kompa.
zarażenie -win32 zaccess-pb trojan
proces: c:\windows\system 32\services.exe
Wykonywane działania:
Na prośbę Avasta skanowałam komputer przy uruchomieniu. Coś tam sobie poprzerzucał do kwarantanny - uruchomił się normalnie.
Logi:
OTL
[Aby zobaczyć linki, zarejestruj się tutaj ]
[Aby zobaczyć linki, zarejestruj się tutaj ]
RSIT
[Aby zobaczyć linki, zarejestruj się tutaj ]
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Ściągnij program
TDSSKiller i zrób skan. Nie usuwaj, tylko podaj log (dokument tekstowy).
[Aby zobaczyć linki, zarejestruj się tutaj ]
Następnie pobierz
Farbar Service Scanner i podaj log.
[Aby zobaczyć linki, zarejestruj się tutaj ]
W menu
Dodaj i usuń programy odinstaluj:
-WebCakeDesktop i mu pochodne
Zaktualizuj:
-Internet Explorer do wersji 10
Dalej czekaj na
tachiona
0x DEADBEEF
Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
dzięki, zabieram się do roboty
Dodano: 24 cze 2013, 21:32
WebCakeDesktop usunięto. Nie wiem , które to są jego pochodne hmm...
TDSSKiller -
[Aby zobaczyć linki, zarejestruj się tutaj ]
prawdopodobnie z rozpędu, rozgorączkowania oraz niepokoju wcisnęłam to czego czego wciskać nie miałam
Farbar Service Scanner -
[Aby zobaczyć linki, zarejestruj się tutaj ]
Internet Explorer sprawdziłam - jest w wersji 10
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Widać, że ZeroAccess był. Wykonaj restart komputera. TDSSKiller usunął większość śmieci.Ponownie przeskanuj system TDSSKillerem i podaj log. Dodatkowo ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj ]
i przeskanuj system. Nie pamiętam, czy jest możliwość zapisania logu. Jeśli tak, zapodaj. Usuń to, co znalazł. Zrób nowy log OTL razem z extracts. O WebCake się nie martw, nie byłem pewny, czy będzie się w ten sposób nazywał.
0x DEADBEEF
Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj ]
- TDSSKiller
HitmanPro nie mogę użyć - nie jest prawidłową aplikacją systemu Win32
Czy w takim wypadku zrobić ponownie log OTL razem z extracts?
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Poszukaj odpowiedniej dla siebie wersji hitmana na tej stronie:surfright.nl w dziale Downloads. A logi możesz dać. Z tego co widzę, sirefef został usunięty, zostały tylko pozostałości.
0x DEADBEEF
Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
Ponadto mam alert, że nie mogę zmienić ustawień dotyczących Windows Update. Chorągiewka z czerwonym alertem a pasku zadań.
Było już wcześniej - zanim zaczęłam jakiekolwiek skany.
Dodano: 24 cze 2013, 22:45
Hitman -
[Aby zobaczyć linki, zarejestruj się tutaj ]
a to log po usunięciu (sporo rzeczy nie zostało usuniętych
[Aby zobaczyć linki, zarejestruj się tutaj ]
Dodatkowo OTL
[Aby zobaczyć linki, zarejestruj się tutaj ]
Nie wiem czemu tym razem tylko jeden plik.
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Aby usunąć rzeczy, musiz aktywować darmową, trialową 30 dniową licencję. Brak windows update jest normalny, działanie sirefef. Narazie poszukaj gdzieś w ustawieniach hitmana 30-dniowej licencji i przeskanuj jeszcze raz, i usuń.
0x DEADBEEF
Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
zrobiłam tak już wcześniej. Widziałam, że sporo usunął ale też sporo miało opis, że nie usunięto
Dodano: 24 cze 2013, 22:55
ale zrobię jeszcze raz
Dodano: 24 cze 2013, 23:02
[Aby zobaczyć linki, zarejestruj się tutaj ]
te pliki, które mają opis "usunięcie nieudane" to (*jak się przyjrzałam) ciasteczka Chrome...
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
To nie ma się czym martwić :-)Znając życie, podczas usuwania miałaś Chrome włączone
Jutro napiszę więcej Teraz nie mam czasu. Co najwyżej zainstaluj MBAM
[Aby zobaczyć linki, zarejestruj się tutaj ]
i na końcowym okienku instalacji odznacz "Uruchom okres testowy Malwarebytes'' Anti-malware PRO".Wykonaj szybki skan, usuń to co znalazło, podaj log i jeżeli poprosi zrestartuj komputer.
0x DEADBEEF
Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
a co z nieszczęsnym Windows Update? to się naprawi?
Dodano: 24 cze 2013, 23:11
i oczywiście dziękuję za dotychczasową pomoc!
Dodano: 24 cze 2013, 23:31
reasumując - ostatnie logi zMBAM
[Aby zobaczyć linki, zarejestruj się tutaj ]
Wciąż jest alert Windows Update. Avast już nie piszczy.
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Potem dam ci pliki rejestru dotyczące tych Windowsowskich spraw. Nie tylko update jest wyłączony, ale i usługi defendera, UAC, itp. Po to, poleciłem ci wykonać skan FSS. Teraz wychodzę, pomogę dalej tak koło14:00.
EDIT
Wykonaj skrypt w OTL
Kod:
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=3735618
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=3735618
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
CHR - homepage: http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
:Commands
[EMPTYTEMP]
[clearallrestorepoints]
Podaj logi OTL
0x DEADBEEF
Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
no ale ja Cię proszę....
skrypty to ja ostatnio na studiach używałam na KPA
a po laickiemu jak to będzie?
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Ten skrypt wklej tu:
[Aby zobaczyć linki, zarejestruj się tutaj ]
0x DEADBEEF
Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
dobrze, że humor dopisuje
bardzo ładne strzałki oraz zaskakujący akcent onomatopeiczny
[Aby zobaczyć linki, zarejestruj się tutaj ]
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Wykonaj jeszcze raz tamten skrypt. Dodatkowo wykonaj ten: (jako oddzielny)
Kod:
:OTL
[2013-06-24 21:22:37 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{b79443ad-69e9-9589-87cf-ec3cae772c73}\L
[2013-06-24 22:15:31 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{b79443ad-69e9-9589-87cf-ec3cae772c73}\U
[2013-06-24 12:57:00 | 000,000,804 | ---- | M] () -- C:\Windows\Installer\{b79443ad-69e9-9589-87cf-ec3cae772c73}\L\0
[2013-06-24 14:01:57 | 000,000,544 | ---- | M] () -- C:\$Recycle.bin\S-1-5-21-1139844606-3016237566-1043412071-1000\$IV7PJA5.@0000004.@
:Commands
[EMPTYTEMP]
[REBOOT]
Powinno być dosyć czysto. Ściągnij jeszcze
[Aby zobaczyć linki, zarejestruj się tutaj ]
i rurchom z opcji "Usuń".
Dodaje w załączniku pliki rejestru do naprawy.
Wypakujesz sobie.
To będzie wszystko
Załączone pliki
Pliki rejestru.zip (Rozmiar: 33,85 KB / Pobrań: 101)
0x DEADBEEF
Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
skrypt nr 1
[Aby zobaczyć linki, zarejestruj się tutaj ]
skrypt nr 2
[Aby zobaczyć linki, zarejestruj się tutaj ]
i log po AdwCleaner
[Aby zobaczyć linki, zarejestruj się tutaj ]
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Jest już czysto
<!-- s
-->
0x DEADBEEF
Liczba postów: 22
Liczba wątków: 1
Dołączył: 24.06.2013
Reputacja:
0
rzeczywiście mam już dostęp do aktualizacji. Niestety nie mogę ich zainstalować. Zaczyna pobierać a za chwilę wywala błąd.
Kod 800B0100
Po zmianach w rejestrze zrobiłam restart. Potem te nieszczęsne aktualizacje, które nie chcą się zainstalować.
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Spróbuj użyć tego
[Aby zobaczyć linki, zarejestruj się tutaj ]
0x DEADBEEF