Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Proszę o sprawdzenie logów po usunięciu wirusa Polizja, z Bronisławem w tle z systemu Windows XP Home. Komputer należy do znajomej, której mąż nie wiedzieć w jakich okolicznościach złapał to dziadostwo. Co ciekawe, nawet tryb awaryjny z wierszem poleceń nie działał - od razu restartował komputer. W systemie rezyduje Avira Free - najwyraźniej nie poradziła sobie z zablokowaniem infekcji.
Działania jakie podjąłem:
1 - Z płyty Hiren''s Boot uruchomiłem Mini Widnows XP i usunąłem wszystkie punkty przywracania systemu, jak i plik pagefile.sys
2 - Uruchomiłem pełne skanowanie wszystkich partycji w systemie za pomocą Malwarebytes Anti-Malware Trial
- tu znalazło 35 plików, które widniały jako zagrożenia - usunąłem je - część wymagała ponownego uruchomienia maszyny. Po ponownym uruchomieniu, niestety nic się nie zmieniło
3 - Uruchomiłem skan Spybot Search & Destroy, z ww płyty. Wykryło sporo zagrożeń, wszystkie udało się usunąć. Niektóre wymagały ponownego uruchomienia systemu - po uruchomieniu system odzyskał sprawność.
4 - Na działającym systemie ściągnąłem HitmanPro, który wykrył Malware (rezydujące jako usługa) - usunąłem za pomocą HitmanaPro - z koniecznością ponownego uruchomienia systemu. System ładnie się obudził.
5 - Uruchomiłem AdwCleaner i wyczyściłem wszystko co zaproponował
6 - Dziś rano zrobiłem skan OTL''em i RSIT''em, oto one:
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
RSIT:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Chciałbym nadmienić, że jestem obecnie w pracy i nie mam dostępu do tego komputera. Po 17 jestem w stanie wykonać ewentualne skrypty, jeśli ktoś mi zaproponuje co należałoby zrobić. Niestety o 17:30 już nie będę miał tego komputera w posiadaniu - oddaję go właścicielowi. Zatem, jeśli ktoś zdąży do tego czasu nakierować mnie co zrobić, będę wdzięczny Po godzinie 17:30 nic nie będę w stanie zrobić.
Z góry dziękuję!
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Fajnie :-) deadline się przedłużyła do 18 :-) z gory dziękuję!
Wysłane z mojego C2105 przy użyciu Tapatalk 4
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Odinstaluj:
Mozilla Maintenance Service
W okienko własne opcje skanowania skrypt wklej i wykonaj:
Kod: :OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
IE - HKLM\..\SearchScopes\{7a085852-6757-4e38-8874-40baece5c3ae}: "URL" = http://www.searchbrowsing.com/search/?uid=983a9c1241fe45acc62a12c1d54e6330&o=1&pid=102&v=1&q={searchTerms}
IE - HKU\.DEFAULT\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
IE - HKU\.DEFAULT\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={12836552-1546-11E2-8896-001A4DF67E6A}
IE - HKU\S-1-5-18\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
IE - HKU\S-1-5-18\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={12836552-1546-11E2-8896-001A4DF67E6A}
IE - HKU\S-1-5-21-1957994488-790525478-1801674531-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
IE - HKU\S-1-5-21-1957994488-790525478-1801674531-1003\..\SearchScopes\{7a085852-6757-4e38-8874-40baece5c3ae}: "URL" = http://www.searchbrowsing.com/search/?uid=983a9c1241fe45acc62a12c1d54e6330&o=1&pid=102&v=1&q={searchTerms}
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\WłAśCICIEL\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XNLPSZ9V.DEFAULT\EXTENSIONS\{46551EC9-40F0-4E47-8E18-8E5CF550CFB8}.XPI
File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\WłAśCICIEL\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XNLPSZ9V.DEFAULT\EXTENSIONS\{B9DB16A4-6EDC-47EC-A1F4-B86292ED211D}
File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\WłAśCICIEL\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XNLPSZ9V.DEFAULT\EXTENSIONS\[email protected]
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Właściciel\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O33 - MountPoints2\{7725ce52-a134-11de-82b2-001a4df67e6a}\Shell\AutoRun\command - "" = F:\e9naq.exe
O33 - MountPoints2\{7725ce52-a134-11de-82b2-001a4df67e6a}\Shell\open\Command - "" = F:\e9naq.exe
O33 - MountPoints2\{d9e28f83-f7b2-11de-833b-001a4df67e6a}\Shell\AutoRun\command - "" = G:\InstallTomTomHOME.exe
[2013-09-05 22:14:52 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\810o9i.ctrl
[2013-09-05 19:36:27 | 095,025,368 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\810o9i.pff
[2009-06-16 15:34:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\3261
[2009-03-30 15:10:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Właściciel\Dane aplikacji\EssentialPIM
[2011-12-03 21:52:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Właściciel\Dane aplikacji\Facebook
:Files
C:\Windows\tasks\*.*
:Commands
[EMPTYTEMP]
Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] kliknij Scani następnie Clean
Ściągnij ten program [Aby zobaczyć linki, zarejestruj się tutaj] zaznacz wszystko i kliknij GO
Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport po wykonaniu,jak i raport z Adwcleaner .
Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Serdecznie dziękuję za wszelkie wskazówki... komputer właśnie zdaje - oto logi, które zostały wygenerowane
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj] - raport po wykonaniu skryptu
[Aby zobaczyć linki, zarejestruj się tutaj] - OTL
[Aby zobaczyć linki, zarejestruj się tutaj] - Extras
ADWCleaner:
[Aby zobaczyć linki, zarejestruj się tutaj]
Raz jeszcze dziękuję za zaangażowanie... mam nadzieję, że tak oddany komputer nie będzie sprawiał problemów...
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ściągnij jeszcze to narzędzie i pokaż mi co jest w lewym oknie Keep[Aby zobaczyć linki, zarejestruj się tutaj]
I pytanie czy internet działa prawidłowo ?
Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Tachion, niestety nie mam dostępu do tego komputera i nie zanosi się w najbliższym czasie żebym owy dostęp miał. Koleżanka żony, do której komputera należy nie zgłaszała, że Internet nie działa, więc zakładam, że działa... zapewne byłby krzyk, gdyby tak nie było. Jeżeli wygląda na to, że jest coś niepokojącego, to ewentualnie spróbuję zaaranżować spotkanie... aczkolwiek jeśli nie jest to jakaś bardzo istotna sprawa, wolałbym to pominąć
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
No nic,tak więc skoro nikt nic nie zgłaszał to ok,jedynie co by się przydało to jeszcze sprzątanie w OTL
Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Raz jeszcze dziękuję za wyprowadzenie tego problemu. Pełen szacunek dla Twojej wiedzy w tej materii! :-)
Wysłane z mojego C2105 przy użyciu Tapatalk 4
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
|