Liczba postów: 9
Liczba wątków: 2
Dołączył: 26.09.2011
Reputacja:
0
Objawy zainfekowania: nie można było odpalić kompa, .po uruchomieniu awaryjnym i przeskanowaniu oraz usunięciu problemów , pozostał jeszcze jeden tzn. że w trakcie przeglądania stron i poruszania myszką obraz/strona internetowa skacze/przesuwa się bez żadnej kontroli z mojej strony.Skanowanie programem AVG ujawniło jeszcze jeden nie wyleczony problem w pliku system("Zainfekowany";"Zrednie";"IRP hook, C:\WINDOWS\system32\drivers\Ntfs.sys IRP_MJ_READ -> 0xFFFFFFFF8A2462C0";"<unknown>";"Zainfekowany")
Napisz czym objawia się infekcja
Wykonywane działania: snawanie wykonane AVG ,malwarebytes antimalware oraz Registry mechanic
Opisz czym był skanowany komputer, jakie posiada oprogramowanie ochronne
Logi:
Tutaj umieść linki do logów z OTL i RSIT
[Aby zobaczyć linki, zarejestruj się tutaj ]
[Aby zobaczyć linki, zarejestruj się tutaj ]
Załączone pliki
raport skanowania.csv (Rozmiar: 866 bajtów / Pobrań: 6)
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Zaktualizuj:
Adobe Reader X (10.0.1)
Adobe Flash Player 10
Odinstaluj:
AVG Security Toolbar
facemoods
Funmoods
"V9Software" = Deinstalator Strony V9
Do OTL w okienko własne opcje skanowania skrypt wklej i wykonaj:
Kod:
:OTL
PRC - [2013-09-23 21:36:36 | 002,285,232 | ---- | M] () -- C:\Program Files\AVG Secure Search\vprot.exe
PRC - [2013-09-23 21:36:36 | 001,616,048 | ---- | M] (AVG Secure Search) -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.4.0\ToolbarUpdater.exe
PRC - [2013-09-23 21:36:36 | 000,161,968 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.4.0\loggingserver.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=cor
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironto&cd=2XzuyEtN2Y1L1QzutDtDtBtByEtAtC0E0AtD0AyEzytC0ByEtN0D0Tzu0CtAyBtCtN1L2XzutN1L1Czu2Y1E1QtC&cr=1920217299&ir=
IE - HKLM\..\SearchScopes\{78C629AE-A5B1-1C3E-31C8-784809C4F13B}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119535&tt=190313_wo3&babsrc=HP_ss&mntrId=506B0022431EA0A4
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=cor
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.babylon.com/?q={searchTerms}&affID=119535&tt=190313_wo3&babsrc=SP_ssbtis1&mntrId=506B0022431EA0A4
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes\{78C629AE-A5B1-1C3E-31C8-784809C4F13B}: "URL" = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}
IE - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\SearchScopes\{E639B210-3BF7-4111-8D76-9300F63D0CC7}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironto&cd=2XzuyEtN2Y1L1QzutDtDtBtByEtAtC0E0AtD0AyEzytC0ByEtN0D0Tzu0CtAyBtCtN1L2XzutN1L1Czu2Y1E1QtC&cr=1920217299&ir=
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\15.4.0\\npsitesafety.dll ()
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\Toolbar\ShellBrowser: (no name) - {CE18769B-C7FA-42D2-860D-17C4662C70AD} - No CLSID value found.
O3 - HKU\S-1-5-21-1078081533-2052111302-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No CLSID value found.
O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\15.4.0\ViProtocol.dll (AVG Secure Search)
[2013-03-10 03:48:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\TuneUp Software
[2013-03-10 03:48:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator.SZATAN-B90744B8\Dane aplikacji\TuneUp Software
[2013-03-10 03:48:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator.SZATAN-B90744B8.000\Dane aplikacji\TuneUp Software
2011-02-25 14:41:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Agata\Dane aplikacji\orlujxxbfwmhnuixk2hjymiaihxrz312
[2011-02-25 14:42:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Agata\Dane aplikacji\xxzsohmwe3ldnqhigat1xawaljjbfoet2
[2013-02-02 22:22:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2013-09-24 14:45:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TEMP
[2013-03-10 03:48:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Default User\Dane aplikacji\TuneUp Software
:Files
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
:Commands
[EMPTYTEMP]
W Google Chrome wklep
chrome//extensions i wymontuj
Babylon Translator i
AVG Secure Search
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj ]
kliknij
Scan i następnie
Clean
Następnie uruchom
OTL ponownie i kliknij
Skanuj . Przedstaw nowy log
OTL oraz raport po wykonaniu,jak i raport z
Adwcleaner .
Liczba postów: 9
Liczba wątków: 2
Dołączył: 26.09.2011
Reputacja:
0
OTL po wklejeniu skryptu wygląda tak jakby się zawiesił . zamiast kursora widoczna klepsydra ...i nic . trwa to już około 1h. widok -OTL by OldTimer...(brak odpowiedzi ).co dalej . czy można zrestartować komputer?
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Spróbuj w trybie awaryjnym z obsługą sieci wykonać
0x DEADBEEF
Liczba postów: 9
Liczba wątków: 2
Dołączył: 26.09.2011
Reputacja:
0
problem jest dale ze wskaźnikiem myszki - bez wciśnięcia przycisku myszki strona przewija się w kierunku w jakim podąża wskaźnik . zaznaczam - bez wciśnięcia jakiegokolwiek przycisk .
[Aby zobaczyć linki, zarejestruj się tutaj ]
[Aby zobaczyć linki, zarejestruj się tutaj ]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Z tego co widzę większość się wykonała,do OTL wklej i wykonaj,pokaż raport z wykonania
Kod:
:OTL
IE - HKCU\..\SearchScopes\{78C629AE-A5B1-1C3E-31C8-784809C4F13B}: "URL" = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}
IE - HKCU\..\SearchScopes\{E639B210-3BF7-4111-8D76-9300F63D0CC7}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironto&cd=2XzuyEtN2Y1L1QzutDtDtBtByEtAtC0E0AtD0AyEzytC0ByEtN0D0Tzu0CtAyBtCtN1L2XzutN1L1Czu2Y1E1QtC&cr=1920217299&ir=
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {CE18769B-C7FA-42D2-860D-17C4662C70AD} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No CLSID value found.
:Commands
[EMPTYTEMP]
Liczba postów: 9
Liczba wątków: 2
Dołączył: 26.09.2011
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj ]
problem jeszcze występuje , ale sporadycznie- tak mi się wydaje .
jak byłem w trybie awaryjnym to nawet nie mogłem zaznaczyć skryptu do skopiowania tak latało . bo co ruszyłem myszką to mi wszystko się przesuwało
Dodano: 26 wrz 2013, 20:59
niestety , problem jest ten sam
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ściągnij FRST
[Aby zobaczyć linki, zarejestruj się tutaj ]
uruchom i kliknij Scan podaj 2 logi które zostaną wygenerowane
FRST.txt i
Addition.txt
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj ]
kliknij skanuj i przedstaw raport z niego.
Ściągnij Crystal Disk Info:
[Aby zobaczyć linki, zarejestruj się tutaj ]
... Shizuku-eni zrób zrzut ekranu z niego.
Sprawdź programem
Memtest86 + pamieć komputera pod względem błędów
[Aby zobaczyć linki, zarejestruj się tutaj ]