pomocy w logach :)

bugster · 23 Grudnia 2013

ASUS R500V

Intel ® Core i3-2350M CPU @ 2,30 GHz

4,00 GB RAM

Win 8 64-bit

Prosze o pomoc, wiadomo, muli, i rozne cuda... dodam jeszcze ze to nie moj komputer, ktos widze kiedys zainstalowal pande, z ktora ja osobiscie mialem wiele klopotow, podejrzewam tez jej swoje 5 groszy, oczywiscie moge sie mylic.

filutka78 · 23 Grudnia 2013

1) Odinstaluj:

"{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" = BitGuard

"Bonanza Deals" = Bonanza Deals (remove only)

"delta" = Delta toolbar

"Delta Chrome Toolbar" = Delta Chrome Toolbar

"funmoods" = Funmoods

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Zrób nowy log z OTL.

F.

bugster · 23 Grudnia 2013

BitGuard pomimo zldnego komunikatu o sukcesie deinstalacji, nie zostal odinstalowany, Funmoods nie konczy deinstalacji, komunikat przy ponownej probie : "zaczekaj, az zmienianie lub deinstalowanie zostanie zakonczone... "

poprawka, funmoods jednak poszedl w zapomnienie, pozostaje bitguard. na liscie programow w panelu nie widnieje, foldery i pliki jednak jakby nienaruszone po deinstalacji

filutka78 · 23 Grudnia 2013

BitGuard pomimo zldnego komunikatu o sukcesie deinstalacji, nie zostal odinstalowany, Funmoods nie konczy deinstalacji, komunikat przy ponownej probie : "zaczekaj, az zmienianie lub deinstalowanie zostanie zakonczone... "

poprawka, funmoods jednak poszedl w zapomnienie, pozostaje bitguard. na liscie programow w panelu nie widnieje, foldery i pliki jednak jakby nienaruszone po deinstalacji

przejdż do następnego kroku

bugster · 23 Grudnia 2013

Raport adw http://wklej.org/id/1214747/

filutka78 · 24 Grudnia 2013

Raport adw http://wklej.org/id/1214747/

jeszcze nowy log z OTL ..

bugster · 24 Grudnia 2013

i OTL http://wklej.org/id/1214755/

filutka78 · 24 Grudnia 2013

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2013-12-23 23:49:11 | 000,000,000 | ---D | C] -- C:\Users\natalia bednarz\.android
[2013-12-23 23:49:08 | 000,000,000 | ---D | C] -- C:\Users\natalia bednarz\AppData\Local\cache
[2013-12-23 23:49:06 | 000,000,000 | ---D | C] -- C:\Users\natalia bednarz\AppData\Roaming\newnext.me
[2013-12-23 23:49:06 | 000,000,000 | ---D | C] -- C:\Users\natalia bednarz\AppData\Local\genienext
[2013-12-14 20:41:19 | 000,385,528 | ---- | C] () -- C:\Windows\SysNative\ApnDatabase.xml

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1609134751-2308851457-2005147453-1002\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

Raportu z tego już nie dawaj.

Kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

bugster · 24 Grudnia 2013

Dziekuje, na Ciebie zawsze mozna liczyc, Pozdrawiam i wesołych świąt życze

jeszcze mialbym jedno pytanie, sposob na najlepsza ochrone, zeby nie musiec wykorzystywac OTL co chwile ... Jest jakies solidne antidotum ?

filutka78 · 24 Grudnia 2013

sposob na najlepsza ochrone, zeby nie musiec wykorzystywac OTL co chwile ... Jest jakies solidne antidotum ?

Nie ma.

W tym konkretnym przypadku trzeba było bardzo uważać przy instalacji darmowych programów ściąganych z internetu.

F.

bugster · 25 Grudnia 2013

Kolejny komputer:

Intel® Pentium® Dual CPU

E2140 @ 1,60 GHz

1,61 GHz. 0,99 GB RAM

Win XP Pro SP2

Extras http://wklej.org/id/1215354/

OTL http://wklej.org/id/1215355/

filutka78 · 25 Grudnia 2013

1) Odinstaluj:

"{EEE6C374-6118-11DC-9C72-001320C79847}" = SweetPacks Toolbar For Firefox 1.11.0.2

"aartemis Browser Protecter" = aartemis Browser Protecter

"BrowseSmart" = BrowseSmart

"DefaultTab" = DefaultTab

"SweetIM Bundle by SweetPacks" = SweetIM Bundle by SweetPacks

"WNLT" = IB Updater Service

"WPM" = WPM17.8.0.3159

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Zrób nowy log z OTL.

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

EDIT:

Oprócz sponsorskich śmieci jest też infekcja.

EDIT 2:

Jeśli masz jeszcze tego zarażonego pendrive'a, to użyj >USBFix

Kliknij w nim na: DELETION.

Daj raport z tego usuwania.

F.

bugster · 25 Grudnia 2013

OTL http://wklej.org/id/1215407/

ADW http://wklej.org/id/1215408/

co do pendrive'a to nie wiem ktory to byl

filutka78 · 25 Grudnia 2013

co do pendrive'a to nie wiem ktory to byl

Ostatnio zarażony pen był widziany jako "K":

O33 - MountPoints2\{9211e054-6bc8-11e2-a7aa-001a4d2b9b61}\Shell\explore\command - "" = K:\RECYCLER\470a1245.exe
O33 - MountPoints2\{e76aa97b-4304-11e3-a9ba-001a4d2b9b61}\Shell\AutoRun\command - "" = K:\zPharaoh.exe

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
MOD - [2013-08-21 09:06:21 | 000,292,864 | ---- | M] () -- C:\Documents and Settings\xxx\Ustawienia lokalne\Temp\minerd.exe
MOD - [2013-08-21 09:06:21 | 000,292,864 | ---- | M] () -- C:\Documents and Settings\xxx\Dane aplikacji\1.exe
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\NTDETPCI.sys -- (NTDETPCI)
[2013-12-25 12:16:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\xxx\Dane aplikacji\newnext.me
[2013-12-25 12:16:25 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xxx\.android
[2013-12-25 12:16:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\genienext
O4 - HKU\S-1-5-21-1844237615-1060284298-725345543-1003..\Run: [Microsoft DLL Registration] C:\Documents and Settings\xxx\Dane aplikacji\regsrv64.exe (FileZilla Project)
O4 - HKU\S-1-5-21-1844237615-1060284298-725345543-1003..\Run: [Mzieiq] C:\Documents and Settings\xxx\Dane aplikacji\Mzieiq.exe ()
O4 - HKU\S-1-5-21-1844237615-1060284298-725345543-1003..\Run: [WINSXS32] C:\Documents and Settings\xxx\Dane aplikacji\1.exe ()

:Files
C:\Documents and Settings\xxx\Dane aplikacji\*.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1844237615-1060284298-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z OTL.

Zrób logi z FRST http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087

Przeskanuj komputer (i pena) przy pomocy rmmabez.exe http://free.avg.com/us-en/remove-win32-mabezat

F.

bugster · 25 Grudnia 2013

OTL http://wklej.org/id/1215460/

FRST http://wklej.org/id/1215464/

Addition http://wklej.org/id/1215465/

bugster · 25 Grudnia 2013

USBfix http://wklej.org/id/1215487/

filutka78 · 25 Grudnia 2013

Na tym "K" nie ma infekcji - więc albo jest na innym penie, albo pen był formatowany.

Otwórz Notatnik i wklej w nim:

Task: C:\WINDOWS\Tasks\SmartPCFix Task.job => C:\Program Files\SmartPCFix\SmartPCFix.exe <==== ATTENTION
C:\Program Files\SmartPCFix
HKCU\...\Run: [097150db19ccaaa7b2aa7578097150db] - C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa7b2aa7578097150db\f3553f27.exe
C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa7b2aa7578097150db\f3553f27.exe
C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa7b2aa7578097150db
2013-12-01 19:44 - 2013-12-01 19:44 - 00000000 ____D C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa7b2aa7578097150db
2013-11-30 19:06 - 2013-11-30 19:06 - 00000000 ____D C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\cache
2013-11-30 19:06 - 2013-11-30 19:06 - 00000000 _____ C:\Documents and Settings\xxx\daemonprocess.txt
2013-12-25 14:46 - 2013-04-15 14:19 - 00000348 _____ C:\WINDOWS\Tasks\SmartPCFix Task.job

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Zrób nowy log z FRST (już bez Addition).

F.

bugster · 25 Grudnia 2013

FRST http://wklej.org/id/1215518/

filutka78 · 25 Grudnia 2013

Coś to się nie chce usunąć ..

Otwórz Notatnik i wklej w nim:

HKCU\...\Run: [097150db19ccaaa73e7fe29c097150db] - C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa73e7fe29c097150db\f3553f27.exe [142336 2013-12-20] ()
C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa73e7fe29c097150db\f3553f27.exe
C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa73e7fe29c097150db
2013-11-30 18:58 - 2013-11-30 18:58 - 00000000 ____D C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa73e7fe29c097150db

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj go.

Zrób nowy log z FRST.

Czy rmmabez.exe coś wykrył?

F.

bugster · 25 Grudnia 2013

po pierwszym skanowaniu nie wykrył nic, ponowiłem, również nic, zarówno komp jak i pen wg niego czyste

Fixlog http://wklej.org/id/1215531/

FRST http://wklej.org/id/1215533/

filutka78 · 25 Grudnia 2013

FRST niby usuwa, ale w nowym logu to dalej jest.

Do >SystemLook wklej:

:filefind
f3553f27.exe
f3553f27.*

:dir
C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa73e7fe29c097150db

:file
C:\Documents and Settings\xxx\Dane aplikacji\097150db19ccaaa73e7fe29c097150db\f3553f27.exe

:regfind
f3553f27

:folderfind
097150db19ccaaa73e7fe29c097150db

Naciśnij Look i pokaż raport.

F.

bugster · 25 Grudnia 2013

Problem, wyskakuje błąd :

AppName: systemlook.exe AppVer: 0.0.0.0 ModName: systemlook.exe

ModVer: 0.0.0.0 Offset: 00010e9b

raport błędu: http://wklej.org/id/1215538/

ale sprawdziłem i zrobiło loga ,chyba niekompletnego

SystemLook http://wklej.org/id/1215539/

filutka78 · 25 Grudnia 2013

Log z SystemLook nie zgadza się z tym, co widać w logu FRST.

Zrób jeszcze raz log z FRST (bez Addition) oraz log z OTL.

F.

bugster · 25 Grudnia 2013

FRST http://wklej.org/id/1215542/

OTL http://wklej.org/id/1215544/

filutka78 · 25 Grudnia 2013

Na szczęście w tych nowych logach już nie ma infekcji.

Możemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST

W USBFix kliknij na przycisk UNINSTALL.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

SystemLook - usuń ręcznie.

========================================================

Windows XP Professional Edition Dodatek Service Pack 2

Już od kilku lat Twój System jest dziurawy.

Zainstaluj Service Pack 3.

Od Microsoftu już nie możesz ściągnąć, więc ściągnij np. stąd http://www.programosy.pl/program,windows-xp-service-pack-3.html

Potem, już poprzez Windows Update, ściągnij i zainstaluj wszystkie łatki, jakie wydał Microsoft od 2010 roku.

Drive C: | 29,29 Gb Total Space | 8,50 Gb Free Space | 29,03% Space Free | Partition Type: NTFS
Drive D: | 53,71 Gb Total Space | 52,16 Gb Free Space | 97,11% Space Free | Partition Type: NTFS

Problemem może być to, że na partycji "C" masz niezbyt dużo wolnego miejsca, przydałoby się zmniejszyć partycję "D", i dodać to do partycji "C" (np. przy pomocy EaseUS Partition Master http://www.programosy.pl/program,easeus-partition-manager-home-edition.html

Ale to już nie moja sprawa.

Wesołych Świąt!.

F.

Temat został przeniesiony do archiwum

pomocy w logach :)

Rekomendowane odpowiedzi

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

bugster 0