jessica
(jessica)
2 Luty 2011 00:40
#2
Hijackthis to był dobry kilka lat temu, teraz to tylko zabawka.
Użyj > MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
Użyj USBFix , >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0
Kliknij w nim na: DELETION .
A jakie logi - to jest w jednym z “przyklejonych” tematów.
tutaj jest log z MBAM http://wklej.org/id/468837/
– Dodane 02.02.2011 (Śr) 3:40 –
a tutaj z USBFIX : http://wklej.org/id/468839/
jessica
(jessica)
2 Luty 2011 07:09
#4
Mam nadzieję, że pozwoliłaś MBAM na usunięcie tego, co wykrył, bo z raportu wynika, że wykrył, ale nie usuwał.
Więc jak?
Z >http://forum.dobreprogramy.pl/otl-gmer-rsit-dss-inne-instrukcje-t370405.html
jessi
http://wklej.org/id/468921/ poprawilam wczoraj juz bylam ledwo zywa czy teraz jeszcze cos pasuje mi zrobic? przy kazdym wlaczeniu mozilli wyskakuje mi proble z java "C:\Program Files\Java\jre\lib\deploy\jqs\ff…\bin\jqsnotify.exe
jessica
(jessica)
2 Luty 2011 11:57
#6
Jak dotąd nie widzę logu z OTL.
jessi
jessica
(jessica)
2 Luty 2011 18:32
#8
To są dwa logu Extras.txt, a brakuje logu OTL.txt
Daj go.
W logu Extras widać ślad infekcji “facebookowej”.
jessi
http://wklej.org/id/469207/ to juz powinno byc to. siostra mi wlasnie powiedziala ze kiedys otworzyla zdjecie jakies na poczcie na facebooku i od tego sie zaczelo.
jessica
(jessica)
2 Luty 2011 19:55
#10
Jednak po tej infekcji facebookowej zostały tylko ślady, nic więcej.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL IE - HKCU…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) IE - HKCU…\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre2.dll (Conduit Ltd.) IE - HKCU…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKCU…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSof2.dll (Conduit Ltd.) FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.5.0.145 FF - prefs.js…keyword.URL: “http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query= ” [2010-10-05 11:34:14 | 000,000,000 | —D | M] (Winamp Toolbar) – C:\Documents and Settings\Aneta\Dane aplikacji\Mozilla\Firefox\Profiles\183jd8rn.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010-12-10 09:01:14 | 000,000,000 | —D | M] (@@toolbarname @@) – C:\Documents and Settings\Aneta\Dane aplikacji\Mozilla\Firefox\Profiles\183jd8rn.default\extensions\toolbar@ask.com [2010-10-05 11:34:15 | 000,000,000 | —D | M] (Winamp Toolbar) – C:\Documents and Settings\Aneta\Dane aplikacji\Mozilla\Firefox\Profiles\mpmw4quo.aneta\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010-08-18 23:24:25 | 000,000,000 | —D | M] (Softonic-Polska Toolbar) – C:\Documents and Settings\Aneta\Dane aplikacji\Mozilla\Firefox\Profiles\mpmw4quo.aneta\extensions{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-05-26 14:18:50 | 000,002,333 | ---- | M] () – C:\Documents and Settings\Aneta\Dane aplikacji\Mozilla\Firefox\Profiles\183jd8rn.default\searchplugins\askcom.xml [2009-05-21 19:54:31 | 000,001,196 | ---- | M] () – C:\Documents and Settings\Aneta\Dane aplikacji\Mozilla\Firefox\Profiles\183jd8rn.default\searchplugins\winamp-search.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (Freecorder Toolbar) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre2.dll (Conduit Ltd.) O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - File not found O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSof2.dll (Conduit Ltd.) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM…\Toolbar: (Freecorder Toolbar) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre2.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSof2.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKCU…\Toolbar\WebBrowser: (Freecorder Toolbar) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - C:\Program Files\Freecorder\tbFre2.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (Softonic-Polska Toolbar) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - C:\Program Files\Softonic-Polska\tbSof2.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKCU…\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O4 - HKLM…\Run: [babylon Client] File not found MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found MsConfig - StartUpReg: HotKeysCmds - hkey= - key= - File not found MsConfig - StartUpReg: IgfxTray - hkey= - key= - File not found MsConfig - StartUpReg: Persistence - hkey= - key= - File not found MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - File not found [2011-02-02 18:01:01 | 000,000,234 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2011-02-02 03:37:55 | 000,970,004 | ---- | C] () – C:\UsbFix_Upload_Me_ANETA-213725E0C.zip :Files C:\Documents and Settings\Aneta\Moje dokumenty\Pobieranie\facebook-pic000934519.exe c:\windows\nvsvc32.exe C:\Program Files\Ask.com :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Documents and Settings\Aneta\Moje dokumenty\Pobieranie\facebook-pic000934519.exe”=- :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
jessica
(jessica)
2 Luty 2011 22:33
#12
Powinno być OK.
W USBFix kliknij na przycisk UNINSTALL
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
“Start Page”=“http://www.google.pl/ ”
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Start Page”=“http://www.google.pl/ ”
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
“{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}”=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
“{472734EA-242A-422B-ADF8-83D1E48CC825}”=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
“{A057A204-BACC-4D26-9990-79A187E2698E}”=-
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
w tym folderze mam tylko dwa pliki: “tracking” i “MountPointManagerRemoteDatabase” czy to mam usunac??
jessica
(jessica)
2 Luty 2011 23:05
#14
jeśli są tam tylko te dwa obiekty, to znaczy, że nie masz żadnych kopii, nie musisz więc wyłączać “Przywracania Systemu”.
jessi
jejku nie wiem jak Ci dziekowac strasznie sie ciesze ze komputerek jest uleczony