set4812
(set4812)
10 Lipiec 2013 18:28
#1
Moja koleżanka klikneła na skype w link. Myślałała że to zdjęcie koleżanki które od niej dostała. Niestety koleżanka jej została zainfekowana i rozesłała innym . Ten wirus szybko się rozmnaża. Przejdzmy do tego ze blokuje słowa antywirus i nic nie można pobrać i zainstalować.Namieszał coś z katalogami i plikami że nie idzie otwierać. Dla tego prosiłem aby zrobiła log i wysłała mi na e-mail, a wy jej pomożecie.
Zamieszczam logi otl liczę na szybką pomoc bo koleżanka potrzebuje komputer do pracy a przez ten śmieć nie może.
OTL.txt
http://www.wklej.org/id/1084170/
extras.txt
http://www.wklej.org/id/1084177/
Liczę na szybką pomoc, koleżanka czeka na skrypt usuwający.
Pozdrawiam
set4812
Atis
(Atis)
11 Lipiec 2013 08:01
#2
Odinstaluj McAfee Security Scan Plus.
Uruchom AdwCleaner i kliknij Usuń.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\Windows\system32\drivers\MegaSR.sys – (MegaSR) IE - HKU\S-1-5-21-133224830-4131732907-159363782-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss_din2g&mntrId=EA770019D12A74A6 [2013-06-30 20:04:01 | 000,006,500 | ---- | M] () – C:\Users\Aga\AppData\Roaming\mozilla\firefox\profiles\g67alkn7.default\searchplugins\babylon.xml [2013-05-26 14:59:35 | 000,001,294 | ---- | M] () – C:\Users\Aga\AppData\Roaming\mozilla\firefox\profiles\g67alkn7.default\searchplugins\delta.xml [2013-06-30 20:04:19 | 000,001,304 | ---- | M] () – C:\Users\Aga\AppData\Roaming\mozilla\firefox\profiles\g67alkn7.default\searchplugins\holasearch.xml O4 - HKU\S-1-5-21-133224830-4131732907-159363782-1000…\Run: [Pupapp] C:\Users\Aga\AppData\Roaming\Pupapp.exe () O4 - HKU\S-1-5-21-133224830-4131732907-159363782-1000…\Run: [Windows Messages Controler] c:\users\public\sms.exe () [2013-06-30 20:03:55 | 000,000,000 | —D | C] – C:\Users\Aga\AppData\Roaming\PerformerSoft [2013-06-30 20:03:54 | 000,018,096 | ---- | C] (PerformerSoft LLC) – C:\Windows\System32\roboot.exe [2013-06-30 20:03:56 | 000,000,000 | —D | C] – C:\ProgramData\IBUpdaterService :Files C:\Users\Aga\AppData\Roaming*.exe c:\users\public*.exe :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
set4812 , proszę zapoznaj się z tą stroną oraz tym tematem , a następnie popraw tytuł tematu, tak aby mówił konkretnie o problemie.
W przypadku zignorowania prośby temat trafi do kosza.
set4812
(set4812)
11 Lipiec 2013 22:57
#4
Logi po usunięciu
http://www.wklej.org/id/1085047/
extras
http://www.wklej.org/id/1085050/
Mam nadzieję ze skrypt usunął wszystko
Atis
(Atis)
11 Lipiec 2013 23:13
#5
Napisałem żeby pokazać raport z usuwania.
Uruchom system w trybie awaryjnym i wtedy wykonaj skrypt.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
http://support2.kaspersky.com/pl/493#q1
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - [2013-02-05 17:48:00 | 000,235,216 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] – C:\Program Files\McAfee Security Scan\3.0.318\McCHSvc.exe – (McComponentHostService) IE - HKU\S-1-5-21-133224830-4131732907-159363782-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = fbdirecto.net/1/ FF - prefs.js…browser.startup.homepage: “fbdirecto.net/1/ ” FF - HKLM\Software\MozillaPlugins@mcafee.com/McAfeeMssPlugin: C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.) O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.) O4 - HKLM…\Run: [Adobe Reader Update] C:\Users\Aga\AppData\Roaming\Adobe\adbreader.exe () O4 - HKLM…\Run: [Windows Messages Controler] c:\users\public\sms.exe (TeamViewer GmbH) O4 - HKU\S-1-5-21-133224830-4131732907-159363782-1000…\Run: [Adobe Reader Update] C:\Users\Aga\AppData\Roaming\Adobe\adbreader.exe () O4 - HKU\S-1-5-21-133224830-4131732907-159363782-1000…\Run: [bfpxeiauahhrqwnc.exe] C:\Users\Aga\AppData\Roaming\Bfpxeiauahhrqwnc.exe (AirVPN) O4 - HKU\S-1-5-21-133224830-4131732907-159363782-1000…\Run: [Kupapk] C:\Users\Aga\AppData\Roaming\Kupapk.exe (AirVPN) O4 - HKU\S-1-5-21-133224830-4131732907-159363782-1000…\Run: [Lfghodbmvqlrsehk.exe] “C:\Users\Aga\AppData\Roaming\Lfghodbmvqlrsehk.exe” File not found O4 - HKU\S-1-5-21-133224830-4131732907-159363782-1000…\Run: [Windows Messages Controler] c:\users\public\sms.exe (TeamViewer GmbH) O32 - AutoRun File - [2010-03-09 10:32:08 | 000,000,101 | ---- | M] () - M:\autorun.inf – [NTFS] O32 - AutoRun File - [2013-07-11 22:27:18 | 000,005,592 | ---- | M] () - N:\autorun.inf – [FAT32] [2013-07-09 23:09:08 | 000,302,592 | ---- | C] (Microsoft Corporation) – C:\Windows\System32\cmd - Kopia.exe [2013-06-30 19:17:59 | 000,000,000 | —D | C] – C:\ProgramData\McAfee [2013-06-30 19:17:58 | 000,000,000 | —D | C] – C:\Program Files\McAfee Security Scan [2013-06-30 21:58:00 | 000,000,278 | ---- | M] () – C:\Windows\tasks\DSite.job [2013-04-06 14:39:14 | 000,000,000 | —D | M] – C:\Users\Aga\AppData\Roaming\Babylon [2013-04-06 14:39:12 | 000,000,000 | —D | M] – C:\Users\Aga\AppData\Roaming\DSite :Files c:\users\public*.exe C:\Users\Aga\AppData\Roaming*.exe :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
set4812
(set4812)
12 Lipiec 2013 22:41
#6
Mam nadzieje ze raporty wszystkie moja koleżanka dała co trzeba teraz.
Raport usuwanie zapewne:
http://www.wklej.org/id/1085788/
I skanowania
http://www.wklej.org/id/1085789/
Atis
(Atis)
12 Lipiec 2013 23:03
#7
Koleżanka nie potrafi porządnie wkleić do OTL kilku linijek i połowa skryptu nie została wykonana.
Poza tym widać, że się nudzi i postanowiła sobie poklikać w opcjach OTL
Nikt nie będzie sprawdzał loga wykonanego w ustawieniu na Wszystko (ALL)
Wszystkie opcje mają być ustawione na Użyj filtrowania:
analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741
Wklej i kliknij Wykonaj skrypt:
Pokaż nowy log z OTL.
set4812
(set4812)
13 Lipiec 2013 10:01
#8
Mam nadzieje ze koniec już będzie
http://www.wklej.org/id/1085880/
http://www.wklej.org/id/1085882/
Log
http://www.wklej.org/id/1085883/
Wtedy poszedł cały skrypt bo jej wysłałem cały więc nie wiem co poszło nie tak
Atis
(Atis)
13 Lipiec 2013 10:46
#9
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
set4812
(set4812)
23 Lipiec 2013 20:29
#10
Dorwałem się teamvieverem do kolezanki komputera przeleciałem anti malware byte i usunolem czesc, ale nie wszystko . Znikła blokada stron i skype spamujacy to napewno. Niestety został wirus który wrzuca się na urządzenia USB. Próbowałem USBFIXEM nie pomaga. Dodatkowo cos moze blokowac update norton 360 bo nie mogę go zaktualizować wersje wyzej.Zamieszczam logi. Anti malware byte juz nic nie wykrywa.Liczę na was że znajdziecie coś.
http://www.wklej.org/id/1093095/
Extras
http://www.wklej.org/id/1093097/
Atis
(Atis)
23 Lipiec 2013 23:39
#11
Podłącz zainfekowane urządzenia i pokaż raport UsbFix z opcji Listing.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL O4 - HKU\S-1-5-21-133224830-4131732907-159363782-1000…\Run: [Kupapk] C:\Users\Aga\AppData\Roaming\Kupapk.exe File not found O32 - AutoRun File - [2010-03-09 10:32:08 | 000,000,101 | ---- | M] () - M:\autorun.bak – [NTFS] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
set4812
(set4812)
24 Lipiec 2013 19:33
#12
http://wklej.org/id/1093760/
logi z usbfixa przed wykonaniem skryptu
listing
http://wklej.org/id/1093765/
Teraz przez windowsa nie widac w ogole plików a mam zaznaczone ukryte. Dopiero przez total commandera widze
Atis
(Atis)
24 Lipiec 2013 21:27
#13
Nie widzę raportu z usuwania i nowego logu Skanuj.
Poza tym warto napisać jaką literą oznaczone jest urządzenie którego dotyczy problem.