m101st
(m101st)
15 Czerwiec 2013 07:42
#1
Cześć,
potrzebuję pomocy. Dostałem w prezencie Ukasha;). Wogóle się na tym nie znam, a zapaskudził dwa komputery.
Komputer I
OTL - http://wklej.to/tDs0f
Extras - http://wklej.to/PjO6B
Komputer II
OTL - http://wklej.to/rbP9s
Extras - http://wklej.to/Ij7B3
Acorus
(Acorus)
15 Czerwiec 2013 08:06
#2
Pierwszy:
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000…\Run: [ctfmon32.exe] C:\ProgramData\blowa.dat () O20 - HKLM Winlogon: Shell - (C:\PROGRA~3\awolb.bat) - C:\ProgramData\awolb.bat () [2013/06/14 21:01:53 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\rundll32.exe [2013/06/14 22:16:48 | 095,023,320 | ---- | M] () – C:\ProgramData\awolb.pad [2013/06/14 21:01:59 | 000,002,645 | ---- | M] () – C:\ProgramData\awolb.js [2013/06/14 21:01:59 | 000,000,151 | ---- | M] () – C:\ProgramData\awolb.reg [2013/06/14 21:01:59 | 000,000,056 | ---- | M] () – C:\ProgramData\awolb.bat [2013/06/14 21:01:53 | 000,167,936 | ---- | M] () – C:\ProgramData\blowa.dat [2013/06/14 21:02:05 | 000,001,029 | ---- | C] () – C:\Users\mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Drugi:
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL MOD - [2013-06-15 09:02:13 | 000,115,798 | RHS- | M] () – C:\WINNT\system32\arking0.dll MOD - [2013-06-15 09:02:13 | 000,090,624 | RHS- | M] () – C:\Documents and Settings\mike\Ustawienia lokalne\Temp\cvasds0.dll O4 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Run: [cdoosoft] C:\Documents and Settings\mike\Ustawienia lokalne\Temp\herss.exe () O4 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Run: [ctfmon32.exe] C:\Documents and Settings\All Users\Dane aplikacji\vrwi6z.dat () O4 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Run: [King_ar] C:\WINNT\system32\arking.exe () [2013-06-15 09:16:55 | 000,000,059 | RHS- | M] () – C:\autorun.inf [2013-06-15 09:02:13 | 000,115,798 | RHS- | M] () – C:\WINNT\System32\arking0.dll [2013-06-15 09:00:31 | 095,023,320 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\z6iwrv.pad [2013-06-14 23:53:17 | 000,000,780 | ---- | M] () – C:\Documents and Settings\mike\Menu Start\Programy\Autostart\regmonstd.lnk [2013-06-14 23:52:54 | 000,003,050 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\z6iwrv.js [2013-06-14 23:52:26 | 000,167,936 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\vrwi6z.dat [2013-06-14 23:52:26 | 000,033,280 | ---- | M] (Microsoft Corporation) – C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe [2013-06-15 09:12:00 | 000,167,936 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\ijee8.dat [2011-11-12 14:26:22 | 000,168,960 | RHS- | C] () – C:\WINNT\System32\arking.exe [2011-11-12 14:26:22 | 000,115,798 | RHS- | C] () – C:\WINNT\System32\arking0.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] “ServiceDll”=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Działamy po kolei.Najpierw zajmujemy się pierwszym.
m101st
(m101st)
15 Czerwiec 2013 17:17
#3
Pierwszy:
raport - http://wklej.to/SONUR
OTL - http://wklej.to/OC2nL
komp działa, ale nadal mam na pulpicie AVA Soft Professional, a przy starcie wyskakuje RunDLL - C:\users\mike\wgsdgsdgdsgsd.exe
– Dodane 15.06.2013 (So) 19:53 –
Ukash powrócił
ponowny skan
OTL - http://wklej.to/5IHuV
extras - http://wklej.to/8sm9c
Acorus
(Acorus)
15 Czerwiec 2013 18:30
#4
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL SRV - [2013/05/20 17:57:37 | 001,015,984 | ---- | M] (AVG Secure Search) [Auto | Stopped] – C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.2.0\ToolbarUpdater.exe – (vToolbarUpdater15.2.0) O4 - HKLM…\Run: [Onet.pl AutoUpdate] “C:\Program Files (x86)\Common Files\Onet.pl\NewAutoUpdate.exe” /updateexetsr File not found O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000…\Run: [ctfmon32.exe] C:\ProgramData\r4nia.dat (Корпорация Майкрософт) O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000…\Run: [iSUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O7 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O20 - HKLM Winlogon: Shell - (C:\PROGRA~3\ain4r.bat) - C:\ProgramData\ain4r.bat () [2013/06/15 19:36:11 | 000,256,512 | ---- | C] (Корпорация Майкрософт) – C:\ProgramData\ftri0.dat [2013/06/15 19:32:56 | 000,256,512 | ---- | C] (Корпорация Майкрософт) – C:\ProgramData\r4nia.dat [2013/06/15 19:32:56 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\rundll32.exe [2013/06/15 19:33:09 | 000,001,029 | ---- | C] () – C:\Users\mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk [2013/06/15 19:33:07 | 000,002,645 | ---- | C] () – C:\ProgramData\ain4r.js [2013/06/15 19:33:07 | 000,000,151 | ---- | C] () – C:\ProgramData\ain4r.reg [2013/06/15 19:33:07 | 000,000,056 | ---- | C] () – C:\ProgramData\ain4r.bat [2013/06/15 19:32:57 | 095,023,320 | ---- | C] () – C:\ProgramData\ain4r.pad 2013/06/03 19:31:59 | 000,000,350 | ---- | C] () – C:\windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job [2013/05/20 17:57:40 | 000,003,716 | ---- | C] () – C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml :Files C:\Users\mike\AppData\Local\Temp*.html :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
m101st
(m101st)
15 Czerwiec 2013 19:00
#5
Acorus
(Acorus)
16 Czerwiec 2013 07:51
#6
Odinstaluj AVG Security Toolbar,LiveVDO plugin 1.3,vShare Plugin.Użyj AdwCleaner http://general-changelog-team.fr/fr/dow … adwcleaner z funkcji Usuń(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Pokaż nowy OTL.txt
m101st
(m101st)
16 Czerwiec 2013 08:24
#7
adwcleaner - http://wklej.to/UY4JQ
OTL - http://wklej.to/JZWOG
extras - http://wklej.to/AMPhA
mam na pulpicie AVA Soft Professional, a przy starcie wyskakuje RunDLL - C:\users\mike\wgsdgsdgdsgsd.exe, da sie cos z tym zrobić?
Acorus
(Acorus)
16 Czerwiec 2013 08:57
#8
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
W AdwCleaner użyj opcji Usuń.
Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
m101st
(m101st)
16 Czerwiec 2013 10:09
#9
Malwarebytes Anti-Malware znalazł zagrożenia. Raport ze skanowania - http://wklej.to/1QXCh
– Dodane 16.06.2013 (N) 14:38 –
Taki raport dostałem. Co z tym dokładnie zrobić, bo ja naprawde zielony w temacie kompuerów…
Acorus
(Acorus)
16 Czerwiec 2013 16:47
#10
Usuń to co znalazł Malwarebytes.
Instalacja Service Pack 1
Windows 7 Service Pack 1. http://www.microsoft.com/downloads/en/d … 9b77cdfdda
Odinstaluj Java 6 Update 21
Zainstaluj http://www.java.com/pl/download/windows_offline.jsp
m101st
(m101st)
16 Czerwiec 2013 18:37
#11
Takie coś wyszło. Czy już jest wszystko ok? Można jakoś zabezpieczyć komputer przed Ukashem? Jaki jest dobry darmow antiwirus?
– Dodane 16.06.2013 (N) 20:39 –
Mam jeszcze jedną prośbę. Drugi komputer też dopadł Ukash, pomożesz?
OTL - http://wklej.to/vGvna
Extras - http://wklej.to/1UZYw
Acorus
(Acorus)
17 Czerwiec 2013 07:46
#12
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL MOD - [2013-06-16 19:14:34 | 000,090,624 | RHS- | M] () – C:\Documents and Settings\mike\Ustawienia lokalne\Temp\cvasds0.dll O4 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Run: [cdoosoft] C:\Documents and Settings\mike\Ustawienia lokalne\Temp\herss.exe () O4 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Run: [ctfmon32.exe] C:\Documents and Settings\All Users\Dane aplikacji\wibhwi.dat (Корпорация Майкрософт) [2013-06-15 21:33:41 | 000,256,512 | ---- | C] (Корпорация Майкрософт) – C:\Documents and Settings\All Users\Dane aplikacji\bhoi.dat [2013-06-15 20:10:55 | 000,256,512 | ---- | C] (Корпорация Майкрософт) – C:\Documents and Settings\All Users\Dane aplikacji\wibhwi.dat [2013-06-15 20:10:55 | 000,033,280 | ---- | C] (Microsoft Corporation) – C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe [2013-06-16 19:26:42 | 000,000,059 | RHS- | M] () – C:\autorun.inf [2013-06-16 14:06:20 | 095,023,320 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\iwhbiw.pad [2013-06-15 20:11:21 | 000,000,780 | ---- | M] () – C:\Documents and Settings\mike\Menu Start\Programy\Autostart\regmonstd.lnk [2013-06-15 20:11:04 | 000,003,050 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\iwhbiw.js :Commands [emptytmp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
m101st
(m101st)
17 Czerwiec 2013 10:44
#13
Komputer po kliknieciu wykonaj skrypt nie zresetował się. Zrobiłem to samemu guzikiem. Ukasha nie ma.
Raport - http://wklej.to/30NQ5
Po skanowaniu:
OTL - http://wklej.to/bI4nt
Extras - http://wklej.to/wcPIh
Acorus
(Acorus)
17 Czerwiec 2013 13:16
#14
Odinstaluj DAEMON Tools Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\SearchScopes{043C5167-00BB-4324-AF7E-62013FAEDACF}: “URL” = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: “URL” = http://www.daemon-search.com/search?q={searchTerms} O2 - BHO: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Toolbar\ShellBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Run: [cdoosoft] C:\DOCUME~1\mike\USTAWI~1\Temp\herss.exe File not found O4 - HKU\S-1-5-21-448539723-1004336348-725345543-1003…\Run: [ctfmon32.exe] C:\DOCUME~1\ALLUSE~1\DANEAP~1\rundll32.exe C:\DOCUME~1\ALLUSE~1\DANEAP~1\wibhwi.dat,XFG00 File not found O32 - AutoRun File - [2013-06-16 20:39:39 | 000,000,059 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2013-06-16 20:39:39 | 000,000,059 | RHS- | M] () - E:\autorun.inf – [NTFS] [2013-06-17 12:13:53 | 000,228,864 | ---- | C] (Корпорация Майкрософт) – C:\Documents and Settings\All Users\Dane aplikacji\rilo3b.dat [2013-06-17 06:42:12 | 000,228,864 | ---- | C] (Корпорация Майкрософт) – C:\Documents and Settings\All Users\Dane aplikacji\coqbje.dat [2011-08-12 21:00:29 | 000,000,000 | —D | M] – C:\Documents and Settings\mike\Dane aplikacji\OpenCandy :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
m101st
(m101st)
17 Czerwiec 2013 14:28
#15
Acorus
(Acorus)
17 Czerwiec 2013 14:32
#16
W OTL użyj opcji Sprzątanie.
Wyłącz i włącz przywracanie systemu.
http://searchengines.pl/topic/141981-czyszczenie-punkt ów-przywracania-systemu/
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
m101st
(m101st)
17 Czerwiec 2013 19:14
#17
Results of screen317’s Security Check version 0.99.64 Windows XP Service Pack 2 x86 Out of date service pack!! Antivirus/Firewall Check:
WMI entry may not exist for antivirus; attempting automatic update. Anti-malware/Other Utilities Check:
Malwarebytes Anti-Malware wersja 1.75.0.1300 Java 6 Update 22 Java 2 Runtime Environment, SE v1.4.0_03 Java version out of Date! Adobe Flash Player 11.1.102.55 Adobe Reader 10.1.3 Adobe Reader out of Date! Process Check: objlist.exe by Laurent
System Health check
Total Fragmentation on Drive C:: ````````````````````End of Log``````````````````````
Wyszło coś takiego, co teraz zrobić?
Acorus
(Acorus)
18 Czerwiec 2013 08:19
#18
Instalacja Service Pack 3.
Odinstaluj:
Java 6 Update 22
Java 2 Runtime Environment, SE v1.4.0_03
Adobe Reader 10.1.3
Zainstaluj:
http://www.java.com/pl/download/windows_offline.jsp
FoxitReader http://ninite.com/foxit/