edit:
Log z Malwarebytes
http://wklej.to/CCkGy
Aktualizacje na programosy.pl:
Chromium • Kaspersky Rescue Disk • Vim • Telegram Desktop Portable • Telegram Desktop • GeoGebra Portable • GeoGebra • SmartFTP • Alternate Password DB
-
- Ogłoszenie:
Wirus ukash
14 posty(ów) • Strona 1 z 1
Wirus ukash
przez Aceros 02 Wrz 2012, 10:44
edit:
Log z Malwarebytes
http://wklej.to/CCkGy
Wirus ukash
przez Aceros 02 Wrz 2012, 11:08
Właśnie robię to w trybie awaryjnym z obsługą sieci, ale nici 
Wirus ukash
przez wojtas 02 Wrz 2012, 11:15
no tak 
wybacz wczorajszy wieczór był długi... daj loga może z DDS
wybacz wczorajszy wieczór był długi... daj loga może z DDS
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
Wirus ukash
przez ytaszey 02 Wrz 2012, 12:28
Czy uruchomiłeś system w trybie awaryjnym i zalogowałeś się na konto użytkownika, którego dotyczy problem? Czy bawiłeś się msconfig po infekcji, jeżeli tak zrób żeby było tak jak wcześniej.
Daj log z FRST lub OTLPE http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/
Sprawdź PW.
Daj log z FRST lub OTLPE http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/
Sprawdź PW.
- ytaszey
- ~user
- Posty: 72
- Dołączenie: 22 Sie 2012, 13:42
- Pochwały: 9
Wirus ukash
przez ytaszey 02 Wrz 2012, 14:45
FRST pokazał infekcję:
Pytanie:
Kojarzysz to? Jeżeli nie, to dodaj linijkę C:\gewgwegw w skrycie, który podaję.
Instrukcja usuwania
Otwórz Notatnik i wklej:
Uruchom system z opcji Napraw, tak jak poprzednio uruchamiałeś FRST. Uruchom FRST i kliknij FIX.
Potem zrobisz nowy log Scan w FRST i pokażesz nowy FRST.txt i log z usuwania fixlog.txt
System powinien już normalnie się uruchamiać, bez Ukasha, a może normalnie zadziała OTL? http://oldtimer.geekstogo.com/OTL.exe
HKLM\...\Run: [spoolss] C:\Users\xxx\AppData\Local\Microsoft\Windows\4578\spoolss.exe [83456 2012-09-01] ()
2012-09-02 02:50 - 2012-09-02 02:50 - 00000000 ____D C:\Users\xxx\AppData\Roaming\hellomoto
Pytanie:
2012-08-23 07:39 - 2012-08-23 07:40 - 00000000 ____D C:\gewgwegw
Kojarzysz to? Jeżeli nie, to dodaj linijkę C:\gewgwegw w skrycie, który podaję.
Instrukcja usuwania
Otwórz Notatnik i wklej:
Plik zapisz pod nazwą fixlist.txt i umieść tam gdzie plik exe FRST.C:\Users\xxx\AppData\Local\Microsoft\Windows\4578
C:\Users\xxx\AppData\Roaming\hellomoto
Uruchom system z opcji Napraw, tak jak poprzednio uruchamiałeś FRST. Uruchom FRST i kliknij FIX.
Potem zrobisz nowy log Scan w FRST i pokażesz nowy FRST.txt i log z usuwania fixlog.txt
System powinien już normalnie się uruchamiać, bez Ukasha, a może normalnie zadziała OTL? http://oldtimer.geekstogo.com/OTL.exe
- ytaszey
- ~user
- Posty: 72
- Dołączenie: 22 Sie 2012, 13:42
- Pochwały: 9
-
Wirus ukash
przez Aceros 02 Wrz 2012, 15:03
http://wklej.to/GF39Y FRST
http://wklej.to/SOBWa FIXLOG
Na razie wszystko działa
"Kojarzysz to? Jeżeli nie, to dodaj linijkę C:\gewgwegw w skrycie, który podaję."
To była nazwa folderu.
Dzięki!
http://wklej.to/SOBWa FIXLOG
Na razie wszystko działa
"Kojarzysz to? Jeżeli nie, to dodaj linijkę C:\gewgwegw w skrycie, który podaję."
To była nazwa folderu.
Dzięki!
Wirus ukash
przez ytaszey 02 Wrz 2012, 15:22
Tak:
Pliki Ukasha usunięte.
Został wpis w rejestrze:
Start >>> w okno wyszukiwania wpisz regedit i uruchom >>> przejdź do:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
z prawej strony powinno być spoolss, kliknij na niego prawym przyciskiem myszy i wybierz Usuń.
Albo jeżeli masz problem albo samemu boisz się, to wejdź do:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Plik - Eksportuj i zapisz plik pod dowolną nazwą i wrzuć na http://www.speedyshare.com/ Wtedy napiszę Ci automat.
Po tym możesz pokazać nowy log z OTL, o ile działa?
Rozumiem, że system uruchamia się w normalnym trybie, bez Ukasha?
1. Chodziło mi o to czy kojarzysz ten folder C:\gewgwegw
2. Usuwanie narzędzi:
- usuń FRST i C:\FRST
- usuń DDS
- w OTS kliknij CleanUp
- w OTL kliknij Sprzątanie
3. Wykonaj aktualizację Malwarebytes i przeskanuj
4. Przeczyść system CCleaner
5. Czyszczenie folderów przywracania systemu
CZYSZCZENIE LOKALIZACJI TYMCZASOWYCH
6. Użyj SecurityCheck i zaktualizuj programy oznaczone jako "Out of date!". To jedna z metod zapobiegania podobnym infekcjom w przyszłości. Szkodliwe oprogramowanie może dostać się do komputera przez luki w starych wersjach programów podczas gdy nowsze wersje programów posiadają załatane luki, które są obecne w starszych wersjach tychże.
W razie problemów z samodzielnym przejrzeniem raportu z SecurityCheck, przedstaw go proszę na forum, to pomyślimy razem. Jeżeli SecurityCheck wskaże jako nieaktualną Javę, to odinstaluj ją i pobierz i zainstaluj Javę w najnowszej wersji.
7. Z tego co widzę posiadasz preinstalowany system (z dodatkami producenta laptopa), proponuję zastanowić się nad Zmiana systemu preinstalowanego na czysty Windows.
Pliki Ukasha usunięte.
Został wpis w rejestrze:
HKLM\...\Run: [spoolss] C:\Users\xxx\AppData\Local\Microsoft\Windows\4578\spoolss.exe [x]
Start >>> w okno wyszukiwania wpisz regedit i uruchom >>> przejdź do:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
z prawej strony powinno być spoolss, kliknij na niego prawym przyciskiem myszy i wybierz Usuń.
Albo jeżeli masz problem albo samemu boisz się, to wejdź do:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Plik - Eksportuj i zapisz plik pod dowolną nazwą i wrzuć na http://www.speedyshare.com/ Wtedy napiszę Ci automat.
Po tym możesz pokazać nowy log z OTL, o ile działa?
Rozumiem, że system uruchamia się w normalnym trybie, bez Ukasha?
1. Chodziło mi o to czy kojarzysz ten folder C:\gewgwegw
2. Usuwanie narzędzi:
- usuń FRST i C:\FRST
- usuń DDS
- w OTS kliknij CleanUp
- w OTL kliknij Sprzątanie
3. Wykonaj aktualizację Malwarebytes i przeskanuj
4. Przeczyść system CCleaner
5. Czyszczenie folderów przywracania systemu
CZYSZCZENIE LOKALIZACJI TYMCZASOWYCH
6. Użyj SecurityCheck i zaktualizuj programy oznaczone jako "Out of date!". To jedna z metod zapobiegania podobnym infekcjom w przyszłości. Szkodliwe oprogramowanie może dostać się do komputera przez luki w starych wersjach programów podczas gdy nowsze wersje programów posiadają załatane luki, które są obecne w starszych wersjach tychże.
W razie problemów z samodzielnym przejrzeniem raportu z SecurityCheck, przedstaw go proszę na forum, to pomyślimy razem. Jeżeli SecurityCheck wskaże jako nieaktualną Javę, to odinstaluj ją i pobierz i zainstaluj Javę w najnowszej wersji.
7. Z tego co widzę posiadasz preinstalowany system (z dodatkami producenta laptopa), proponuję zastanowić się nad Zmiana systemu preinstalowanego na czysty Windows.
- ytaszey
- ~user
- Posty: 72
- Dołączenie: 22 Sie 2012, 13:42
- Pochwały: 9
-
Wirus ukash
przez Aceros 02 Wrz 2012, 17:08
Win32 Error. Code: 1722.
Serwer RPC jest niedostępny
Takie coś mam w OTL
Jednak Log jest:
http://wklej.to/hEhFA
Usunięte wszystko
Malware: nic nie wykryło
Przeczyszczone przez CCleaner
Resztę zrobię potem.
Serwer RPC jest niedostępny
Takie coś mam w OTL
Jednak Log jest:
http://wklej.to/hEhFA
Usunięte wszystko
Malware: nic nie wykryło
Przeczyszczone przez CCleaner
Resztę zrobię potem.
Wirus ukash
przez ytaszey 02 Wrz 2012, 18:17
Dobrze sobie radzisz. Jest OK.
Możemy trochę zoptymalizować system, jeżeli chcesz. Możemy usunąć adware (elementy reklamowe, paski wyszukiwania, strony startowe itp.) z przeglądarek.
1. W menedżerze rozszerzeń do Chrome odinstaluj SweetIM for Facebook.
W Panelu sterowania odinstaluj SweetIM for Facebook., startsear, facemoods. W razie problemów kontynuj dalej.
2. Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej:
Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).
3. Użyj AdwCleaner (opcja Delete).
4. Sprzątanie po używanych narzędziach:
- Uruchom OTL i kliknij Sprzątanie, aby usunąć OTL wraz z jego kwarantanną.
- Uruchom AdwCleaner i kliknij Uninstall, aby usunąć AdwCleaner.
- Usuń C:\FRST
5. Z mojego poprzedniego posta - użyj Security Check i zaktualizuj programy oznaczone jako Out of date! i czyszczenie folderów przywracania systemu
6. Kosmetyka
6.1.
Potrzebujesz tych programów podczas uruchamiania systemu? Jeżeli nie, to:
Start - Uruchom (albo naciśnij logo Windows + R) - msconfig - karta Uruchamianie - odznacz
6.2. Masz zainstalowane Gadu-Gadu.
Co powiedziałbyś o tym, żeby zmienić komunikator na lżejszy i dający możliwość rozmowy z użytkownikami Gadu-Gadu (uwaga, w alternatywnych komunikatorach nie zawsze działa przesyłanie plików, albo ja jestem zbyt leniwy żeby porządnie to skonfigurować).
Sam używam i polecam wśród kolegów WTW:
http://wtw.im/
http://www.programosy.pl/program,wtw.html
http://www.fixitpc.pl/topic/65-darmowe-komunikatory-internetowe/page__st__20__p__386&#entry386
WTW nie zużywa tyle zasobów co Gadu-Gadu. Oto porównanie Gadu-Gadu 10 i WTW jeżeli chodzi o zajętość pamięci, GG zużywa 80 MB, WTW 15 MB pamięci.
(kliknij w obrazek, aby powiększyć)
6.3.
Optymalizacja Windows 7 ale największego kopa dałaby Twojemu systemowi Zmiana systemu preinstalowanego na czysty Windows.
Możemy trochę zoptymalizować system, jeżeli chcesz. Możemy usunąć adware (elementy reklamowe, paski wyszukiwania, strony startowe itp.) z przeglądarek.
1. W menedżerze rozszerzeń do Chrome odinstaluj SweetIM for Facebook.
W Panelu sterowania odinstaluj SweetIM for Facebook., startsear, facemoods. W razie problemów kontynuj dalej.
2. Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2992540
IE - HKLM\..\SearchScopes\{ED8A7C61-C099-45D2-AD32-1820585018DA}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=f7abd922-e939-11e0-8557-206a8a311e3e&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://startsear.ch/?aff=1 [binary data]
IE - HKCU\..\URLSearchHook: {b0d3574e-b41f-4fe9-b976-1e8e303095b9} - No CLSID value found
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=f7abd922-e939-11e0-8557-206a8a311e3e&q={searchTerms}
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKCU\..\SearchScopes\{9F0F61A7-31E7-4AAD-B221-64F97E2A55D3}: "URL" = http://startsear.ch/?aff=1&q={searchTerms}
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2992540
IE - HKCU\..\SearchScopes\{ED8A7C61-C099-45D2-AD32-1820585018DA}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=f7abd922-e939-11e0-8557-206a8a311e3e&q={searchTerms}
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_235.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
CHR - Extension: SweetIM for Facebook = C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: SweetIM for Facebook = C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
O2 - BHO: (no name) - {838347E4-61B6-412C-A57E-A8C7B8343AC2} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [IVONA Reader] "C:\Program Files (x86)\IVONA\IVONA Reader\IVONA Reader.exe.exe" -t -nosplash File not found
O4 - HKCU..\Run: [RGSC] C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
@Alternate Data Stream - 149 bytes -> C:\ProgramData\Temp:CDFF58FE
@Alternate Data Stream - 149 bytes -> C:\ProgramData\Temp:93EB7685
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:63238B95
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:798A3728
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:E3C56885
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).
3. Użyj AdwCleaner (opcja Delete).
4. Sprzątanie po używanych narzędziach:
- Uruchom OTL i kliknij Sprzątanie, aby usunąć OTL wraz z jego kwarantanną.
- Uruchom AdwCleaner i kliknij Uninstall, aby usunąć AdwCleaner.
- Usuń C:\FRST
5. Z mojego poprzedniego posta - użyj Security Check i zaktualizuj programy oznaczone jako Out of date! i czyszczenie folderów przywracania systemu
6. Kosmetyka
6.1.
O4 - HKLM..\Run: [WinampAgent] C:\Program Files (x86)\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
Potrzebujesz tych programów podczas uruchamiania systemu? Jeżeli nie, to:
Start - Uruchom (albo naciśnij logo Windows + R) - msconfig - karta Uruchamianie - odznacz
6.2. Masz zainstalowane Gadu-Gadu.
Co powiedziałbyś o tym, żeby zmienić komunikator na lżejszy i dający możliwość rozmowy z użytkownikami Gadu-Gadu (uwaga, w alternatywnych komunikatorach nie zawsze działa przesyłanie plików, albo ja jestem zbyt leniwy żeby porządnie to skonfigurować).
Sam używam i polecam wśród kolegów WTW:
http://wtw.im/
http://www.programosy.pl/program,wtw.html
http://www.fixitpc.pl/topic/65-darmowe-komunikatory-internetowe/page__st__20__p__386&#entry386
WTW nie zużywa tyle zasobów co Gadu-Gadu. Oto porównanie Gadu-Gadu 10 i WTW jeżeli chodzi o zajętość pamięci, GG zużywa 80 MB, WTW 15 MB pamięci.
(kliknij w obrazek, aby powiększyć)
6.3.
Optymalizacja Windows 7 ale największego kopa dałaby Twojemu systemowi Zmiana systemu preinstalowanego na czysty Windows.
- ytaszey
- ~user
- Posty: 72
- Dołączenie: 22 Sie 2012, 13:42
- Pochwały: 9
-
Wirus ukash
przez Aceros 03 Wrz 2012, 11:57
Gadu rzadko używam, więc nie będę instalował innego komunikatora. Chrome usunięty, bo używam Firefoxa.
LOG OTL po skrypcie: http://wklej.to/VQYZp
LOG ADWCleaner: http://wklej.to/VDFpR
6.1 zrobione
Zaktualizowałem wszystko, a dalej pisze, że java out of date.
6.3, pomyślę nad tym potem
LOG OTL po skrypcie: http://wklej.to/VQYZp
LOG ADWCleaner: http://wklej.to/VDFpR
6.1 zrobione
Zaktualizowałem wszystko, a dalej pisze, że java out of date.
6.3, pomyślę nad tym potem
Wirus ukash
przez ytaszey 03 Wrz 2012, 21:31
Uruchom OTL i kliknij Sprzątanie, aby usunąć OTL wraz z jego kwarantanną.
Uruchom AdwCleaner i kliknij Uninstall, aby usunąć AdwCleaner.
Nie przejmuj się Javą, to błąd SecurityCheck.
Wszystko jest dobrze.
Dziękuję
Pozdrawiam
Wszystkiego dobrego
Uruchom AdwCleaner i kliknij Uninstall, aby usunąć AdwCleaner.
Nie przejmuj się Javą, to błąd SecurityCheck.
Wszystko jest dobrze.
Dziękuję
Pozdrawiam
Wszystkiego dobrego
- ytaszey
- ~user
- Posty: 72
- Dołączenie: 22 Sie 2012, 13:42
- Pochwały: 9
-
14 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 10 gości