Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
usuniecie wirusa
24 Gru 2013, 21:16
Witam Wszystkich zainteresowanych moim problemem.Kilka dni temu mój komputer zaczął się dziwnie zachowywać bardzo sie zacinał na przeglądarce internetowej(firefox), a dzisiaj nawet bez powodu się sam zrestartował. Przeskanowałem go moim antywirusem (kaspersky) i wykrył on 2 trojany i coś tam jeszcze i oczywiście niby je usunął ale jakoś w to nie wierze dlatego proszę o pomoc i sprawdzenie logów z OTL i HIJACKthis. oto one:
OTL
http://www.wklej.eu/index.php?id=cfd305b304
EXTRAS
http://www.wklej.eu/index.php?id=1bf03252e8
HIJACKTHIS
http://www.wklej.eu/index.php?id=1fcde09ef5
Prosze tylko o pisanie zrozumiale bo ja nie jestem jakimś biegłym komputerowcem tylko pamiętam coś z combofixem jakieś kopiowanie wklejanie, ale to było dawno temu.pozdrawiam i wesołych świąt!
OTL
http://www.wklej.eu/index.php?id=cfd305b304
EXTRAS
http://www.wklej.eu/index.php?id=1bf03252e8
HIJACKTHIS
http://www.wklej.eu/index.php?id=1fcde09ef5
Prosze tylko o pisanie zrozumiale bo ja nie jestem jakimś biegłym komputerowcem tylko pamiętam coś z combofixem jakieś kopiowanie wklejanie, ale to było dawno temu.pozdrawiam i wesołych świąt!
Re: usuniecie wirusa
25 Gru 2013, 11:12
Odinstaluj qone8 Browser Protecter. Następnie:
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
MOD - [2013-11-07 03:47:00 | 001,972,304 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\taskmrg.exe
MOD - [2013-11-07 03:47:00 | 000,599,040 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\backtrace.dll
MOD - [2013-11-07 03:47:00 | 000,369,664 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libcurl-4.dll
MOD - [2013-11-07 03:47:00 | 000,314,368 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libevent-2-0-5.dll
MOD - [2013-11-07 03:47:00 | 000,132,096 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libplibc-1.dll
MOD - [2013-11-07 03:47:00 | 000,109,568 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\zlib1.dll
MOD - [2013-11-07 03:47:00 | 000,102,912 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\pdcurses.dll
MOD - [2013-11-07 03:47:00 | 000,082,944 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libmicrohttpd-10.dll
MOD - [2013-11-07 03:47:00 | 000,052,736 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libjansson-4.dll
MOD - [2013-11-07 03:47:00 | 000,043,854 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libblkmaker-0.1-0.dll
MOD - [2013-11-07 03:47:00 | 000,038,190 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libblkmaker_jansson-0.1-0.dll
MOD - [2013-11-07 03:47:00 | 000,015,360 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libhidapi-0.dll
MOD - [2013-09-19 03:39:36 | 001,688,723 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\bfgminer.exe
MOD - [2013-09-19 03:39:36 | 000,599,040 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\backtrace.dll
MOD - [2013-09-19 03:39:36 | 000,369,664 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libcurl-4.dll
MOD - [2013-09-19 03:39:36 | 000,132,096 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libplibc-1.dll
MOD - [2013-09-19 03:39:36 | 000,109,568 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\zlib1.dll
MOD - [2013-09-19 03:39:36 | 000,102,912 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\pdcurses.dll
MOD - [2013-09-19 03:39:36 | 000,082,944 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libmicrohttpd-10.dll
MOD - [2013-09-19 03:39:36 | 000,052,736 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libjansson-4.dll
MOD - [2013-09-19 03:39:36 | 000,044,781 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libblkmaker-0.1-0.dll
MOD - [2013-09-19 03:39:36 | 000,040,717 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libblkmaker_jansson-0.1-0.dll
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://start.qone8.com/web/?type=ds&ts=1382528020&from=cor&uid=WDCXWD5000AVJS-63TRA0_WD-WCAPW490925409254&q={searchTerms}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://start.qone8.com/web/?type=ds&ts=1382528020&from=cor&uid=WDCXWD5000AVJS-63TRA0_WD-WCAPW490925409254&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1382528020&from=cor&uid=WDCXWD5000AVJS-63TRA0_WD-WCAPW490925409254
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://start.qone8.com/web/?type=ds&ts=1382528020&from=cor&uid=WDCXWD5000AVJS-63TRA0_WD-WCAPW490925409254&q={searchTerms}
O4 - HKCU..\Run: [minerd] C:\Users\Właściciel\AppData\Roaming\minerd\nircmd.exe (NirSoft)
O4 - HKCU..\Run: [Opencl] C:\Users\Właściciel\AppData\Roaming\Opencl\nircmd.exe (NirSoft)
[2013-10-23 12:33:40 | 000,694,864 | ---- | C] (WilSys Co., Ltd.) -- C:\Users\Właściciel\AppData\Roaming\qone8.exe
[2013-12-24 16:33:00 | 000,000,308 | ---- | M] () -- C:\Windows\tasks\DigitalSite.job
[2013-12-24 15:33:06 | 000,000,102 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\WB.CFG
[2013-12-24 15:33:05 | 000,000,006 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\WBPU-TTL.DAT
:Files
C:\ProgramData\eSafe
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.
Re: usuniecie wirusa
25 Gru 2013, 23:35
Witam wykonałem wszystko co mi kazałeś i oto logi:
raport z usuwania
http://www.wklej.eu/index.php?id=660d94cc74
nowy log z OTL:
http://www.wklej.eu/index.php?id=89ae14133d
pozdrawiam
raport z usuwania
http://www.wklej.eu/index.php?id=660d94cc74
nowy log z OTL:
http://www.wklej.eu/index.php?id=89ae14133d
pozdrawiam
Re: usuniecie wirusa
26 Gru 2013, 12:53
Wklej w OTL:
Klikasz Wykonaj skrypt, następnie Sprzątanie
Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)
:OTL
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-1580014734-1479623805-1116131239-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
:Services
WsysSvc
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"=-
Klikasz Wykonaj skrypt, następnie Sprzątanie
Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)
Re: usuniecie wirusa
26 Gru 2013, 14:26
Witam zrobiłem wszystko wykryto 21 zagrożeń usunąłem wszystkie i oto logi:
http://www.wklej.eu/index.php?id=61d6379a70
http://www.wklej.eu/index.php?id=61d6379a70
Re: usuniecie wirusa
26 Gru 2013, 18:26
Nie wykonano akcji.
Usunąłeś to co znalazł Malwarebytes??? Jeśli nie to usuń i opróżnij jego kwarantannę.
Re: usuniecie wirusa
26 Gru 2013, 22:50
przepraszam dałem Ci zły log teraz ten jest dobry no i wszystko usunąłem z kwarantanny :
http://www.wklej.eu/index.php?id=24ad71046b
http://www.wklej.eu/index.php?id=24ad71046b
Re: usuniecie wirusa
26 Gru 2013, 22:51
Teraz ok. Czy problemy ustąpiły??
Re: usuniecie wirusa
27 Gru 2013, 15:29
witam było lepiej ale wczoraj miałem problemy z zamknięciem systemu niby monitor gasł ale komputer dalej pracował po czym uruchomił mi się od nowa z raportem że system odzyskał sprawność po fatalnym błędzie. A dzisiaj miałem juz dwa bluscreeny i dzieje sie to na firefoxie. Normalnie jak włacze gre to komputer chodzi bez problemu a na przeglądarce kursor staje i albo bluscreen albo restart i raport o błędzie.Już nie wiem co robić chyba format będzie najlepszy.
Re: usuniecie wirusa
27 Gru 2013, 19:16
chyba format będzie najlepszy
Chyba nie.
Czy problem występuje na innych przeglądarkach??
Re: usuniecie wirusa
28 Gru 2013, 15:56
Witam no własnie wczoraj odinstalowałem firefoxa i narazie spokój wszystko ustąpiło.Skanowałem kasperskim przez noc i też nic nie wykryło więc myśle że będzie ok.
Re: usuniecie wirusa
31 Gru 2013, 13:46
Witam brak problemów wszystko działa jak powinno. Dziękuje za pomoc i Szczęśliwego Nowego Roku!!!