Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Win 7 Security 2011 - zainfekowany netbook
03 Kwi 2011, 16:36
Witam
Mam otóż taki problem jak w temacie. Mój netbook został czymś zainfekowany i miejsce mojego antywirusa F-Secure zastapił jakiś nieznany (nawet przez google) Win 7 Security 2011. Odkąd znalazł się na moim komputerze, nic nie mogę otworzyć dwuklikiem ani rozpakować żadnego archiwum rar. Udało mi się sporządzić (po przejściu niezłych problemów i wyrzuceniu z siebie ogromu przekleństw;D) logi z HJT, Gmer i OTL. Proszę was fachowców o ich sprawdzenie i podpowiedzenie jak tego dziadostwa się pozbyć.
Czynnósci które wykonałem do tej pory to skanowanie dwoma skanerami Onlina (Eset i Arca) oraz użycie Emsisoft Anty-Malware, jednak mimo znalezienia i usunięcia infekcji, ten pseudo antywirus wciąż mi grozi.
A i jeszcze pytanko, czy taka infekcja może zaatakować zainstalowane programy?? BO Emsisoft wywalił mi całego UltraISO i Aresa mówiąc że to wirusy?? A ściągałem z Instalek.
tutaj linki do logów
http://www.wklej.eu/index.php?id=701912ee96 HJT
http://www.wklej.eu/index.php?id=235198f7b7 GMER
http://www.wklej.eu/index.php?id=09e87db3cd otl.txt
http://www.wklej.eu/index.php?id=2d4b04dab0 extras.txt
Mam otóż taki problem jak w temacie. Mój netbook został czymś zainfekowany i miejsce mojego antywirusa F-Secure zastapił jakiś nieznany (nawet przez google) Win 7 Security 2011. Odkąd znalazł się na moim komputerze, nic nie mogę otworzyć dwuklikiem ani rozpakować żadnego archiwum rar. Udało mi się sporządzić (po przejściu niezłych problemów i wyrzuceniu z siebie ogromu przekleństw;D) logi z HJT, Gmer i OTL. Proszę was fachowców o ich sprawdzenie i podpowiedzenie jak tego dziadostwa się pozbyć.
Czynnósci które wykonałem do tej pory to skanowanie dwoma skanerami Onlina (Eset i Arca) oraz użycie Emsisoft Anty-Malware, jednak mimo znalezienia i usunięcia infekcji, ten pseudo antywirus wciąż mi grozi.
A i jeszcze pytanko, czy taka infekcja może zaatakować zainstalowane programy?? BO Emsisoft wywalił mi całego UltraISO i Aresa mówiąc że to wirusy?? A ściągałem z Instalek.
tutaj linki do logów
http://www.wklej.eu/index.php?id=701912ee96 HJT
http://www.wklej.eu/index.php?id=235198f7b7 GMER
http://www.wklej.eu/index.php?id=09e87db3cd otl.txt
http://www.wklej.eu/index.php?id=2d4b04dab0 extras.txt
Re: Win 7 Security 2011 - zainfekowany netbook
03 Kwi 2011, 17:01
Uruchom OTL 
w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL
To prawdopodobnie fałszywe alarmy, Emsisoft niestety z tego słynie...
w oknie Własne opcje skanowania/skrypt wklej::OTL
PRC - [2011/04/02 23:10:22 | 000,239,213 | -HS- | M] () -- C:\Users\gprz\AppData\Local\ahm.exe
IE - HKU\S-1-5-21-108679968-3426115008-719098160-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.speedbit.com/?aff=205
FF - prefs.js..browser.search.defaultenginename: "SpeedBit Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Free Ride Games Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://home.speedbit.com/search.aspx?aff=206&q="
FF - prefs.js..browser.search.order.1: "SpeedBit Search"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=685749"
FF - prefs.js..browser.search.selectedEngine: "SpeedBit Search"
FF - prefs.js..browser.startup.homepage: "http://home.speedbit.com/?aff=205"
FF - prefs.js..extensions.enabledItems: [email protected]:3.3.3.2
FF - prefs.js..keyword.URL: "http://home.speedbit.com/search.aspx?aff=206&q="
[2011/03/24 20:25:06 | 000,000,000 | ---D | M] (Free Ride Games Community Toolbar) -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\extensions\{f92a9fe4-2850-4198-b9d5-279880e49b16}
[2011/03/24 20:25:09 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\extensions\[email protected]
[2010/07/12 19:44:46 | 000,000,933 | ---- | M] () -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\searchplugins\conduit.xml
[2011/04/01 15:13:00 | 000,002,534 | ---- | M] () -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\searchplugins\speedbit.xml
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-108679968-3426115008-719098160-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O35 - HKU\S-1-5-21-108679968-3426115008-719098160-1000..exefile [open] -- "C:\Users\gprz\AppData\Local\ahm.exe" -a "%1" %* ()
O37 - HKU\S-1-5-21-108679968-3426115008-719098160-1000\...exe [@ = exefile] -- "C:\Users\gprz\AppData\Local\ahm.exe" -a "%1" %* ()
[2011/04/02 23:10:37 | 000,114,688 | -HS- | C] (Microsoft Corporation) -- C:\Users\gprz\AppData\Local\xbb.exe
[2011/04/03 14:38:37 | 000,010,532 | -HS- | M] () -- C:\Users\gprz\AppData\Local\jcl665ep0rnlp562hps
[2011/04/03 14:38:37 | 000,010,532 | -HS- | M] () -- C:\ProgramData\jcl665ep0rnlp562hps
[2011/04/03 14:37:40 | 000,000,368 | ---- | M] () -- C:\Windows\tasks\AWC Startup.job
[2011/04/02 23:10:22 | 000,239,213 | -HS- | M] () -- C:\Users\gprz\AppData\Local\nqu.exe
[2011/04/02 23:10:22 | 000,239,213 | -HS- | M] () -- C:\Users\gprz\AppData\Local\ahm.exe
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=-
"HotKeysCmds"=-
"Persistence"=-
"Adobe ARM"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL
A i jeszcze pytanko, czy taka infekcja może zaatakować zainstalowane programy?? BO Emsisoft wywalił mi całego UltraISO i Aresa mówiąc że to wirusy?? A ściągałem z Instalek.
To prawdopodobnie fałszywe alarmy, Emsisoft niestety z tego słynie...
Re: Win 7 Security 2011 - zainfekowany netbook
03 Kwi 2011, 17:28
Tutaj zamieszczam log z usuwania, komputer mi się zrestartował i po ponownym uruchomieniu F-Secure normalnie mi się odpalił a po tym Win 7 ani śladu. Jak się skończy ponowne skanowanie OTL-a to odrazu zamieszczę:)
http://www.wklej.eu/index.php?id=5b23f1c738 log z kasowania
http://www.wklej.eu/index.php?id=981692dbd0 Ponowny log po kasowaniu OTL.txt
http://www.wklej.eu/index.php?id=5b23f1c738 log z kasowania
http://www.wklej.eu/index.php?id=981692dbd0 Ponowny log po kasowaniu OTL.txt
Re: Win 7 Security 2011 - zainfekowany netbook
03 Kwi 2011, 18:15
Jeszcze mała poprawka. W OTL wklej:
Klikasz Wykonaj skrypt, później Sprzątanie (CleanUp)
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Odinstaluj starą wersję czytnika .PDF:
i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html
Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji..)
:OTL
FF - prefs.js..browser.search.defaultenginename: "SpeedBit Search"
IE - HKU\S-1-5-21-108679968-3426115008-719098160-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.speedbit.com/?aff=205
FF - prefs.js..browser.search.order.1: "SpeedBit Search"
FF - prefs.js..browser.search.param.yahoo-fr: ""
FF - prefs.js..browser.search.selectedEngine: "SpeedBit Search"
FF - prefs.js..browser.search.defaulturl: "http://home.speedbit.com/search.aspx?aff=206&q="
FF - prefs.js..keyword.URL: "http://home.speedbit.com/search.aspx?aff=206&q="
[2011/04/03 16:21:00 | 000,002,534 | ---- | M] () -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\searchplugins\speedbit.xml
Klikasz Wykonaj skrypt, później Sprzątanie (CleanUp)
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Odinstaluj starą wersję czytnika .PDF:
Adobe Reader 9.4.3 MUI
i zainstaluj najnowszą
http://www.instalki.pl/programy/downloa ... eader.htmlZaktualizuj Firefoksa do najnowszej wersji (Firefox
Pomoc Sprawdź dostępność aktualizacji..)
Re: Win 7 Security 2011 - zainfekowany netbook
03 Kwi 2011, 18:29
CCleanera zawsze używam już od kilku lat 
Ale z tym Adobe i FF to mnie zaskoczyłeś, myślałem że mam aktualne 
Już się zabieram do roboty...
Dziękuję za pomoc.
Ale z tym Adobe i FF to mnie zaskoczyłeś, myślałem że mam aktualne Już się zabieram do roboty...Dziękuję za pomoc.