Zawirusowany komp patched_c.mis, ads by browse to save

przez **stricker10** » 05 Cze 2013, 21:48

dzien dobry, mam bardzo zaniedbanego laptopa i chcialbym zeby chodz troche odzyskal sprawnosc bez koniecznosci formata. Problem jest trojan patched_c.mis, oraz ads by browse to save.

dodaje od razu dwa logi:
AdwCleaner
http://www.wklej.eu/index.php?id=133a1302f1

OTL extras
http://www.wklej.eu/index.php?id=2e66b17534

OTL
http://www.wklej.eu/index.php?id=43fe8f4d7d

z gory dzieki za pomoc

przez **mateo8898** » 06 Cze 2013, 13:16

Użyj AdwCleaner z opcji Usuń i podaj log. Następnie nowe logi z OTL.

przez **stricker10** » 07 Cze 2013, 00:21

nowe logi
adwcleaner:
http://www.wklej.eu/index.php?id=883e196de8
otl:
http://www.wklej.eu/index.php?id=1b38f32e44
extras
http://www.wklej.eu/index.php?id=2519c9b29d

przez **mateo8898** » 07 Cze 2013, 09:53

# Opcja [Szukaj]

A miało być z Usuń...

przez **stricker10** » 19 Cze 2013, 15:16

odswiezam swoj temeat, przepraszam za zwloke ale mialem natlok pracy a do tego klopoty z netem.

wklejam nowe logi

adwcleaner
http://www.wklej.eu/index.php?id=183bce6162

OTL
http://www.wklej.eu/index.php?id=fd84f4b4bc
Extras
http://www.wklej.eu/index.php?id=e406ef7439

z gory dzieki za pomoc z problemem

przez **mateo8898** » 19 Cze 2013, 15:21

OK, teraz użyj TDSSKiller

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 i podaj utworzony log.

przez **stricker10** » 19 Cze 2013, 16:35

przeskanowalem jeden raz i Kaspersky cos poznajdowal i usunal, zrestartowwalem kompa ale nie znalalzem loga na pulpicie. oto raport ze skanowania po restarcie.

http://www.wklej.eu/index.php?id=98705368c9

przez **mateo8898** » 19 Cze 2013, 16:43

Kaspersky cos poznajdowal i usunal

Właśnie po to potrzebowałem logu, aby wiedzieć co znalazł i usunął, a tu mam log, który nic mi nie mówi...

Na dysku C nie ma tego logu z pierwszego skanu??

przez **stricker10** » 19 Cze 2013, 16:48

http://www.wklej.eu/index.php?id=601473dc08

znalazl sie tam gdzie mowiles.

przez **mateo8898** » 19 Cze 2013, 16:51

Czyli moje podejrzenia się sprawdziły, to rootkit ZeroAccess. Teraz zastosuj ComboFix

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 i podaj utworzony log. Następnie nowe logi z OTL.

przez **stricker10** » 20 Cze 2013, 10:54

log z cobmo fixa
http://www.wklej.eu/index.php?id=0023142c11

extras
http://www.wklej.eu/index.php?id=ab3815bcfa
otl
http://www.wklej.eu/index.php?id=00db7ba0a7

nowe logi z wczoraj

przez **mateo8898** » 21 Cze 2013, 14:19

Odinstaluj McAfee Security Scan Plus, vShare.tv plugin 1.3, vSharetv. Następnie:

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = http://startsear.ch/?q={searchTerms}
IE - HKLM\..\SearchScopes\{6669E922-2DD8-4B70-BCB0-26D63452D9EE}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKU\S-1-5-21-3650077943-3750273060-3746411466-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?src=sp&aff=67&cf=a9c3f270-3492-11e1-88cc-b8ac6f76dbfb&q={searchTerms}
IE - HKU\S-1-5-21-3650077943-3750273060-3746411466-1000\..\SearchScopes\{6669E922-2DD8-4B70-BCB0-26D63452D9EE}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKU\S-1-5-21-3650077943-3750273060-3746411466-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:53697
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 53697
CHR - plugin: McAfee Security Scanner + (Enabled) = C:\Program Files (x86)\McAfee Security Scan\3.0.318\npMcAfeeMss.dll
CHR - Extension: vShare.tv plugin = C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16:64bit: - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.)
[2013-06-06 23:58:28 | 000,000,363 | ---- | C] () -- C:\Windows\DeleteOnReboot.bat
[2011-11-17 09:14:10 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{1f6b5522-46ed-3f93-8a3e-1f445b0a9180}\L
[2012-10-15 10:31:31 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{1f6b5522-46ed-3f93-8a3e-1f445b0a9180}\U
[2011-11-17 09:14:10 | 000,000,000 | ---D | M] -- C:\Users\michal\AppData\Local\{1f6b5522-46ed-3f93-8a3e-1f445b0a9180}\L
[2013-06-19 16:15:49 | 000,000,000 | ---D | M] -- C:\Users\michal\AppData\Local\{1f6b5522-46ed-3f93-8a3e-1f445b0a9180}\U

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-

:Files
C:\Users\michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

przez **stricker10** » 24 Cze 2013, 08:01

nowe logi:
z usuwania:
http://www.wklej.eu/index.php?id=b6ea0b0bf1

Otl:
http://www.wklej.eu/index.php?id=b083b7e1eb
estras:
http://www.wklej.eu/index.php?id=93ded0de66

przez **mateo8898** » 24 Cze 2013, 14:38

W ustawieniach Chrome zmień sobie wyszukiwarkę na np. google.pl oraz usuń wtyczki vShare.tv plug-in, McAfee Security Scanner

Wklej w OTL:

:OTL
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
@Alternate Data Stream - 5632 bytes C:\ProgramData:gs5sys
@Alternate Data Stream - 4608 bytes C:\Users\Public\Documents\desktop.ini:gs5sys
@Alternate Data Stream - 1536 bytes C:\Users\michal\Documents\desktop.ini:gs5sys
@Alternate Data Stream - 1536 bytes C:\Users\michal\Desktop\desktop.ini:gs5sys

Klikasz Wykonaj skrypt, następnie Sprzątanie

W AdwCleaner

Odinstaluj

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.1.2 - Polish

i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... eader.html

Odinstaluj stare wersje Javy:

Java(TM) 6 Update 22
Java(TM) 6 Update 32

i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... /Java.html

przez **stricker10** » 24 Cze 2013, 19:45

zrobilem wszystko o co prosiles. dokladam nowe logi:

OTL:
http://wklej.eu/index.php?id=8130986478

Anti-Malware:
http://wklej.eu/index.php?id=77bd2c343c

Zawirusowany komp patched_c.mis, ads by browse to save

Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Re: Zawirusowany komp patched_c.mis, ads by browse to save

Kto jest na forum