Jef, LOGI : Archiwum

Jeferiaz

#1 Jef, LOGI 24 lip 2010, o 16:51

Drobny złodziejaszek

165

-1

Witaj Maf, ja poproszę usługę WYWAL SYF, czyli powiedz mi co mam zrobić, aby komputer w końcu zaczął działać jak powinien i co zrobić, aby wyrzucić tego obrzydliwego SYFA, który go spowalnia.

Na wstępie dodam, że po zeskanowaniu pojawił mi się tylko jeden plik tekstowy, zwany OTL.
Tak czy owak, wklejam go tutaj: http://www.wklej.org/id/368103/

Od razu mówię, że znam się na komputerach jak stolec na poezji, dlatego tłumacz mi proszę powoli i dokładnie.

https://www.youtube.com/watch?v=6u0yfmnArpM

:)

Maf

#2 Re: Jef, LOGI 24 lip 2010, o 16:53

Administracja

2584

Nie wkleiłeś pełnego loga (powinny być dwa, a jakim cudem jest jeden powiem ci za chwilę)...

po zeskanowaniu pojawił mi się tylko jeden plik tekstowy, zwany OTL.

A ustawiłeś wszystko tak jak na screenie? ;-)

Jeferiaz

#3 Re: Jef, LOGI 24 lip 2010, o 16:57

Drobny złodziejaszek

165

-1

Wszystko dokładnie tak samo zrobione, po zainstalowaniu programu nic nie musiałem zmieniać, bo było dobrze ;>

https://www.youtube.com/watch?v=6u0yfmnArpM

:)

Maf

#4 Re: Jef, LOGI 24 lip 2010, o 17:06

Administracja

2584

Widocznie wirus nie pozwala. Ściągnij CF (nie wymieniam pełnej nazwy, bo może zablokować) na Pulpit (najlepiej wcześniej wyłącz antywirusa o ile posiadasz) z tego linka i uruchom. Po ewentualnym restarcie wyskoczy log - wklej go na wklej.org i do odpowiedzi daj link.

Program:
- http://www.speedyshare.com/files/23503482/HeniekNaprawiator.exe

Jeferiaz

#5 Re: Jef, LOGI 24 lip 2010, o 17:49

Drobny złodziejaszek

165

-1

Mafi... wielki respect. Ja już widzę efekty!

Oto log stworzony przez CF: http://www.wklej.org/id/368127/

https://www.youtube.com/watch?v=6u0yfmnArpM

:)

Maf

#6 Re: Jef, LOGI 24 lip 2010, o 18:17

Administracja

2584

Do Notatnika wklej następujący skrypt:
Kod:
Folder::
c:\program files\Ask.com
c:\documents and settings\a\Dane aplikacji\W

File::
c:\windows\Tasks\Scheduled Update for Ask Toolbar.job

FireFox::
uStart Page = hxxp://www.daemon-search.com/startpage
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2247187&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://www.daemon-search.com/startpage|http://www.ask.com?o=15446&l=dis
FF - component: c:\documents and settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\nq05vf14.default\extensions\{707db484-2428-402d-afb5-d85b387544c7}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\nq05vf14.default\extensions\{707db484-2428-402d-afb5-d85b387544c7}\components\RadioWMPCore.dll
FF - component: c:\documents and settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\nq05vf14.default\extensions\[email protected]\components\DTToolbarFF.dll

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"=-
[-HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
"EA Core"=-
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=-
"SkyTel"=-
"Adobe Reader Speed Launcher"=-
"hpqSRMon"=-
"NvMediaCenter"=-
"NvCplDaemon"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"427:UDP"=-
Zapisz go na Pulpicie jako CFScript.txt.
Przeciągnij ten właśnie plik na ikonkę ComboFix:
Po restarcie wyskoczy log - daj go tutaj (link do niego na wklej.org).
Spróbuj zrobić nowe logi z OTL (z tymi samymi ustawieniami).

Jeferiaz

#7 Re: Jef, LOGI 24 lip 2010, o 18:44

Drobny złodziejaszek

165

-1

CF
Log drugi, wygenerowany przez CF'a - http://www.wklej.org/id/368160/

O T L
Nadal tylko jeden log... OTL.txt - http://www.wklej.org/id/368161/

EDIT: Dla ścisłości dodaję, że wirus często odłącza mi internet, muszę wtedy ponownie się łączyć...

https://www.youtube.com/watch?v=6u0yfmnArpM

:)

Maf

#8 Re: Jef, LOGI 24 lip 2010, o 19:12

Administracja

2584

Do pola Własne opcje skanowania / skrypt wklej taki skrypt:
Kod:
:OTL
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Running] -- C:\HeniekNaprawiator\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-602162358-448539723-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "Mario Forever Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2247187&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..extensions.enabledItems: [email protected]:3.8.0.12304
FF - prefs.js..extensions.enabledItems: [email protected]:1.1.2.0185
FF - prefs.js..extensions.enabledItems: [email protected]:1.0
[2010-02-25 21:40:53 | 000,000,000 | ---D | M] (Mario Forever Toolbar) -- C:\Documents and Settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\nq05vf14.default\extensions\{707db484-2428-402d-afb5-d85b387544c7}
[2010-03-26 17:49:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\nq05vf14.default\extensions\[email protected]
[2010-06-30 11:08:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\nq05vf14.default\extensions\[email protected]
[2009-06-23 11:06:48 | 000,000,888 | ---- | M] () -- C:\Documents and Settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\nq05vf14.default\searchplugins\conduit.xml
[2010-04-22 08:35:09 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\nq05vf14.default\searchplugins\daemon-search.xml
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\S-1-5-21-602162358-448539723-725345543-1004\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\S-1-5-21-602162358-448539723-725345543-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

:Files
C:\Documents and Settings\a\Menu Start\Programy\Autostart\Registration Brothers In Arms EiB Demo.LNK
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\Documents and Settings\a\Pulpit\~$rackiiiiiii.rtf
C:\WINDOWS\ktkm*.dll

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]
Kliknij Wykonaj skrypt. Po restarcie pojawi się log - wklej go na wklej.org i podaj link do odpowiedzi.
Ściągnij, zainstaluj i zaktualizuj Malwarebytes' Anti-Malware:
- http://www.malwarebytes.org/mbam-download.php
Zrób pełne skanowanie (lub szybkie skanowanie jeśli nie masz czasu), usuń zagrożenia. Po tym wyskoczy log - też go wklej na wiadomy serwis i podaj link.

Jeferiaz

#9 Re: Jef, LOGI 24 lip 2010, o 19:29

Drobny złodziejaszek

165

-1

Log z OTL'a - http://www.wklej.org/id/368177/

Nie mogę pobrać Malwarebyte, ponieważ wirus tak manewruje moim komputerem, że gdy tylko rozpoczyna się pobieranie ów programu i dochodzi ono do 4%, wirus rozłącza mnie z internetem. Nie znam się na tym, ale sądzę, że powinieneś zmienić nazwę Malwarebyte u siebie na kompie i uploadnąć ją na jakiś serwis, tak jak zrobiłeś to z CF'em (nazwa bardzo oryginalna i zadziałała :D)

https://www.youtube.com/watch?v=6u0yfmnArpM

:)

Maf

#10 Re: Jef, LOGI 24 lip 2010, o 19:42

Administracja

2584

A proszę bardzo:
- http://www.speedyshare.com/files/23505484/StasiekOdmulator.exe

Jeferiaz

#11 Re: Jef, LOGI 24 lip 2010, o 19:57

Drobny złodziejaszek

165

-1

To dziwne... cholernie dziwne...
Nie znaleziono żadnych zagrożeń, ani zainfekowanych plików :O

Log - http://www.wklej.org/id/368193/

https://www.youtube.com/watch?v=6u0yfmnArpM

:)

Maf

#12 Re: Jef, LOGI 24 lip 2010, o 20:02

Administracja

2584

No to inaczej, weźmiemy inny program.

Jeśli masz jakieś napędy emulujące najpierw wykonaj to:
http://www.fixitpc.pl/index.php?/forum-6/announcement-2-wazne-oprogramowanie-emulujace-napedy/?s=a4b0d8012011769b7c78f0d4965b2772

Stwórz raport tym programem (może trochę potrwać) - pierwsze i ostatnie litery programu G...R:
http://www.fixitpc.pl/index.php?/topic/60-diagnostyka-infekcje-typu-rootkit/page__view__findpost__p__318

Jeferiaz

#13 Re: Jef, LOGI 24 lip 2010, o 20:24

Drobny złodziejaszek

165

-1

Co do napędów emulujących nie do końca powiodło się usuwanie wszystkiego w regedit, ale na ogół powinno być ok - program odinstalowany, mianowicie Daemon Lite Tool.

Kiedy odpalam GMER'a po prostu nie działa.. włącza się, coś tam zaczyna się dziać no i wyskakuje słynne "Wystąpił problem . . . wysłać raport o błędach?"

Kuwa... wirus chamsko zneutralizował gmera, nie wiem co robić Maf :X

https://www.youtube.com/watch?v=6u0yfmnArpM

:)

Maf

#14 Re: Jef, LOGI 24 lip 2010, o 20:29

Administracja

2584

Spróbuj RootRepeal - masz instrukcje w tym samym temacie, trochę niżej.

Jeferiaz

#15 Re: Jef, LOGI 24 lip 2010, o 21:02

Drobny złodziejaszek

165

-1

Niestety, obecnie działam w trybie awaryjnym. Ten potwór wszystko mi po-blokował i żaden program prócz Malwarebytes nie działa!
Spróbuję zaraz tego, który podawałeś.

https://www.youtube.com/watch?v=6u0yfmnArpM

:)