logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak usunąć trojana JS-Kryptik.I? Logi z FARBAR, ESET i AdwCleaner nie pomagają

keaonsix 18 Lip 2014 09:49 1644 3
REKLAMA
Zgłoś naruszenie prawa
Odpowiedz | Nowy temat
  • #1 13806012
    keaonsix
    Poziom 9  
    Posty: 19
    Witam serdecznie,

    Nieszczęsny trojan nie chce się odczepić. Mimo ESET wrzuca do kwarantanny a AdwCleaner.exe usuwa ale problem wraca.
    Podrzucam logi z FARBAR: FRST oraz Addition (w razie konieczności mogę też wykonać skanowanie w OTL, GMER).
    Z góry dziękuję za przeanalizowanie logów i podrzucenie odpowiedniego skryptu naprawczego.

    Pozdrawiam,
    Norbert.
    Załączniki:
    • Addition.txt (63.39 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (34.38 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • Pomocny post
    #2 13806064
    Kolobos
    Spec od komputerów
    Posty: 85153
    Pomógł: 17160
    Ocena: 10423
    Odinstaluj:
    AdbeRdr940_pl (HKLM\...\{65F54B4F-556E-4C95-86FB-A9B61F922A50}) (Version: 1.0.0.0 - 4)
    Adobe Reader 9.4.0 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A94000000001}) (Version: 9.4.0 - Adobe Systems Incorporated)
    Media Player Codec Pack 4.3.0 (HKLM\...\Media Player - Codec Pack) (Version: 4.3.0 - Media Player Codec Pack) <==== ATTENTION

    Zainstaluj http://ninite.com/foxit/

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    () C:\WINDOWS\system32\C2MP\UpdateChecker.exe
    HKU\S-1-5-21-73586283-1532298954-682003330-1004\...\Run: [] => [X]
    Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\CodecPackUpdateChecker.lnk
    ShortcutTarget: CodecPackUpdateChecker.lnk -> C:\WINDOWS\system32\C2MP\UpdateChecker.exe ()
    SearchScopes: HKLM - DefaultScope value is missing.
    BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File
    DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
    DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
    FF Extension: Site Matcher - C:\Documents and Settings\lszarszewski\Dane aplikacji\Mozilla\Firefox\Profiles\wkbsjm51.default\Extensions\sitematchersite@sitematchersite.com [2014-06-20]
    CHR Plugin: (McAfee Security Scanner +) - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll No File
    S3 catchme; \??\C:\DOCUME~1\IT\USTAWI~1\Temp\catchme.sys [X]
    2014-07-08 14:40 - 2014-07-08 14:40 - 00000000 ____D () C:\Documents and Settings\lszarszewski\Dane aplikacji\OpenCandy
    2014-06-30 11:10 - 2014-06-30 11:56 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
    2014-06-30 10:05 - 2014-06-30 10:05 - 00012607 _____ () C:\ComboFix.txt
    2014-06-30 09:57 - 2014-06-30 10:05 - 00000000 ____D () C:\ComboFix
    2014-06-30 09:57 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe
    2014-06-30 09:57 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe
    2014-06-30 09:57 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
    2014-06-30 09:57 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
    2014-06-30 09:57 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
    2014-06-30 09:57 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
    2014-06-30 09:57 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe
    2014-06-30 09:57 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe
    2014-06-30 09:57 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe
    2014-06-30 09:56 - 2014-06-30 10:05 - 00000000 ____D () C:\Qoobox
    2014-06-23 08:52 - 2014-07-01 14:05 - 00000000 ____D () C:\AdwCleaner
    2014-06-20 13:27 - 2014-06-20 13:27 - 00000000 ____D () C:\Program Files\SiteLookup
    2014-06-20 13:27 - 2014-06-20 13:27 - 00000000 ____D () C:\Documents and Settings\lszarszewski\Dane aplikacji\SiteFinder

    W FRST wybierz Fix.
  • REKLAMA
  • #3 13858675
    keaonsix
    Poziom 9  
    Posty: 19
    Witam po raz kolejny.

    Mogę prosić ponowną pomoc i witaminkę dla FARBAR.
    Logi z innego komputera, którego też dopadł nieszczęsny JS-Kryptik.

    Z góry dziękuje.
    Załączniki:
    • Addition.txt (53.31 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (26.74 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • Pomocny post
    #4 13859200
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Odinstaluj Internet Explorer 8 Packages.Otwórz Notatnik i wklej:

    Cytat:
    HKU\S-1-5-21-4114709986-2633610687-3042410753-1006\...\MountPoints2: ##10.19.11.4#plm - setup.exe
    HKU\S-1-5-21-4114709986-2633610687-3042410753-1006\...\MountPoints2: ##192.168.0.10#plm - setup.exe
    HKU\S-1-5-21-4114709986-2633610687-3042410753-1006\...\MountPoints2: ##rderkowska#PLM - setup.exe
    HKU\S-1-5-21-4114709986-2633610687-3042410753-1006\...\MountPoints2: ##st-970-08#PLM - setup.exe
    HKU\S-1-5-21-4114709986-2633610687-3042410753-1006\...\MountPoints2: {3862027a-1d01-11e2-b7c8-00219b635b89} - S:\sources\sperr32.exe x64
    HKU\S-1-5-21-4114709986-2633610687-3042410753-1006\...\MountPoints2: {56cb2a6d-89c3-11df-b4d7-00219b635b89} - P:\AutoRun.exe
    HKU\S-1-5-21-4114709986-2633610687-3042410753-1006\...\MountPoints2: {C68B014B-F208-4204-A6A1-BEB9B0AAD12D} - setup.exe
    HKU\S-1-5-21-4114709986-2633610687-3042410753-1006\...\MountPoints2: {d106431e-c833-11dd-9345-00219b66abd1} - F:\setup.exe
    FF Extension: Site Matcher Pro - C:\Documents and Settings\d.roguska\Dane aplikacji\Mozilla\Firefox\Profiles\lhiapgqj.default\Extensions\sitematcherpro@sitematcherpro.com [2014-07-22]
    FF Extension: Site Explorer - C:\Documents and Settings\d.roguska\Dane aplikacji\Mozilla\Firefox\Profiles\lhiapgqj.default\Extensions\sitenew@sitenew.com [2014-08-07]
    FF Extension: Website Xplorer - C:\Documents and Settings\d.roguska\Dane aplikacji\Mozilla\Firefox\Profiles\lhiapgqj.default\Extensions\{a2bfe612-4cf5-48ea-907c-f3fb25bc9d6b} [2014-08-07]
    FF Extension: Rock Turner - C:\Documents and Settings\d.roguska\Dane aplikacji\Mozilla\Firefox\Profiles\lhiapgqj.default\Extensions\{825c5be7-672f-4c14-9929-48a3a5e1a660}.xpi [2014-07-10]
    R2 Update Rock Turner; C:\Program Files\Rock Turner\updateRockTurner.exe [323360 2014-07-31] ()
    R2 UpdaterSvcRockTurner; C:\Program Files\Rock Turner\updater.exe [135968 2014-07-10] ()
    R2 Util Rock Turner; C:\Program Files\Rock Turner\bin\utilRockTurner.exe [323360 2014-07-31] ()
    R1 {825c5be7-672f-4c14-9929-48a3a5e1a660}Gt; C:\WINDOWS\System32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt.sys [55232 2014-07-08] (StdLib)
    2014-07-31 13:11 - 2014-07-31 13:20 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
    2014-07-10 09:27 - 2014-07-08 18:43 - 00055232 _____ (StdLib) C:\WINDOWS\system32\Drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt.sys
    CMD: del /f /s /q %TEMP%\*.*


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix.
Odpowiedz | Nowy temat
Zgłoś naruszenie prawa
REKLAMA