Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Win 8 - Wirus, skróty na pendrive, logi

pineskaxoxo 06 Paź 2015 18:10 633 12
  • #1 06 Paź 2015 18:10
    pineskaxoxo
    Poziom 5  

    Witam,
    podobnie jak w innych tematach, wirus tworzy mi skróty na pendrive. Mam zainfekowane 3 komputery (tak myślę). (xp, vista, 8)
    Czy mógłby mi ktoś powiedzieć, co muszę usunąć? Dodam, że mam około 5 pendrive'ów także zainfekowanych, ale wszystkie zostały sformatowane.

    Logi z OTL + USBFix prześlę w privie, ponieważ nie mogę jeszcze dodawać linków zewnętrznych.

    EDIT: Dodałam logi w załączniku. (Od Win 8)

    Wszelkie potrzebne informacje dostarczę w ciągu kilku minut. Przepraszam, jestem całkowicie zielona w tym temacie i liczę na pomoc.:)

    0 12
  • CControls
  • CControls
  • Pomocny post
    #4 06 Paź 2015 20:08
    Acorus 20
    Spec od komputerów

    Odinstaluj SpyHunter, YAC(Yet Another Cleaner!). Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {138514B1-EB49-4609-A29F-05D99A0B4FB6} - System32\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-7 => C:\Program Files (x86)\iWebar\a9455249-1262-4548-8fa4-94809ef18d9a-7.exe <==== UWAGA
    Task: {287B09F6-D067-4A14-BFD4-D5854E9AA7AB} - System32\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-6 => C:\Program Files (x86)\iWebar\a9455249-1262-4548-8fa4-94809ef18d9a-6.exe <==== UWAGA
    Task: {2A8ADC52-6AF3-4EB6-AF06-3C9B2E62FB2E} - System32\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe <==== UWAGA
    Task: {3112110A-1D85-4719-9F31-CF035A4FBF4B} - System32\Tasks\VrIcKc9SXH => C:\Users\Pinuu\AppData\Roaming\VrIcKc9SXH.exe <==== UWAGA
    Task: {69D6FA4F-2E9C-4E9D-BB6F-3523E1D01A45} - \YTAUpdate_logon -> Brak pliku <==== UWAGA
    Task: {70FE52BA-1047-443D-872E-B220E51FF792} - \YTAHelper -> Brak pliku <==== UWAGA
    Task: {A2F51791-3F16-49A2-96EA-520D8A8A5A58} - System32\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-5_user => C:\Program Files (x86)\iWebar\a9455249-1262-4548-8fa4-94809ef18d9a-5.exe <==== UWAGA
    Task: {ACA76845-B4F0-4BEB-9169-24CAC0308D07} - System32\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-5 => C:\Program Files (x86)\iWebar\a9455249-1262-4548-8fa4-94809ef18d9a-5.exe <==== UWAGA
    Task: {B565D30F-EBD0-4A01-8621-143F43682380} - System32\Tasks\IvogNnL => C:\Users\Pinuu\AppData\Roaming\IvogNnL.exe <==== UWAGA
    Task: {D4E60A7D-FAFF-42AB-AD3E-04E7DE65C19F} - System32\Tasks\{5AFA6357-710A-4076-B5E4-8B9D3D3C7870} => Chrome.exe http://ui.skype.com/ui/0/7.1.0.105/pl/go/help.faq.installer?LastError=1603
    Task: {D99B6CD0-F9EB-4227-BDDF-37861BC557CC} - \YTAUpdate -> Brak pliku <==== UWAGA
    Task: {ED1BAAAF-2D7B-438E-B0C6-CB143EEB2059} - System32\Tasks\{DDA65661-CFA8-497E-9B2B-E00E6DE6F767} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
    Task: {F3928677-1505-46E3-BADA-52DA9624FD69} - System32\Tasks\PUAJKN1 => C:\ProgramData\SecurityUtility\SecurityUtility.exe <==== UWAGA
    Task: C:\Windows\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe <==== UWAGA
    Task: C:\Windows\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-5.job => C:\Program Files (x86)\iWebar\a9455249-1262-4548-8fa4-94809ef18d9a-5.exe <==== UWAGA
    Task: C:\Windows\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-5_user.job => C:\Program Files (x86)\iWebar\a9455249-1262-4548-8fa4-94809ef18d9a-5.exe <==== UWAGA
    Task: C:\Windows\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-6.job => C:\Program Files (x86)\iWebar\a9455249-1262-4548-8fa4-94809ef18d9a-6.exe <==== UWAGA




    Task: C:\Windows\Tasks\a9455249-1262-4548-8fa4-94809ef18d9a-7.job => C:\Program Files (x86)\iWebar\a9455249-1262-4548-8fa4-94809ef18d9a-7.exe <==== UWAGA
    Task: C:\Windows\Tasks\IvogNnL.job => C:\Users\Pinuu\AppData\Roaming\IvogNnL.exe <==== UWAGA
    Task: C:\Windows\Tasks\PUAJKN1.job => C:\ProgramData\SecurityUtility\SecurityUtility.exe <==== UWAGA
    Task: C:\Windows\Tasks\VrIcKc9SXH.job => C:\Users\Pinuu\AppData\Roaming\VrIcKc9SXH.exe <==== UWAGA
    HKLM-x32\...\Run: [NeroCheck] => C:\Windows\SysWOW64\NeroCheck.exe [155648 2001-07-09] (Ahead Software Gmbh)
    HKLM-x32\...\RunOnce: [] => [X]
    HKLM\...\Policies\Explorer: [NoFolderOptions] 0
    HKLM\...\Policies\Explorer: [NoControlPanel] 0
    HKU\S-1-5-21-1103687436-2233462341-791749591-1001\...\Policies\Explorer: [NoFolderOptions] 0
    HKU\S-1-5-21-1103687436-2233462341-791749591-1001\...\Policies\Explorer: [NoControlPanel] 0
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts...T1000DM003-1ER162_W4Y0DCLJXXXXW4Y0DCLJ&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts...T1000DM003-1ER162_W4Y0DCLJXXXXW4Y0DCLJ&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKU\S-1-5-21-1103687436-2233462341-791749591-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&am...T1000DM003-1ER162_W4Y0DCLJXXXXW4Y0DCLJ&q={searchTerms}
    HKU\S-1-5-21-1103687436-2233462341-791749591-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&am...T1000DM003-1ER162_W4Y0DCLJXXXXW4Y0DCLJ&q={searchTerms}
    HKU\S-1-5-21-1103687436-2233462341-791749591-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF NewTab: hxxp://www.istartsurf.com/newtab/?type=nt&...p;uid=ST1000DM003-1ER162_W4Y0DCLJXXXXW4Y0DCLJ
    FF SelectedSearchEngine: delta-homes
    FF Homepage: hxxp://www.istartsurf.com/?type=hp&ts=143...p;uid=ST1000DM003-1ER162_W4Y0DCLJXXXXW4Y0DCLJ
    FF SearchPlugin: C:\Users\Pinuu\AppData\Roaming\Mozilla\Firefox\Profiles\ve6wdpc1.default\searchplugins\istartsurf.xml [2015-07-24]
    FF Extension: Default SearchProtected - C:\Users\Pinuu\AppData\Roaming\Mozilla\Firefox\Profiles\ve6wdpc1.default\Extensions\defsearchp@gmail.com [2015-07-24]
    FF Extension: QuickSearch - C:\Users\Pinuu\AppData\Roaming\Mozilla\Firefox\Profiles\ve6wdpc1.default\Extensions\quick_searchff@gmail.com [2015-05-20]
    FF Extension: youtubecinemodegmailcom - C:\Users\Pinuu\AppData\Roaming\Mozilla\Firefox\Profiles\ve6wdpc1.default\Extensions\youtube-cinemode@gmail.com [2015-04-18]
    CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=sy&ts=143...p;uid=ST1000DM003-1ER162_W4Y0DCLJXXXXW4Y0DCLJ
    OPR Extension: (nddbhiejgghlfkjcmhanfpbpjiliclkd) - C:\Users\Pinuu\AppData\Roaming\Opera Software\Opera Stable\Extensions\nddbhiejgghlfkjcmhanfpbpjiliclkd [2015-04-02]
    OPR Extension: (suprize) - C:\Users\Pinuu\AppData\Roaming\Opera Software\Opera Stable\Extensions\obbfamljbihbcghcciagdafdpbgcmkne [2015-04-02]
    OPR Extension: (pplbjgemahdghhnelnlihpflpdkkmmgj) - C:\Users\Pinuu\AppData\Roaming\Opera Software\Opera Stable\Extensions\pplbjgemahdghhnelnlihpflpdkkmmgj [2015-04-06]
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2015-04-16] (Elex do Brasil Participações Ltda)
    S2 SpyHunter 4 Service; C:\Program Files (x86)\Enigma Software Group\SpyHunter\SH4Service.exe [327064 2010-05-18] (Enigma Software Group USA, LLC.)
    S3 esgiguard; C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [5248 2010-01-27] () [Brak podpisu cyfrowego]
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [260856 2015-05-14] (Elex do Brasil Participações Ltda)
    S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [53568 2015-04-16] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2015-07-03] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [60808 2015-07-27] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2015-07-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-04-14] (Elex do Brasil Participações Ltda)
    R1 {549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64; C:\Windows\System32\drivers\{549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64.sys [48784 2015-01-12] (StdLib)
    U2 McMPFSvc; Brak ImagePath
    S1 pfnfd_1_10_0_8; system32\drivers\pfnfd_1_10_0_8.sys [X]
    S1 pfnfd_1_10_0_9; system32\drivers\pfnfd_1_10_0_9.sys [X]
    S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X]
    S1 wsfd_1_10_0_19; system32\drivers\wsfd_1_10_0_19.sys [X]
    2015-04-19 14:20 - 2015-09-07 20:57 - 0000626 _____ () C:\Users\Pinuu\AppData\Roaming\IvogNnL
    2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\Pinuu\AppData\Roaming\VrIcKc9SXH
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw. Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

    0
  • #6 06 Paź 2015 22:03
    dawox99
    Poziom 13  

    Po co ci SpyHunter? Tylko będzie ci zaśmiecał komputer... Go się instaluje bardzo rzadko bo na ogół efekty są znikome z tego co zdążyłem już zauważyć.

    0
  • #7 06 Paź 2015 22:14
    pineskaxoxo
    Poziom 5  

    Serio? Mi bardzo często "odmulał" komputer za czasów XP, ale nie wypowiem się dalej bo niestety się nie znam. :)
    To jaki jest najbardziej polecany wśród programów tego typu?

    0
  • #8 06 Paź 2015 22:23
    dawox99
    Poziom 13  

    pineskaxoxo napisał:
    Serio? Mi bardzo często "odmulał" komputer za czasów XP, ale nie wypowiem się dalej bo niestety się nie znam. :)
    To jaki jest najbardziej polecany wśród programów tego typu?


    Za czasów XP. a z tego co widzę masz win 8. A najlepszy program to: żaden... Po prostu nie pobieraj śmieci... Bo komp sam z siebie nie zacznie "mulić".

    0
  • #9 06 Paź 2015 22:27
    pineskaxoxo
    Poziom 5  

    Za czasów XP, bo jeszcze kilka miesięcy temu go miałam. :) A co do pobierania śmieci, niestety nie tylko ja korzystam z tego komputera, śmieci nie są pobierane przeze mnie (w kwestii pobierania śmieci =nie, niestety nie da się tego innym wytłumaczyć), ale problemy zazwyczaj muszę rozwiązywać ja. SpyHuntera mam z polecenia od znajomych, póki co mi pomagał. Ale dzięki za informację. ;)

    0
  • Pomocny post
    #10 07 Paź 2015 09:17
    Acorus 20
    Spec od komputerów

    SpyHunter to śmieć, który nic nie usuwa bo jest płatny. Nic nie musisz formatować. Skasuj folder C:\FRST.

    0
  • #11 07 Paź 2015 13:38
    pineskaxoxo
    Poziom 5  
  • Pomocny post
    #12 07 Paź 2015 14:04
    Domino_2
    Pomocny dla użytkowników

    Vista

    Cytat:

    HKLM\...\Run: [] => [X]
    HKLM\...\RunOnce: [] => [X]
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&...le=pl_pl&c=83&bd=Pavilion&pf=cndt
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&...le=pl_pl&c=83&bd=Pavilion&pf=cndt
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
    HKU\S-1-5-21-2019249879-2290483917-578795181-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&...le=pl_pl&c=83&bd=Pavilion&pf=cndt
    HKU\S-1-5-21-2019249879-2290483917-578795181-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&...le=pl_pl&c=83&bd=Pavilion&pf=cndt
    SearchScopes: HKLM -> DefaultScope {DC234C6D-A6DE-49E1-9AFC-7C3F49ABF19A} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcndtie7-pl-pl
    SearchScopes: HKLM -> {DC234C6D-A6DE-49E1-9AFC-7C3F49ABF19A} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcndtie7-pl-pl
    SearchScopes: HKU\S-1-5-21-2019249879-2290483917-578795181-1000 -> DefaultScope {DC234C6D-A6DE-49E1-9AFC-7C3F49ABF19A} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcndtie7-pl-pl
    SearchScopes: HKU\S-1-5-21-2019249879-2290483917-578795181-1000 -> {DC234C6D-A6DE-49E1-9AFC-7C3F49ABF19A} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcndtie7-pl-pl
    BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll [2008-02-06] (Symantec Corporation)
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
    S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
    S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
    S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe, odpal go i kliknij Fix/Napraw.

    XP

    Cytat:

    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    HKLM\...\Run: [{315dd168-0794-4cf1-8355-f195cde642fc}] => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Package Cache\{315dd168-0794-4cf1-8355-f195cde642fc}\Avira.OE.Setup.Bundle.exe [831632 2015-09-07] (Avira Operations GmbH & Co. KG) <===== UWAGA
    S3 GMSIPCI; \??\E:\Ster 3\INSTALL\GMSIPCI.SYS [X]
    S4 IntelIde; Brak ImagePath
    U1 WS2IFSL; Brak ImagePath
    C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Package Cache\{315dd168-0794-4cf1-8355-f195cde642fc}\Avira.OE.Setup.Bundle.exe
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe, odpal go i kliknij Fix/Napraw.

    0
  • #13 07 Paź 2015 16:06
    pineskaxoxo
    Poziom 5  

    Ok, wszystko już działa.
    Jeszcze raz dziękuje Wam za pomoc! :)
    Win 8 - Wirus, skróty na pendrive, logi

    0