Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
Objawy zainfekowania:
Witam mój kolega prosił mnie o pomoc. Wydaje mu się że ktoś go szpieguje. Konkretniej mówiąc objawy są następujące. Pokazująca się od czasu do czasu ikonka grupy domowej. Nagły wzrost pingu w różnych grach sieciowych. Ogólnie właśnie piszę ten temat z jego komputer i jeśli chodzi o szybkość i działanie nie jest źle. System pracuje naprawdę szybko. Zdalny pulpit wyłączyłem przed wszystkimi zabiegami.
Wykonywane działania:
MBAM, OTL, RSIT,
HITMAN PRO: brak zagrożen
tdsskiller: brak zagrożeń
Logi:
OTL:
extras:
RSIT:
MBAM:
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W okienko własne opcje skanowania skrypt wklej i wykonaj:
Kod: :OTL
FF - prefs.js..browser.search.useDBForOrder: false
O4 - HKU\S-1-5-19..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-20..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2012-12-29 17:26:38 | 000,000,000 | ---D | M] -- C:\Users\Dom\AppData\Roaming\LOVE
[2012-11-25 20:08:02 | 000,000,000 | ---D | M] -- C:\Users\Dom\AppData\Roaming\rockbox.org
:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
:Files
C:\Windows\tasks\*.*
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
:Commands
[EMPTYTEMP]
Przedstaw raport po wykonaniu oraz nowe logi.
Można też zresetować ogólne ustawienia sieci:
Do notatnika wklej:
Kod: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh firewall reset
netsh winsock reset
netsh int ip reset c:\resetlog.txt
pause
zapisz jako fix.bati uruchom jako administrator ,jak się wykona to kliknij dowolny klawisz i uruchom komputer ponownie
Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
Dziękuję za szybką odpowiedź.
Opiszę jak wykonałem twoje instrukcje żeby mieć pewność że wszystko dobrze zrobiłem.
Włączyłem OTL w trybie administratora, wkleiłem skrypt, zastosowałem takie same ustawienia jak podczas skanowania i dałem wykonaj skrypt.
następnie utworzyłem fix.bat uruchomiłem jako administrator, pokazało sie okienko cmd i byl chyba usuwane jakies wpisy potem kliknalem dowolny klawisz i wykonalem restart.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Skrypt się nie wykonał czy wkleiłeś na dole w okienko skrypt i dałeś wykonaj skrypt.
Skrypt musi być wykonany z tego samego konta.
[Aby zobaczyć linki, zarejestruj się tutaj]
Wykonało się tylko częściowo
Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
tak zrobiłem, wykonał się restart komputera i pokazała się następująca informacja
mam pytanie odznaczyć opcję: Pomiń stare dobre pliki
standardowo jest zaptaszkowana.
wykonam jeszcze raz i zamieszczę logi.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nie chodzi tylko o wykonanie ale poczekaj chwilę
Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
Komunikat po wykonaniu skrypt:
Wyniki po skanowaniu:
otl:
otl extras:
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Reguły firewalla zostały zresetowane.
Uruchom otl normalnie i w okienko skrypt wklej i wykonaj:
Kod: :Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
:OTL
[2013-01-05 16:48:14 | 000,002,046 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
[2013-07-24 14:34:34 | 000,000,000 | ---D | C] -- C:\Program Files\trend micro
[2013-07-24 19:08:00 | 000,000,930 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
:Commands
[EMPTYTEMP]
Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
to znaczy mam uruchomić bez trybu administratora i nie zaznaczać dodatkowych opcji ??
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Tak tylko wklej i wykonaj
Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
Niestety program się zawiesz to znaczy pokazuje sie informacja (brak odpowiedzi) Uruchomię ponownie komputer może to coś da.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
uruchom w trybie awaryjnym i spróbuj
Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
Niestety w trybie awaryjnym program takze sie zawiesza. System nie lecz program. Ma tylko jedno konto na windows 7 i jest to konto z uprawnieniami administratora więc może to przeszkadza. Zauważyłem że ma także problem z wi-fi dość częśto pokazuje mu sie ograniczony dostęp do sieci itp. chodź z tego co widzę router cały czas pracuje mu bez problemów.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
To spróbuj jako administrator ogólnie tam nic więcej już nie widzę
a te wpisy w IE to tylko pozostałości nic poważnego.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom,kliknij w File > Savei zapisz jako AutoRuns.arn ,plik prześlij na jakiś hosting np.tu [Aby zobaczyć linki, zarejestruj się tutaj] i przedstaw na forum.
Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
Niestety nawet z trybem administratora i dodatkowymi ustawieniami program się zawieszał.
AutoRuns:
Czy podać tutaj screen po poleceniu netstat -ano ??
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Uruchom notatnik i wyklej w nim:
Kod: Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
zapisz jako fix.regkliknij prawym przyciskiem myszki na plik i wybierz scal
Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
Zrobione. Czy podać tutaj screen po poleceniu netstat -ano ?? Trochę o tym czytałem ale moja wiedza jest zbyt mała na chwilę obecną. Jednak przy żadnym wyniku nie pokazuje mi się podsłuchiwanie.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Możesz podać,po scaleniu zrób restart
Liczba postów: 144
Liczba wątków: 10
Dołączył: 04.07.2010
Reputacja:
0
Restart wykonany. Czy mam zrobić coś jeszcze. Serdecznie dziękuje za poświęcony czas.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Zrób skan otl dodatkowy poczekaj na instrukcje do autoruns
Uruchom autorunsi w karcie drivers odznacz co żółte
W karcie servises odznacz
AdobeFlashPlayerUpdateSvc
AMD External Events Utility
Intel® Capability Licensing Service Interface
Intel® ME Service
ISCTAgent
jhi_service
LMS
MozillaMaintenance
ose64
osppsvc
UNS
W karcie Scheduled Tasks
odznacz wszystko oprócz avast! Emergency Update
W karcie logon odznacz
rdpclip
StartCCC
w kluczu HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Componentsodznacz
Internet Explorer
Microsoft Windows
|
