Saskey Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Czyli ostatnio to co dzieje się u wszystkich co piszą w tym dziale Proszę o pomoc. Załączam logi. Z góry dziękuję pracowitej administracji. Edit Jak coś próbowałem usunąć tego trojana przez Kaspersky Rescue Disk 10 i nie przyniosło to żadnego skutku, tylko jakieś robaki znalazł. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 System jest również zaśmiecony adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\ADAM\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found O3 - HKU\S-1-5-21-1390067357-484763869-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-21-1390067357-484763869-839522115-1003\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [zzhviguhvpobnib] C:\Documents and Settings\All Users\Dane aplikacji\zzhviguh.exe () O4 - HKU\S-1-5-21-1390067357-484763869-839522115-1003..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe" File not found O4 - HKU\S-1-5-21-1390067357-484763869-839522115-1003..\Run: [NVIDIA driver monitor] c:\windows\nvsvc32.exe File not found O4 - HKU\S-1-5-21-1390067357-484763869-839522115-1003..\Run: [zzhviguhvpobnib] C:\Documents and Settings\All Users\Dane aplikacji\zzhviguh.exe () FF - prefs.js..browser.search.defaultthis.engineName: "4shared.com Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "pl.v9.com/idg/idg_1342105026_932980" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=2&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1342105026_932980" IE - HKU\S-1-5-21-1390067357-484763869-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1342105026_932980" O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Sacm2A.sys -- (USBCM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX1K.SYS -- (UNDPX1K) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTACCESS.sys -- (NTACCESS) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\clwvd.sys -- (clwvd) :Files C:\Documents and Settings\All Users\Dane aplikacji\umbdqtcpvkhauew C:\Documents and Settings\All Users\Dane aplikacji\bitufyaurxmbtfe C:\Documents and Settings\ADAM\ms.exe C:\Documents and Settings\ADAM\Dane aplikacji\PriceGong C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\searchplugins\conduit.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\WINDOWS\_detmp.1 C:\WINDOWS\Tasks\At*.job :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\ADAM\Moje dokumenty\Pobieranie\facebook-pic000934519.exe"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przeprowadź deinstalację adware / śmieci: Przez Panel sterowania odinstaluj: 4shared.com Toolbar, Babylon toolbar on IE, Codec-C, Softonic toolbar on IE and Chrome, V9 HomeTool, Yahoo! Toolbar. Ten ostatni wygląda na jakieś odpadki. Otwórz Firefox i w Dodatkach odmontuj: 4shared.com Community Toolbar, Babylon, Codec-C, Free Lunch Design Community Toolbar, Softonic Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj 4shared.com, Codec-C. Następnie w zarządzeniu wyszukiwarkami przestaw bieżącą Babylon na cokolwiek innego (np. Google), po tym Babylon usuń z listy. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
Saskey Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Tylko nwm gdzie log z usuwania się zapisał. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Log z usuwania jest tworzony automatycznie w katalogu kwarantanny OTL, czyli C:\_OTL. Ale możemy sobie go podarować. W nowym skanie OTL widać pożądane zmiany. Wymagana poprawka na odpadki: 1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7} C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com C:\Documents and Settings\All Users\Dane aplikacji\Codec-C C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Program Files\v9Soft :OTL FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=2&q=" O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" File not found :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Do oceny wystarczy tylko log z wynikami usuwania. Nie ma potrzeby robić nowego skanowania w OTL. . Odnośnik do komentarza
Saskey Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 kiedy chce wysłać załącznik pokazuje, że nie mam prawa aby wysyłać tego typu pliki. Dlatego wkejam bezpośrednio tutaj: All processes killed ========== FILES ========== C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\searchplugin folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\Plugins folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\modules folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\META-INF folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\defaults folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\components folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\chrome folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\searchplugin folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\Plugins folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\modules folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\META-INF folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\defaults folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\components folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\chrome folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7} folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\defaults\preferences folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\defaults folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\content\imgs\flgs folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\content\imgs folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\content folder moved successfully. C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Codec-C\data folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Codec-C folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Premium\Setup folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Premium folder moved successfully. C:\Program Files\v9Soft folder moved successfully. ========== OTL ========== Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=2&q=" removed from keyword.URL Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: ADAM ->Temp folder emptied: 5097454 bytes ->Temporary Internet Files folder emptied: 3839667 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 113673921 bytes ->Google Chrome cache emptied: 64858502 bytes ->Flash cache emptied: 1757 bytes User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->FireFox cache emptied: 0 bytes User: Administrator.ADAM-OVL2URGK92 ->Temporary Internet Files folder emptied: 0 bytes User: Administrator.ADAM-OVL2URGK92.000 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Gość ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 23938 bytes RecycleBin emptied: 152490227 bytes Total Files Cleaned = 324,00 mb OTL by OldTimer - Version 3.2.53.1 log created on 07162012_143028 Files\Folders moved on Reboot... File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot. PendingFileRenameOperations files... [2012-07-16 14:31:46 | 000,000,000 | ---- | M] () C:\WINDOWS\temp\_avast5_\Webshlock.txt : Unable to obtain MD5 Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 kiedy chce wysłać załącznik pokazuje, że nie mam prawa aby wysyłać tego typu pliki. Zasady działu + Pomoc forum wyjaśniają, że załączniki akceptują tylko rozszerzenie *.TXT a tu jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. Do wykonania operacje: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj skanowanie w MBAM. Jeśli coś wykryje, przedstaw raport. 4. Widoczne elementy Avast, które wyglądają nieświeżo. Na dodatek nie widzę wejścia programu na liście zainstalowanych. Z poziomu Trybu awaryjnego posłuż się Avast Uninstall Utility. Następnie zainstaluj najnowszą wersję. 5. Ważne podstawowe aktualizacje do wykonania: KLIK. Oto fragment z Twoich zainstalowanych: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 26"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja dla IE) -----> do aktualizacji"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF) ----> już jest najnowsza ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1390067357-484763869-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome Rzuca się w occzy krytyczny poziom aktualizacji Windows. System w stanie SP2+IE6, "zabezpieczenia" z roku 2004 i blokada na bieżące aktualizacje krytyczne (dopuszczone systemy to tylko XP SP3). W pierwszej kolejności należy nadrobić całe Windows Update. PS. Uwaga poboczna na temat pary Gadu-Gadu 10 + Nowe Gadu-Gadu. Programy ciężkie, zasobożerne i dęczące reklamami. Sugeruję oglądnięcie alternatywnych programów z obsługą sieci Gadu, takich jak: AQQ, Kadu, WTW, Miranda. Opisy w artykule: Darmowe komunikatory. . Odnośnik do komentarza
Rekomendowane odpowiedzi