Adanio111 Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Witam! Chciałbym prosić o pomoc w odblokowaniu komputera. Można go uruchomić tylko w trybie awaryjnym. Tutaj zamieszczam log ze skanu programem ComboFix. log.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Zasady działu w kwestii obowiązkowych logów: KLIK. Dołącz stosowne logi z OTL. Na temat używania ComboFix: KLIK. . Odnośnik do komentarza
Adanio111 Opublikowano 12 Września 2012 Autor Zgłoś Udostępnij Opublikowano 12 Września 2012 Ok. Oto skan z OTL. EDIT: Poprawione. Logi z konta Adam (jedynego poza MasterAdmin). Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2012 Zgłoś Udostępnij Opublikowano 12 Września 2012 Po pierwsze: posługujesz się przestarzałym OTL by OldTimer - Version 3.2.56.0, który nie ma poprawki na skan Firefox. Po drugie to nie wygląda na log z właściwego konta na którym jest infekcja. Tu jest konto MasterAdmin, które wygląda na co dopiero uworzone (świeże wygenerowanie katalogu na dysku). Konta mają kompletnie inne rejestry i foldery, infekcja na jednym koncie nie jest widziana w logu innego konta. Tak więc logi muszą być zrobione z poziomu konta na którym jest problem. Na razie w tu podanym logu są widoczne obiekty UKASH na dysku (ale nie wpis startowy = on jest na innym koncie), inne trojany z lewych paczek / dodatków do gier oraz adware. Proszę o: pobranie najnowszego OTL (KLIK), start w Trybie awaryjnym i zalogowanie na właściwe konto, zrobienie nowych logów OTL z opcji Skanuj. EDIT: Logi podmienione. Tak, teraz widać co należy i mogę przejść do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=d0656b84-96ce-11e1-a4f9-6cf049d2b5d9" FF - prefs.js..extensions.enabledAddons: {d7c53344-59d6-bf7a-066f-d9b4a744e591}:4.6.8.5 FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=d0656b84-96ce-11e1-a4f9-6cf049d2b5d9&q=" IE - HKU\S-1-5-21-2000478354-1532298954-839522115-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\..\SearchScopes\{3641BE0B-0846-4780-A471-D90B50BE21FD}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=d0656b84-96ce-11e1-a4f9-6cf049d2b5d9&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103000&st=12&q={searchTerms}" IE - HKU\S-1-5-21-2000478354-1532298954-839522115-1001\..\SearchScopes\{3641BE0B-0846-4780-A471-D90B50BE21FD}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=d0656b84-96ce-11e1-a4f9-6cf049d2b5d9&q={searchTerms}" IE - HKU\S-1-5-21-2000478354-1532298954-839522115-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031818" IE - HKU\S-1-5-21-2000478354-1532298954-839522115-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6OyCEInOtl&i=26" O4 - HKLM..\Run: [Microsoft® Windows® Operating System] C:\Documents and Settings\User\Pulpit\Minecraft server\exphack_metin\FishingBot.exe () O4 - HKU\S-1-5-21-2000478354-1532298954-839522115-1001..\Run: [acxzjxsgvtyyftb] C:\WINDOWS\acxzjxsg.exe (Cybernet Manufacturing) O4 - HKU\S-1-5-21-2000478354-1532298954-839522115-1001..\Run: [Kookos] C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Kookos\kookos.exe silent File not found O4 - HKU\S-1-5-21-2000478354-1532298954-839522115-1001..\Run: [MSIDLL] C:\WINDOWS\System32\msisds32.dll () O4O4 - HKU\S-1-5-21-2000478354-1532298954-839522115-1001..\RunOnce: [updateN] C:\Documents and Settings\User\Dane aplikacji\mservice32.exe () O4 - Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\nssvc32.exe () O4 - Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\winfirewall.exe () [2012-09-09 17:18:02 | 000,078,022 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\glzoyxgvtdsizos [2012-09-09 17:18:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\lptrriigvkrrsdg [2012-05-22 20:33:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate [2012-05-19 18:22:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer [2012-05-22 20:35:26 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\s20yh5dm.default\searchplugins\MyStart Search.xml [2012-05-05 18:25:59 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\s20yh5dm.default\searchplugins\startsear.xml [2012-09-08 09:03:44 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{d7c53344-59d6-bf7a-066f-d9b4a744e591} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-04-09 19:40:36 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\MASTER~1\USTAWI~1\Temp\catchme.sys -- (catchme) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. Windows odblokuje się i działasz już w Trybie normalnym: 2. Odinstaluj adware: - Otwórz Firefox i w Dodatkach odinstaluj: Bcool, SFT_Polska_ Community Toolbar, Yontoo. - Przez Dodaj / Usuń programy odinstaluj: Browsers Protector, Contextual Tool Extrafind, Deinstalator Strony V9, Softonic-Polska_ Toolbar, Yontoo 1.10.02, Web Assistant 2.0.0.440. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
Adanio111 Opublikowano 12 Września 2012 Autor Zgłoś Udostępnij Opublikowano 12 Września 2012 Oto jeden z logów. Drugiego wysłać nie mogę ponieważ pisze, że nie mam uprawnień do wysyłania tego typu plików. Spróbuję wysłać przez wklej.org http://wklej.org/hash/9a3c948660f/ OTL2.Txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Zabrakło raportu z AdwCleaner. Jest na dysku C. Drugiego wysłać nie mogę ponieważ pisze, że nie mam uprawnień do wysyłania tego typu plików. Zasady działu oraz Pomoc forum (link na spodzie strony) objaśniają, że załączniki akceptują tylko rozszerzenie *.TXT, a to *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. Nie wszystko się usunęło, nadal w starcie trojany z paczek od gier. FishingBot.exe uruchamiany jako "Microsoft® Windows® Operating System" to nic dobrego. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [Microsoft® Windows® Operating System] C:\Documents and Settings\User\Pulpit\Minecraft server\exphack_metin\FishingBot.exe /tray File not found O4 - HKU\S-1-5-21-2000478354-1532298954-839522115-1001..\RunOnce: [updateN] C:\Documents and Settings\User\Dane aplikacji\mservice32.exe () :Files C:\Documents and Settings\User\Pulpit\Minecraft server :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz zaległy log AdwCleaner. . Odnośnik do komentarza
Adanio111 Opublikowano 13 Września 2012 Autor Zgłoś Udostępnij Opublikowano 13 Września 2012 Już dziękuję za pomoc w odblokowaniu komputera. Chciałbym przeznaczyć dotację ale mam dopiero 16 lat, a nie wiem czy rodzice się zgodzą. Ode mnie wielkie dzięki. AdwCleanerS1.txt 09132012_201541.Txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Ten wpis FishingBot.exe jakoby nie został znaleziony w rejestrze. Sprawdź to na wszelki wypadek: Start > Uruchom > regedit i wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Sprawdź czy widać tam wartość o nazwie Microsoft® Windows® Operating System. Jeśli tak, z prawokliku skasuj. Chciałbym przeznaczyć dotację ale mam dopiero 16 lat, a nie wiem czy rodzice się zgodzą. Ode mnie wielkie dzięki. Dziękuję, ale nie kłopocz się z tym. . Odnośnik do komentarza
Adanio111 Opublikowano 14 Września 2012 Autor Zgłoś Udostępnij Opublikowano 14 Września 2012 Zrobione. Dodać kolejny skan czy już nie? Odnośnik do komentarza
picasso Opublikowano 14 Września 2012 Zgłoś Udostępnij Opublikowano 14 Września 2012 Na wszelki wypadek pokaż mi nowy raport OTL. Odnośnik do komentarza
Adanio111 Opublikowano 14 Września 2012 Autor Zgłoś Udostępnij Opublikowano 14 Września 2012 Prosze bardzo: OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2012 Zgłoś Udostępnij Opublikowano 14 Września 2012 Obiekty zostały usunięte, nic więcej nie widzę. Przejdź do tej porcji zadań: 1. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio był uruchamiany z Temp i już go nie ma. Pobierz ponownie narzędzie na Pulpit (KLIK). Start > Uruchom > wklej komendę: "C:\Documents and Settings\User\Pulpit\ComboFix.exe" /uninstall Następnie w AdwCleaner użyj Uninstall + w OTL uruchom Sprzątanie. 2. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Adanio111 Opublikowano 15 Września 2012 Autor Zgłoś Udostępnij Opublikowano 15 Września 2012 Link do raportu z Anti-Malware. Coś tam wykrył. http://wklej.org/hash/edef84d0d56/ Odnośnik do komentarza
picasso Opublikowano 16 Września 2012 Zgłoś Udostępnij Opublikowano 16 Września 2012 1. Wyniki: z sekcji wykrytych plików usuń wszystko, gdyż w zestawie jest trojan (server_n.exe), adware oraz instalatory zawierające przypuszczalnie jakąś "wstawkę" adware. Natomiast wyniki z rejestru Hijack.ControlPanelStyle, PUM.Hijack.StartMenu, PUM.Hijack.Help (czyli blokady Panelu sterowania na widoku klasycznym + widoczności Pomocy w Menu Start) zależą od interpretacji kto poczynił te modyfikacje. 2. Na koniec zaktualizuj Windows (krytyczny poziom zabezpieczeń) oraz wyliczone poniżej aplikacje. Szczegóły aktualizacyjne: KLIK. Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 7.0.5730.11) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6 Uwaga spoza: polecam też zamienniki dla zasobożernego Gadu-Gadu 10. Do wglądu artykuł Darmowe komunikatory i opisy WTW, Kadu, Miranda, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi