Adalbert Opublikowano 15 Września 2012 Zgłoś Udostępnij Opublikowano 15 Września 2012 Zacząłem sprzątać zapuszczony komputer w domu, było sporo toolbarów, kilka poinstalowanych antywirusów, ale żaden aktywny no i strony dziwnie działały (przekierowywanie stron google), bądź nie działały (jak np. youtube.com, który po zmienieniu z http na https jednak ruszył). Odinstalowałem co wiedziałem i umiałem, ale na pewno to nie wszystko. W logach widzę dalej pozostałości po odinstalowanych programach (toolbarach), czy modyfikacje (nie moje) pliku host (przekierowania na 94.228.209.236), ale wolę by ktoś profesjonalniej rzucił na to okiem i napisał co i jak. Dodatkowo mam kilka plików, których nie dam rady usunąć (chyba błędy w nazwach), ale to późniejsza kwestia, najpierw chcę się pozbyć wszelkiego syfu. Z góry dziękuję za pomoc. checkup.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Września 2012 Zgłoś Udostępnij Opublikowano 15 Września 2012 Zabrakło obowiązkowego raportu z GMER. 1. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 2. Otwórz Firefox i w Dodatkach odinstaluj: DealPly, SFT_Polska_ Community Toolbar, SweetIM Toolbar for Firefox, uTorrentBar Community Toolbar. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..network.proxy.type: 4 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.paxyd.com/" IE - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.paxyd.com/" IE - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\URLSearchHook: {8f3c1d75-d467-43c2-9a36-655366b76f5f} - SOFTWARE\Classes\CLSID\{8f3c1d75-d467-43c2-9a36-655366b76f5f}\InprocServer32 File not found O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {DB9D7A78-A76C-4BF2-97C6-258925EE1542} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {E8DE9422-3B2C-4243-BF6F-235DA84D8EF8} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (SFT_Polska_ Toolbar) - {8F3C1D75-D467-43C2-9A36-655366B76F5F} - C:\Program Files\Softonic-Polska_\prxtbSof0.dll File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found O34 - HKLM BootExecute: (aswBoot.exe /A:"*" /L:"Polish") :Files C:\Documents and Settings\All Users\Dane aplikacji\9a0b91 C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\ISXLLAMS C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\Woliccy\Dane aplikacji\Babylon C:\Documents and Settings\Woliccy\Dane aplikacji\Internet Security Suite C:\Documents and Settings\Woliccy\Dane aplikacji\PriceGong C:\Documents and Settings\Woliccy\Dane aplikacji\Thinstall C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\askcom.xml C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\conduit.xml C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\SweetIM Search.xml C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\sweetim.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\All Users\Dane aplikacji\9a0b91\IS9a0_2121.exe"=- "C:\Documents and Settings\Woliccy\Moje dokumenty\Pobieranie\facebook-pic00005267.exe"=- "C:\Documents and Settings\Woliccy\Pulpit\pobrane\facebook-pic00023434023402.exe"=- "C:\Documents and Settings\Woliccy\Pulpit\pobrane\SweetImSetup.exe"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- "ProxyEnable"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Services MBAMSwissArmy cpuz132 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i zaległy GMER. Dołącz log z usuwania AdwCleaner z punktu 4. . Odnośnik do komentarza
Adalbert Opublikowano 17 Września 2012 Autor Zgłoś Udostępnij Opublikowano 17 Września 2012 1. wykonane 2. odinstalowane (i trochę porządku w dodatkach zrobiłem) 3. niestety wykonywanie skryptu zaciąło mi (odczekałem kilka minut) się na pozycji: O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (SFT_Polska_ Toolbar) - {8F3C1D75-D467-43C2-9A36-655366B76F5F} - C:\Program Files\Softonic-Polska_\prxtbSof0.dll File not found więc ubiłem proces OTL, uruchomiłem ponownie komputer, ponownie wykonałem skrypt (tym razem bez problematycznego wpisu) i wykonywanie znowu zacięło mi się, tym razem na: O34 - HKLM BootExecute: (aswBoot.exe /A:"*" /L:"Polish") ponownie ubiłem proces, uruchomiłem ponownie komputer, wkleiłem skrypt od części :Files w dół i szczęśliwie zakończył swoje działanie OTL (log z ostatniego usuwania w załączniku 09172012_192626.txt) 4. wykonane 5. wykonałem logi OTL i GMERa Dodam jeszcze, że folder "Moje dokumenty" na pulpicie nazywa się "Moje doku,, menty" oraz nie mogę usunąć 2 plików: C:\pobrane\Menu weselne rozłogi.doc C:\pobrane\zakłądki.html oba pliki mają chyba spację za rozszerzeniem. Analogiczne pliki znajdują się w folderze "Pobieranie" również bezpośrednio na dysku C (sam przerzuciłem tu foldery, by łatwiejsza ścieżka była). Planuję zainstalować SpywareBlaster i przeskanować SUPERAntiSpyware. Warto? No i przy okazji czyszczenia odinstalowałem paczki kodeków i zastanawiam się jaki sensowny program do odtwarzania multimediów wrzucić, by zbytnio nie ścmiecić. VLC? Media Player Classic HomeCinema? No i jeszcze jedno pytani, w Dodaj/usuń programy mam jeszcze Data Access Objects (DAO) 3.5. Nie wiem co to jest - usunąć? GMER.txtPobieranie informacji ... 09172012_192626.txtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Log z GMER zrobiłeś w nieodpowiednim środowisku, przy czynnym sterowniku SPTD od emulacji napędów wirtualnych. Zostaw już to jednak. DRV - [2010-04-30 14:51:14 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Tylko poprawki zostały: 1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" O7 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 1 :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem bez restartu. 2. Do oceny wystarczy tylko log z wynikami usuwania OTL. Cytat Dodam jeszcze, że folder "Moje dokumenty" na pulpicie nazywa się "Moje doku,, menty" Czy to na pewno specjalny systemowy folder "Moje dokumenty" czy może jakiś dodatkowy twór w postaci zwyczajnego folderu? Cytat nie mogę usunąć 2 plików:C:\pobrane\Menu weselne rozłogi.doc C:\pobrane\zakłądki.html oba pliki mają chyba spację za rozszerzeniem. Analogiczne pliki znajdują się w folderze "Pobieranie" również bezpośrednio na dysku C (sam przerzuciłem tu foldery, by łatwiejsza ścieżka była). Spróbuj je skasować programem Delete FXP Files. Cytat Planuję zainstalować SpywareBlaster i przeskanować SUPERAntiSpyware. Warto? Ten pierwszy jest przestarzałą aplikacją. Tym drugim owszem możesz przeskanować, choć ja preferuję Malwarebytes' Anti-Malware (ale są już znaki jego pobytu na dysku). Cytat No i jeszcze jedno pytani, w Dodaj/usuń programy mam jeszcze Data Access Objects (DAO) 3.5. Nie wiem co to jest - usunąć? To silnik bazodanowy MS, używany m.in. przez Access (KLIK / KLIK)). Masz zainstalowany pakiet Office 2007. . Odnośnik do komentarza
Adalbert Opublikowano 2 Października 2012 Autor Zgłoś Udostępnij Opublikowano 2 Października 2012 Skrypt wykonany, log w załączniku. Dla pewności dodaję OTL i Extras. Folder Moje dokumenty (z błędem w nazwie) chyba był tym systemowym (skrótem), bo znikał i pojawiał się przy zaptaszkowywaniu PPM-Właściwości-Pulpit-Dostosuj pulpit...-Moje dokumenty, ale wystarczyło ręcznie zmienić nazwę i tak zostało, nie wiem czy to był przypadek, czy skutek jakiejś wcześniejszej infekcji, na razie jest ok. Pliki udało mi się skasować tym programem, zmieściłem się w 5 plikowym ograniczeniu wersji demo. Dziękuję Ci picasso, byłaś bardzo pomocna. 10022012_182757.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 3 Października 2012 Zgłoś Udostępnij Opublikowano 3 Października 2012 Nowe skany OTL nie były mi potrzebne (usuwam) dla potwierdzenia tak nikłych modyfikacji. Akcje wykonane jak w zamiarze i możemy kończyć: 1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, Delete FXP Files rzecz jasna możesz odinstalować. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj IE i wtyczkę Adobe Flash w Firefox: KLIK. Wersje aktualnie widziane w logach: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () . Odnośnik do komentarza
Adalbert Opublikowano 4 Października 2012 Autor Zgłoś Udostępnij Opublikowano 4 Października 2012 Sprzątanie i aktualizacje udane, jeszcze raz dziękuję za pomoc, temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi