bugger Opublikowano 2 Października 2012 Zgłoś Udostępnij Opublikowano 2 Października 2012 Witam, Dzisiaj mnie to dziadostwo dopadło. Udało mi się usunąć z autostartu, ale nie wiem gdzie jeszcze siedzi. Zrobiłem skan OTL i załączam pliki. Będę wdzięczny za pomoc. Pozdrawiam, B OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 3 Października 2012 Zgłoś Udostępnij Opublikowano 3 Października 2012 Udało mi się usunąć z autostartu, ale nie wiem gdzie jeszcze siedzi. Wnioskując po logach OTL zająłeś się tylko wpisem, ale na dysku nadal dobrze widoczne pliki tej infekcji (msconfig.dat + msconfig.ini). 1. Przeprowadź usuwanie adware i zbędnych elementów: - Przez Panel sterowania odinstaluj adware Ask Toolbar, DAEMON Tools Toolbar, vShare plugin 1.3, vShare.tv plugin 1.3, VshareComplete. Przy okazji pozbądź się też niepełnosprawnych skanerów McAfee Security Scan Plus, Norton Security Scan, Skaner on-line mks_vir, Spybot - Search & Destroy. - Otwórz Firefox i w Dodatkach odinstaluj DAEMON Tools Toolbar, Sopcast Ask Toolbar, vShare, VshareComplete. - Otwórz Google Chrome i w zarządzaniu wyszukiwarkami przestaw domyślną z v9 na Google po tym v9 skasuj z listy. Z listy stron startowych wymaż www.v9.com. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Wojtek\AppData\Roaming\msconfig.dat C:\Users\Wojtek\AppData\Roaming\msconfig.ini C:\Users\Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\p7i6vdi1.default\searchplugins\askcom.xml C:\Users\Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\p7i6vdi1.default\searchplugins\daemon-search.xml C:\Users\Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\p7i6vdi1.default\searchplugins\startsear.xml C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=en_US&q=" FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.search.selectedEngine: "v9" FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=TOSHIBA_MK3252GSX_589JF1BGS__589JF1BGS&ts=1349196144" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=c7715eb7-dbf7-11e0-9208-00214f546f5e&q={searchTerms}" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{2F5C5EAE-73F8-463A-ADDC-4AFB7989B539}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=HygPp8w4VLw-8S6BefO1anWJ1Qw?q={searchTerms}" O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{95B71844-B267-4DDD-B358-C05034E4BB23}C:\program files (x86)\sopcast\adv\sopadver.exe"=- "TCP Query User{C6BAB794-67D2-4431-A779-661570D714C7}C:\program files (x86)\sopcast\adv\sopadver.exe"=- "UDP Query User{C90B6F4F-2198-4385-BC32-AED73C377CC7}C:\program files (x86)\sopcast\adv\sopadver.exe"=- "UDP Query User{DB14F8EB-36A7-4C63-BF96-14EE7C287007}C:\program files (x86)\sopcast\adv\sopadver.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System będzie restartował. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner. . Odnośnik do komentarza
bugger Opublikowano 9 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2012 Witam, Proszę o pomoc przy pozbyciu się trojana ukash. Załączam plik logu OTL: Pozdrawiam, Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2012 Zgłoś Udostępnij Opublikowano 9 Listopada 2012 Masz tendencje do uciekania z tematu, przecież poprzedni wcale nie był skończony. Ani nie zostały wtedy zadane poprawki, ani końcowe ważne kroki. Tematy sklejam razem, ten sam komputer i kontynuacja określonych rzeczy z poprzedniego wątku. Uwaga, posługujesz się wadliwą wersją OTL 3.2.70.1. Ta wersja ma krytyczny błąd i została wycofana: KLIK. Usuń ten OTL z dysku i pobierz ponownie z linka w przyklejonym poprawną wersję: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O4 - HKLM..\Run: [Antivirus Microsoft Utility] C:\Windows\system32\antie32.exe File not found O4 - HKU\S-1-5-21-2632797812-2884028479-220639230-1001..\Run: [ivralaivom] C:\Users\Wojtek\AppData\Roaming\Acme\buiz.exe (Microsoft Corporation) :Files C:\Users\Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Wojtek\AppData\Roaming\Unruz C:\Users\Wojtek\AppData\Roaming\Fiyr C:\Users\Wojtek\AppData\Roaming\Acme C:\Program Files (x86)\system.sys C:\Windows\SysNative\antie32.exe netsh advfirewall reset /C :Reg [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. W Google Chrome nadal widać stronę startową adware v9 oraz wtyczkę vShare: ========== Chrome ========== CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=TOSHIBA_MK3252GSX_589JF1BGS__589JF1BGS&ts=1349196144"CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll Zamknij przeglądarkę (nie może być uruchomiona w procesach). Otwórz w Notatniku plik: C:\Users\Wojtek\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj frazy homepage i zastąp w nich adresy. Następnie wyszukaj blok wtyczki vShare.tv plug-in i usuń. Dla porównania tu punkt 3 jak się usuwa wtyczki: KLIK. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
bugger Opublikowano 9 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2012 bardzo dziękuję za pomoc. rzeczywiście poprzednio nie dokończyłem wszystkich kroków. przy usuwaniu pluginu nie bardzo wiem którą część muszę wyrzucić. chrome przy uruchomieniu pokazuje błąd. wklejam część, w której pojawia się vshare. poniżej załączam też nowy log OTL "kolbbghckjilleabphhgeggcgpfidofi": { "blacklist": true }, "kpionmjnkbpcdpcflammlgllecmejgjj": { "app_launcher_index": 4, "from_webstore": false, "install_time": "12963092631163818", "lastpingday": "12964345226342000", "location": 3, "manifest": { "description": "vshare.tv plugin", "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpPRKTnNjvUjPNU4/mQ9/fcxH6wfZK8ee1K0cXrMtIw1lNvM+J1twbyzw+f9xyShibfMyAy6Hy/yr1IUTyt9DJCfp01Y9ihQdRXPKph+WAdknVtCc3gJY844OTov5YW+GIvt+NHCQtUUgZRFej+/nlGV7OK4UTGDra6+2FQpNX5wIDAQAB", "name": "vshare plugin", "plugins": [ { "path": "chvsharetvplg.dll", "public": true } ], "version": "1.3" }, "path": "kpionmjnkbpcdpcflammlgllecmejgjj\\1.3_0", "state": 2 }, "lambangeielkjcnmioccboaphdfcffib": { "blacklist": true OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2012 Zgłoś Udostępnij Opublikowano 10 Listopada 2012 przy usuwaniu pluginu nie bardzo wiem którą część muszę wyrzucić Chodziłoby o tę część: "kpionmjnkbpcdpcflammlgllecmejgjj": { "app_launcher_index": 4, "from_webstore": false, "install_time": "12963092631163818", "lastpingday": "12964345226342000", "location": 3, "manifest": { "description": "vshare.tv plugin", "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpPRKTnNjvUjPNU4/mQ9/fcxH6wfZK8ee1K0cXrMtIw1lNvM+J1twbyzw+f9xyShibfMyAy6Hy/yr1IUTyt9DJCfp01Y9ihQdRXPKph+WAdknVtCc3gJY844OTov5YW+GIvt+NHCQtUUgZRFej+/nlGV7OK4UTGDra6+2FQpNX5wIDAQAB", "name": "vshare plugin", "plugins": [ { "path": "chvsharetvplg.dll", "public": true } ], "version": "1.3" }, "path": "kpionmjnkbpcdpcflammlgllecmejgjj\\1.3_0", "state": 2 }, Ale: chrome przy uruchomieniu pokazuje błąd Jaki błąd? I ja rzeczywiście widzę, że coś się stało z Google Chrome. Zanikła konfiguracja przeglądarki. Pierwszy log pokazywał: ========== Chrome ========== CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=TOSHIBA_MK3252GSX_589JF1BGS__589JF1BGS&ts=1349196144" CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms} CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=TOSHIBA_MK3252GSX_589JF1BGS__589JF1BGS&ts=1349196144" CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Users\Wojtek\AppData\Local\Google\Chrome\Application\23.0.1271.64\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\Wojtek\AppData\Local\Google\Chrome\Application\23.0.1271.64\pdf.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Users\Wojtek\AppData\Local\Google\Chrome\Application\23.0.1271.64\gcswf32.dll CHR - plugin: Shockwave Flash (Disabled) = C:\Users\Wojtek\AppData\Local\Google\Chrome\User Data\PepperFlash\11.1.31.203\pepflashplayer.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll CHR - plugin: Microsoft\u00AE Windows Media Player Firefox Plugin (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\np-mswmp.dll CHR - plugin: Java Deployment Toolkit 6.0.310.5 (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npdeployJava1.dll CHR - plugin: Java Platform SE 6 U31 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll CHR - plugin: 2007 Microsoft Office system (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\NPOFF12.DLL CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll CHR - plugin: DivX VOD Helper Plug-in (Enabled) = C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll CHR - plugin: DivX Plus Web Player (Enabled) = C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll CHR - plugin: Veetle TV Player (Enabled) = C:\Program Files (x86)\Veetle\Player\npvlc.dll CHR - plugin: Veetle TV Core (Enabled) = C:\Program Files (x86)\Veetle\plugins\npVeetle.dll CHR - plugin: Google Update (Enabled) = C:\Users\Wojtek\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll CHR - Extension: Splendid = C:\Users\Wojtek\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdfkbdkkfmmckaadapdipihjfaacnkgd\3_0\ CHR - Extension: YouTube = C:\Users\Wojtek\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\ CHR - Extension: Szukaj w Google = C:\Users\Wojtek\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\ CHR - Extension: DivX Plus Web Player HTML5 \u003Cvideo\u003E = C:\Users\Wojtek\AppData\Local\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm\2.1.2.145_0\ CHR - Extension: Gmail = C:\Users\Wojtek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\ Aktualny log OTL pokazuje łysinę: ========== Chrome ========== CHR - Extension: DivX Plus Web Player HTML5 \u003Cvideo\u003E = C:\Users\Wojtek\AppData\Local\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm\2.1.2.145_0\ Coś musiałeś błędnie zedytować lub Google Chrome miało czynny proces w tle podczas otwierania Preferences i preferencje zostały uszkodzone. W związku z tym punkt 1: 1. Proponuję przeinstalować przeglądarkę na czysto. Odinstaluj > zainstaluj ponownie. 2. Minimalna poprawka na domyślne wyszukiwarki Internet Explorer. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{122D3717-CA2A-48F3-8B8A-03D185034430}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{122D3717-CA2A-48F3-8B8A-03D185034430}" Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 3. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Odinstaluj stare Adobe i Java, zastąp najnowszymi wersjami, oraz zaktualizuj Firefox: KLIK. Aktualnie jako zainstalowane widać: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll () PS. Widzę w zainstalowanych Konnekt! Toż to trup, ledwo działa, obsługa sieciowa aktualnie śmiechu warta, a dopasowanie do nowoczesnej platformy x64 znikome. Polecam nowoczesny WTW, który Konnekta przegonił już dawno temu. Pełny opis komunikatora w artykule Darmowe komunikatory. . Odnośnik do komentarza
bugger Opublikowano 10 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2012 chyba wszystko udało się wykonać po kolei. jeszcze raz bardzo dziękuję za pomoc:-) Odnośnik do komentarza
Rekomendowane odpowiedzi