donkeykong87 Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 Wirus spowodował blokadę laptopa. Bardzo proszę o pomoc i instrukcje. Zamieszczam poniżej logi. Dziękuję z góry za pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 Dla ścisłości: to nie jest wirus, to inny gatunek (trojan ransomware). W starcie brak wpisu uruchomieniowego infekcji. Czy infekcja była już czymś usuwana? A może konto Toshiba to nie jest konto na którym ujawnia się infekcja? W związku z tym ja mogę tu doczyścić tylko to co widać, czyli szczątki infekcji oraz adware: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Toshiba\AppData\Roaming\Oxxuc C:\ProgramData\0R35KpAOC.dat C:\ProgramData\57R8GSyd.exe_.b C:\Users\Toshiba\AppData\Local\funmoods-speeddial.crx C:\Users\Toshiba\AppData\Local\funmoods.crx C:\Users\Toshiba\AppData\Roaming\mozilla\Firefox\Profiles\3xb05f1u.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} C:\Users\Toshiba\AppData\Roaming\mozilla\Firefox\Profiles\3xb05f1u.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} C:\Users\Toshiba\AppData\Roaming\mozilla\Firefox\Profiles\3xb05f1u.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} C:\Users\Toshiba\AppData\Roaming\mozilla\Firefox\Profiles\3xb05f1u.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} C:\Users\Toshiba\AppData\Roaming\mozilla\Firefox\Profiles\3xb05f1u.default\extensions\ffxtlbr@babylon.com C:\Users\Toshiba\AppData\Roaming\mozilla\firefox\profiles\3xb05f1u.default\searchplugins\aol-web-search.xml C:\Users\Toshiba\AppData\Roaming\mozilla\firefox\profiles\3xb05f1u.default\searchplugins\conduit.xml C:\Users\Toshiba\AppData\Roaming\mozilla\firefox\profiles\3xb05f1u.default\searchplugins\Search.xml C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByC0ByC0D0E0AzyyDyE0CyE0F0EtN0D0Tzu0StBtCtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1566544863" IE:64bit: - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByC0ByC0D0E0AzyyDyE0CyE0F0EtN0D0Tzu0StBtCtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1566544863" IE - HKLM\..\SearchScopes\{73606117-7F6C-E087-2313-3137A11E443B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByC0ByC0D0E0AzyyDyE0CyE0F0EtN0D0Tzu0StBtCtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1566544863" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120401192023947&tb_oid=01-04-2012&tb_mrud=01-04-2012" IE - HKU\S-1-5-21-475019596-2697581083-1637803999-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByC0ByC0D0E0AzyyDyE0CyE0F0EtN0D0Tzu0StBtCtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1566544863" IE - HKU\S-1-5-21-475019596-2697581083-1637803999-1000\..\SearchScopes\{1622B3B0-41DE-436F-B598-ACBE425F0D11}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-475019596-2697581083-1637803999-1000\..\SearchScopes\{73606117-7F6C-E087-2313-3137A11E443B}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_7_&babsrc=SP_ss&mntrId=8addc4fe0000000000000023185b657e" IE - HKU\S-1-5-21-475019596-2697581083-1637803999-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-475019596-2697581083-1637803999-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120401192023947&tb_oid=01-04-2012&tb_mrud=01-04-2012" :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Odinstaluj adware: - Przez Panel sterowania odinstaluj: Babylon toolbar on IE, BabylonObjectInstaller, DealPly, Download Updater (AOL LLC), 50 FREE MP3s +1 Free Audiobook!, free-downloads.net Toolbar, Funmoods Web Search, uTorrentControl2 Toolbar, Winamp Toolbar. Przy okazji pozbądź się także McAfee Security Scan Plus. - Otwórz Google Chrome i w Rozszerzeniach odinstaluj Babylon Toolbar, Funmoods, uTorrentControl2. W zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym Web Search usuń z listy. Z listy stron startowych usuń odnośnik start.funmoods.com. Wyczyść historię. 3. Zresetuj plik preferencji Firefox mocno zabrudzony adware. Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit ten plik: C:\Users\Toshiba\AppData\Roaming\mozilla\firefox\profiles\3xb05f1u.default\prefs.js Uruchom Firefox (stworzy nowy czysty prefs.js) i poustawiaj w opcjach co należy, bo po w/w resecie wszystko będzie domyślne. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Wygeneruj nowy log OTL z opcji Skanuj, zaznacz opcję Pomiń pliki Microsoftu, a Extras mi już nie dawaj. Dołącz log z usuwania AdwCleaner z punktu 4. . Odnośnik do komentarza
donkeykong87 Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 Zaciąłem się na resetowaniu pliku referencyjnego Firefoksa, także czy moge prosić o podpowiedź? Natomiast jeśli chodzi o wcześniejsze pytanie, to po zablokowaniu komputera zainstalowałem ComboFix i za jego pomocą usunąłem (mam taką nadzieję, postępowałem wg instrukcji znalezionych na forum) infekcję. Następnym krokiem było zamieszczenie logów na tym forum. Natomiast konto Toshiba jest jedynym kontem na moim laptopie Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 Zaciąłem się na resetowaniu pliku referencyjnego Firefoksa, także czy moge prosić o podpowiedź? Objaśnij z czym masz problem. zainstalowałem ComboFix i za jego pomocą usunąłem (mam taką nadzieję, postępowałem wg instrukcji znalezionych na forum) infekcję Na przyszłość: KLIK. . Odnośnik do komentarza
donkeykong87 Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 nie wiem jak zresetować plik referencyjny Firefoksa. Jeśli zaś chodzi o ComboFixa to wcześniej zapoznałem się z instrukcjami. Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 nie wiem jak zresetować plik referencyjny Firefoksa. No ale kurcze pytam z czym masz problem przy wykonywaniu tego: Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit ten plik: C:\Users\Toshiba\AppData\Roaming\mozilla\firefox\profiles\3xb05f1u.default\prefs.js Uruchom Firefox (stworzy nowy czysty prefs.js) i poustawiaj w opcjach co należy, bo po w/w resecie wszystko będzie domyślne. Jeśli zaś chodzi o ComboFixa to wcześniej zapoznałem się z instrukcjami. I mimo to uruchamiałeś? Eh. Przecież to silne narzędzie, blokadę UKASH można usunąć w mniej inwazyjny sposób .. I nie przedstawiłeś raportu co narzędzie robiło! . Odnośnik do komentarza
donkeykong87 Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 Przepraszam, źle zrozumiałem sformulowanie, już jest ok. Przesyłam log z OTL i log w usuwania AdwCleaner AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 A jednak nie wykonałeś wcale resetu preferencji Firefox (lub przeprowadziłeś to niepoprawnie przy czynnym Firefox) poprzez przesunięcie pliku prefs.js na Pulpit. Otóż AdwCleaner usuwał adware z prefs.js, a to nie powinno mieć miejsca po przeniesieniu prefs.js! Nie dogadamy się tu, zostaw to już, założę że AdwCleaner wyczyścił dostatecznie preferencje. 1. Wymagana poprawka na szczątki. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{687578b9-7132-4a7a-80e4-30ee31099e03}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{687578b9-7132-4a7a-80e4-30ee31099e03}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{515D03EE-2520-473B-919C-4771E5E27FE3}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{515D03EE-2520-473B-919C-4771E5E27FE3}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{C92F8012-8F60-4E78-B414-B44B6F3660DB}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal 2. W Google Chrome zostały odpadkowe wtyczki po Downloaderze AOL: ========== Chrome ========== CHR - plugin: downloadUpdater (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npdnu.dllCHR - plugin: downloadUpdater2 (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npdnupdater2.dll Ich wycięcie wymaga edycji pliku preferencji. Zamknij przeglądarkę (nie może być uruchomiona), w Notatniku otwórz do edycji plik: C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\Default\Preferences W pliku wyszukaj bloki wtyczek downloadUpdater + downloadUpdater2 i je usuń. Dla porównania tu punkt 3: KLIK. Oczywiście u Ciebie nazwy wtyczek są inne. 3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Przy okazji: nie wygląda na to, że prawidłowo odinstalowałeś ComboFix, są określone pliki na dysku, które deinstalacja usuwa .... No cóż, to już dokończy Sprzątanie w OTL. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zrób skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
donkeykong87 Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 nic nie zostało wykryte, dziekuję bardzo za pomoc:) Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. Log mówi, że posiadasz wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 14"{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski ----> doinstaluj SP1"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź wersję"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) ----> już jest najnowsza"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Masz też poboczną uwagę na temat ciężkiego Gadu-Gadu 10. Poczytaj o alternatywach: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi