Protector Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Witam mam problem, od kilku dni wyskakuję komunikat związany z niemiecką policją. Blokuję to komputer i nic nie moge robić. Nie wiem jak ale udało mi się to obejść menadżerem zadań. Nastapił wtedy błąd aplikacji i to zamkneło powodując to, że nie pokazuję pulpitu. Licze na szybką pomoc w celu pozbycią się tego wirusa. Aktualnie napisałem to z zawirusowanego komputera. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Tu są także szczątki po Live Security Platinum oraz infekcji z przenośnych USB, a także adware. 1. Posługujesz się starszym OTL 3.2.65.1, pobierz najnowszą wersję: KLIK. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [update] C:\Documents and Settings\Maciek\Dane aplikacji\System\winlogon.exe () O4 - HKCU..\Run: [Naritue] C:\Documents and Settings\Maciek\Dane aplikacji\Aritem\napea.exe () O4 - HKCU..\Run: [update] C:\Documents and Settings\Maciek\Dane aplikacji\System\winlogon.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Update = C:\Documents and Settings\Maciek\Dane aplikacji\system\winlogon.exe () O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.) O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Maciek\Dane aplikacji\system\winlogon.exe) - C:\Documents and Settings\Maciek\Dane aplikacji\System\winlogon.exe () IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={31FF7799-EAFA-11E1-BB59-002215560A45}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109805&babsrc=SP_ss&mntrId=00cd7464000000000000002215560a45" IE - HKCU\..\SearchScopes\{334A66E6-A78F-41B0-AA35-43B49C84ABE5}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={31FF7799-EAFA-11E1-BB59-002215560A45}" FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files\GamersFirst\LIVE!\nplivelauncher.dll File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS2\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS2\system32\drivers\EagleNT.sys -- (EagleNT) :Files C:\Documents and Settings\Maciek\Dane aplikacji\rt1.png C:\Documents and Settings\Maciek\Dane aplikacji\Ypoviz C:\Documents and Settings\Maciek\Dane aplikacji\Ulhoes C:\Documents and Settings\Maciek\Dane aplikacji\Aritem C:\Documents and Settings\Administrator.USER-D2FC4228BA\Dane aplikacji\PriceGong C:\Program Files\Common Files\AskToolbarInstaller.exe C:\Program Files\Common Files\AskInstallChecker.exe C:\WINDOWS2\System32\mgking1.dll C:\WINDOWS2\System32\mgking0.dll C:\WINDOWS2\System32\arking1.dll C:\WINDOWS2\System32\arking0.dll C:\Documents and Settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\yy0701cq.default\searchplugins\askcomsearch.xml C:\Documents and Settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\yy0701cq.default\searchplugins\sweetim.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Odinstaluj adware: - Otwórz Google Chrome i w Rozszerzeniach odinstaluj SweetIM for Facebook, SweetPacks Chrome Extension, Yontoo. Dodatkowo w zarządzaniu wyszukiwarkami przestaw domyślną z SweetIM Search na Google, po tym SweetIM Search usuń z listy. Skasuj home.sweetim.com z listy stron startowych i wyczyść Historię. - Otwórz Firefox i w Dodatkach odinstaluj SweetIM for Firefox. - Przez Panel sterowania odinstaluj adware Ask Toolbar, Babylon toolbar on IE, Conduit Engine, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, Yontoo 1.10.02, uTorrentBar Toolbar. Od razu pozbądź się też tych niepełnosprawnych skanerów McAfee Security Scan Plus, Norton Security Scan. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. . Odnośnik do komentarza
Protector Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Zrobione. Czekam na dalsze wskazówki. AdwCleanerS2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Wymagane poprawki. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS2\System32\arking1.dll C:\WINDOWS2\System32\arking0.dll :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Live Search" "DisplayName"="@ieframe.dll,-12512" "URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "DownloadRetries"=dword:00000000 "DownloadUpdates"=dword:00000001 "Version"=dword:00000002 "UpgradeTime"=hex:a0,07,fa,8f,d5,96,cd,01 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] "SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}§ionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}" "FaviconURLFallback"="http://www.bing.com/favicon.ico" "URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" "FaviconPath"="C:\\Documents and Settings\\Maciek\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico" "DisplayName"="Bing" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{30CEEEA2-3742-40E4-85DD-812BF1CBB83D}"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Naritue"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. AdwCleaner nie wykrył zabrudzeń preferencji Firefox. Zresetuj je w sposób radykalny. Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit ten plik: C:\Documents and Settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\yy0701cq.default\prefs.js Następnie uruchom ponownie Firefox (utworzy czysty nowy prefs.js) i ustaw ręcznie w opcjach takie rzeczy jak strona startowa oraz przeinstaluj używane dodatki, gdyż po w/w operacji wszystko zostanie sprowadzone do poziomu domyślnego. 4. W Google Chrome nadal jako strona startowa widnieje home.sweetim.com. Czy jest jakiś problem z usunięciem jej z ustawień? Jeśli tak, to zamknij przeglądarkę (nie może być uruchomiona) i otwórz w Notatniku plik: C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences Wyszukaj frazy homepage i zastąp w nich adresy. 5. Zrób nowy log z OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + wyszukiwanie plików na Żadne, klik w Skanuj. . Odnośnik do komentarza
Protector Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Zrobione. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Wszystko zrobione, przechodzimy do wykończeń: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Prefs.js już możesz usunąć z Pulpitu. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Protector Opublikowano 24 Października 2012 Autor Zgłoś Udostępnij Opublikowano 24 Października 2012 Usunołem wykryte niebezpieczne rzeczy. Log: mbam-log-2012-10-24 (17-09-31)po oczyszczeniu.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Wystarczy mi tylko jeden log, z usuwania (kasuję ten pierwszy), bo dane są te same za wyjątkiem statusu wpisów. 1. Wyniki MBAM: 90% wyników to była infekcja z przenośnych USB, czyli wszystkie pliki wykryte w root dysków oraz PUM.Hijack.System.Hidden (blokada przestawiania widzialności plików). Wyniki, które nie stanowiły zagrożenia, to: PUM.Disabled.SecurityCenter (to tylko adnotacje o wyłączonych powiadomieniach Centrum zabezpieczeń) + Trojan.IRCBot kierujący na katalog Thinstall (to fałszywy alarm na aplikacjach portable zrobionych metodą wirtualizacji). W związku z tym, że usunąłeś tego "IRCBota", skasuj przez SHIFT+DEL cały katalog: C:\Documents and Settings\Maciek\Pulpit\Microsoft Office PowerPoint 2007 Usuwanie w MBAM równa się zmianom konfiguracyjnym w systemie, toteż ponownie wyczyść foldery Przywracania systemu. 2. W związku z obecnością infekcji z USB zabezpiecz system za pomocą Panda USB Vaccine i opcji Computer Vaccination. 3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Log notuje wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> doinstaluj pakiet SP3"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish"Adobe Shockwave Player" = Adobe Shockwave Player 11.6 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) W skrócie: na początek odinstaluj z systemu wymienione tu Adobe, Java i Silverlight. Po tym zainstaluj najnowsze opcje. 4. Nie posiadasz żadnego ogólnego oprogramowania zabezpieczającego / antywirusa. Uzupełnij. PS. Dodatkowa uwaga na temat Gadu-Gadu 10, które jest zasobożerne. Sugeruję obejrzenie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi