nika789 Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 Witam, problem, jaki pojawił się u mnie (Windows XP), to wirus UKASH. Akurat ok. dwa dni temu skończyła mi się wersja testowa antywirusa Malwarebytes anti-malware (jeśli mogę zapytać, jakiego darmowego antywirusa - pełną wersję - polecacie?)... Kiedy włączałam laptopa bez połączenia z internetem, blokada nie pojawiała się - dopiero, gdy podłączyłam internet i włączyłam przeglądarkę internetową. Logi z OTL zrobiłam w trybie awaryjnym. Bardzo proszę o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Zabrakło obowiązkowego GMER. Tu jest podejrzenie występowania rootkita Necurs, na dysku jest plik sugerujący go: [2012-09-13 13:33:07 | 000,071,424 | ---- | C] () -- C:\WINDOWS\System32\drivers\af53d67e9b49d69.sys Ogólnie system jest dość stratowany, infekcje, adware ... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Nicole\Start Menu\Programs\Startup\ctfmon.lnk C:\Documents and Settings\All Users\Application Data\lsass.exe C:\Documents and Settings\All Users\Application Data\2D280 C:\Documents and Settings\All Users\Application Data\43763A0B70C6282900F9437541BF5052 C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Application Data\Babylon C:\Documents and Settings\Nicole\Application Data\Babylon C:\Documents and Settings\Nicole\Application Data\bearsharemediabartb C:\Documents and Settings\Nicole\Application Data\bsbandmltbpi C:\Documents and Settings\Nicole\Local Settings\Application Data\cache C:\Documents and Settings\XP\Application Data\bsbandmltbpi C:\Documents and Settings\XP\Application Data\mediabarbs regsvr32 /u "C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll" /C C:\Program Files\BearShare Applications C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files\mozilla firefox\searchplugins\babylon.xml netsh firewall reset /C :OTL IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112059&tt=190712_n_mont_3012_4&babsrc=SP_ss&mntrId=f84b28290000000000000018f3aef418" IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=fa270346-f05c-11e1-88de-0018f3aef418&q={searchTerms}" IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\..\SearchScopes\{F389307A-1FF2-4426-A632-082D808B25A5}: "URL" = "http://www.mysearchresults.com/search?&c=3500&t=07&q={searchTerms}" O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Documents and Settings\Nicole\Desktop\Toolbars\Internet Explorer\skypeieplugin.dll File not found O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Nicole\Application Data\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (no name) - {1572957a-6f98-4ca0-9602-1579e03393f4} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O4 - HKU\S-1-5-21-1715567821-2139871995-725345543-1005..\Run: [ChomikBox] C:\Program Files\ChomikBox\chomikbox.exe File not found O4 - HKU\S-1-5-21-1715567821-2139871995-725345543-1005..\Run: [quzisamadkap] C:\Documents and Settings\Nicole\quzisamadkap.exe File not found O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Documents and Settings\Nicole\Desktop\Toolbars\Internet Explorer\skypeieplugin.dll File not found O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Documents and Settings\Nicole\Desktop\Toolbars\Internet Explorer\skypeieplugin.dll File not found O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Nicole\Desktop\PartyPoker.lnk File not found O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Nicole\Desktop\PartyPoker.lnk File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Documents and Settings\Nicole\Desktop\Toolbars\Internet Explorer\skypeieplugin.dll File not found SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\Nicole\Desktop\Updater\Updater.exe -- (SkypeUpdate) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\3900c.sys -- (3900c) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. 2. Są tu szczątki antywirusów. Z poziomu Trybu awaryjnego zastosuj te dwa narzędzia usuwające: Avast Uninstall Utility + Panda Uninstaller. 3. Przejdź w Tryb normalny Windows i przeprowadź deinstalacje adware: Przez Panel sterowania odinstaluj: DefaultTab, DefaultTab Chrome, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1. Google Chrome: wejdź do ustawień i w Rozszerzeniach odinstaluj BitTorrentBar, LiveVDO plugin, SweetIM for Facebook. Następnie w zarządzaniu wyszukiwarkami przestaw domyślną z Search Here na Google, po tym Search Here usuń z listy. Z listy stron startowych usuń www.mysearchresults.com, przestaw na otwieranie nowej karty. Wyczyść Historię. Firefox: śmieci zbiorowo usunie reset programu wykonany przez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
nika789 Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Witam ponownie, uff, w końcu zrobiłam wszystkie zalecane kroki (GMER zajął mi naprawdę sporo czasu...). Blokada oczywiście na szczęście zniknęła. Mały szczegół: nie znalazłam u siebie w Google Chrome rozszerzenia LiveVDO plugin, były tylko wspomniane dwa. Zgodnie z prośbą, załączam 3 pliki (log OTL, GMER i AdwCleaner). Czy to wszystko, czy jeszcze coś należy zrobić? GMER.txt OTL.Txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 GMER nic nie widzi, więc może faktycznie to jakieś szczątki na dysku (doczyszczę). Posługujesz się przestarzałym AdwCleaner v1.703. Pobierz najnowszą wersję z linka i popraw, przedstaw log z usuwania z tej wersji. Odnośnik do komentarza
nika789 Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Załączam więc log z najnowszego AdwCleaner. AdwCleanerS3.txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Zostały drobne poprawki. 1. W Google Chrome nadal ustawiona strona adware: ========== Chrome ========== CHR - homepage: "http://www.mysearchresults.com/?c=3500&t=07" Zamknij przeglądarkę (nie może być uruchomiona w procesach). Otwórz w Notatniku plik: C:\Documents and Settings\Nicole\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences Wyszukaj frazy homepage i zastąp adresy czymś pożytecznym. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{55B03674-8891-40EF-B01D-515E6A32DD54}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{55B03674-8891-40EF-B01D-515E6A32DD54}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :OTL O2 - BHO: (DefaultTab Browser Helper) - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Documents and Settings\Nicole\Application Data\DefaultTab\DefaultTab\DefaultTabBHO.dll File not found O4 - HKLM..\Run: [EfficientStickyNotes] File not found O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found :Files C:\WINDOWS\System32\drivers\af53d67e9b49d69.sys C:\Documents and Settings\All Users\Application Data\Alwil Software C:\Documents and Settings\Nicole\Application Data\IEToolbar C:\Documents and Settings\XP\Application Data\IEToolbar :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Jak poprzednio, nastąpi restart. 3. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nowy skan OTL nie jest potrzebny. . Odnośnik do komentarza
nika789 Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Przesyłam log z wynikami usuwania OTL. wyniki_OTL.txt Odnośnik do komentarza
picasso Opublikowano 29 Października 2012 Zgłoś Udostępnij Opublikowano 29 Października 2012 Zadania pomyślnie wykonane. Przejdź do tego zakresu zadań: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, resztę ręcznie dokasuj. "Stare dane programu Firefox" z Pulpitu możesz usunąć. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
nika789 Opublikowano 29 Października 2012 Autor Zgłoś Udostępnij Opublikowano 29 Października 2012 Wykonałam wyszczególnione punkty. Niestety Malwarebytes Anti-Malware wykrył jeszcze 9 obiektów. Na razie jeszcze nic z nimi nie zrobiłam, bo stwierdziłam, że po raz kolejny w tej kwestii zaufam Twoim wskazówkom. Póki co załączam log. mbam-log-2012-10-29 (19-09-26).txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 1. Wyniki MBAM: wszystkie usuń z wyjątkiem instalatora Real Alternative. 2. Zaktualizuj wyliczone poniżej aplikacje: KLIK. W Twoim logu widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 30"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Microsoft SQL Server 10" = Microsoft SQL Server 2008"Microsoft SQL Server 2005" = Microsoft SQL Server 2005"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)"Opera 11.60.1185" = Opera 11.60 Czyli: stare Adobe i Java odinstaluj zanim zainstalujesz najnowsze wersje, zaktualizuj Firefox i Opera, doinstaluj Service Pack dla Microsoft SQL Server 2005 (KB913089) oraz Microsoft SQL Server 2008 (KB968382). . Odnośnik do komentarza
nika789 Opublikowano 30 Października 2012 Autor Zgłoś Udostępnij Opublikowano 30 Października 2012 Czy po tych czynnościach powinnam Tobie coś jeszcze załączyć? Odnośnik do komentarza
picasso Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 Nie, przecież nie proszę o dodatkowe dane. To już koniec tematu,. Odnośnik do komentarza
nika789 Opublikowano 30 Października 2012 Autor Zgłoś Udostępnij Opublikowano 30 Października 2012 Ok, w takim razie bardzo dziękuję :-) Jesteś fenomenalna i bardzo podziwiam Twoją wiedzę :-) Postaram się uważać na instalowanie tych wszystkich śmieciowych dodatków i poszukać dobrego, darmowego antywirusa :-) Mam nadzieję, że tak uchronię się przed kolejnym atakiem, a przynajmniej będę miała świadomość, że w ramach profilaktyki zrobiłam wszystko, co mogłam ;-) Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi