Policja wita mnie na starcie

[raddor710]

Dobry wieczór. Policja dopomina się u mnie pieniędzy Prosiłbym o o wygenerowanie skryptu i poradę jak się bronić na przyszłość.

OTL.Txt

Extras.Txt

[picasso]

Podejmowałeś próbę z ComboFix. Co my na ten temat: KLIK. Są tu aż dwie infekcje oraz adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\raddor71\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\raddor71\Dane aplikacji\Babylon
C:\Documents and Settings\raddor71\Dane aplikacji\GoforFiles
C:\WINDOWS\tasks\Go for FilesUpdate.job
C:\WINDOWS\tasks\momvgxxwcs.job
C:\WINDOWS\System32\TAKDSDecoder.dll
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:OTL
IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=9fb6fc0e-fc41-11e1-9970-001966e0ca90&q={searchTerms}"
IE - HKU\S-1-5-21-1801674531-1592454029-1177238915-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/?q={searchTerms}&affID=116222&tt=4312_2&babsrc=SP_ss&mntrId=90bc6f86000000000000001966e0ca90"
IE - HKU\S-1-5-21-1801674531-1592454029-1177238915-1003\..\SearchScopes\{318BBB24-68BA-4D87-A97C-A9ADE5B5127B}: "URL" = "https://isearch.avg.com/search?cid={67264E23-C096-4DC4-94DF-CBFC79EF4872}&mid=d5b227feaf9a47d0b4f9d15020042363-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=gm011&pr=sa&d=2012-05-24 10:46:46&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-1801674531-1592454029-1177238915-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=9fb6fc0e-fc41-11e1-9970-001966e0ca90&q={searchTerms}"
IE - HKU\S-1-5-21-1801674531-1592454029-1177238915-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_fs_IM2_TEST"
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012-10-24 09:58:22 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKU\S-1-5-21-1801674531-1592454029-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
SRV - File not found [Auto | Stopped] -- C:\Program Files\mks_vir_9\bin\mks_services.exe -- (mks_services)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchURL]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchURL]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchURL]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware Browser Manager, LiveVDO plugin 1.3, McAfee Security Scan Plus (sponsor paczek Adobe) oraz zbędny AVG Security Toolbar. W Google Chrome w Rozszerzeniach zrób deinstalację LiveVDO plugin oraz Settings Protector (to malware: KLIK).

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[raddor710]

Dzięki zadziałało, dodaję nowe logi OTL i AdwCleaner.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Zadania pomyślnie wykonane. Wymagane drobne poprawki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchURL]
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ROC_ROC_JULY_P1"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W Google Chrome jest ustawiona ta strona startowa adware:

 

========== Chrome  ==========
 
CHR - homepage: "http://isearch.babylon.com/?affID=116222&tt=4312_2&babsrc=HP_ss&mntrId=90bc6f86000000000000001966e0ca90"

 

Wejdź do ustawień przeglądarki i w sekcji "Po uruchomieniu" z listy stron usuń ten wpis, zaznacz opcję "Otwórz stronę nowej karty". Jeśli w opcjach nie będzie widziana ta strona Babylon, zamknij przeglądakę (nie może być w procesach) i otwórz w Notatniku plik:

 

C:\Documents and Settings\raddor71\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj w nim frazę homepage i zastąp adres.

 

3. Zrób nowy log z OTL poświadczający zmiany, ograniczony do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

[raddor710]

Ok tak zrobiłem, dodaję log z OTL.

OTL.Txt

[picasso]

Nadal w Google Chrome strona startowa adware:

 

========== Chrome  ==========
 
CHR - homepage: "http://isearch.babylon.com/?affID=116222&tt=4312_2&babsrc=HP_ss&mntrId=90bc6f86000000000000001966e0ca90"

 

Opisz co w ogóle robiłeś w tej kwestii. Zedytuj homepage na poziomie pliku Preferences jak opisałam.

 

 

 

.

[raddor710]

Miała Pani rację zrobiłem jak napisano, ale pewnie nie zapisałem i tak wyszło. Niestety mam problem teraz z OTL nie mogę skończyć skanowania. Wyskakuje błąd: " W stacji nie ma dysku. Włóż dysk do stacji? Poprawiłem to co było źle, ale to skanowanie!!! Niestety nie mam możliwości wygenerowania loga OTL.

[picasso]

Wejdź w Tryb awaryjny Windows i ponów skan.

[raddor710]

Faktycznie na awaryjnym było bezaawaryjnie. Dołączam log OTL.

OTL.Txt

[picasso]

Wymieniłeś tylko jedno wystąpienie homepage, były dwa. Aktualnie widać:

 

========== Chrome  ==========
 
CHR - homepage: www.onet.pl
CHR - homepage: "http://isearch.babylon.com/?affID=116222&tt=4312_2&babsrc=HP_ss&mntrId=90bc6f86000000000000001966e0ca90"

 

Powtórka edycji + nowy log OTL na tych samych warunkach co poprzednio.

 

 

.

[raddor710]

Chyba powinno byc teraz dobrze. Oto log.

OTL.Txt

[picasso]

Jest OK, czyli kończymy:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie do śmieci.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg raportu obecnie posiadasz:

 

========= HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.2 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"Opera 11.51.1087" = Opera 11.51

 

Czyli: odinstaluj stare Javy + Adobe Reader i zastąp najnowszymi, wtyczka Adobe Flash w Firefox najnowsza ale nie wiadomo czy w Internet Explorer również (sprawdź), zaktualizuj Operę oraz zainstaluj psakiet SP1 dla Office 2010.

 

 

Dodatkowa uwaga na temat zainstalowanej kombinacji Gadu-Gadu 10 + Tlen.pl. Pierwszy program do niczego (żre zasoby jak smok, więcej reklam niż rzeczywistych funkcji). Drugi jest martwy, firma go porzuciła. Obejrzyj alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[raddor710]

Ok dzięki.