marcinszpak Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Cześć Dziś pojwaił mi się w NOD komunikat o koniu trojasńkim Win32/Ponmocup.AA. Dodatkowo wyłączyło się Centrum ZAbezpieczeń systemu Windows. Prośba o pomoc. Dodatkowo od kiklu tygodniu nie mogę zainstalować Service Pack 1 oraz niektóre aktualizacje (może ma to związek). Załączam raporty OLT Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Infekcja uruchamia się z tych plików: [2012-11-15 15:57:15 | 000,118,784 | RHS- | C] () -- C:\Windows\SysWow64\xvidcorez.dll[2012-11-15 15:57:15 | 000,000,312 | ---- | C] () -- C:\Windows\tasks\UEVNDFWXD.job Infekcja wyłącza Centrum zabezpieczeń, Przywracanie systemu, Windows Defender. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\xvidcorez.dll C:\Windows\tasks\UEVNDFWXD.job :OTL IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = "http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60342" IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/fmsoftware/{F36B6633-038F-4559-BD01-475B1840017F}?q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. O4 - HKCU..\Run: [] File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ChromeFrameHelper"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Włącz funkcje zdeaktywowane przez malware: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender celowo omijam (przy antywirusach jest zbędny i dla wydajności powinien być wyłączony). Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Przez Panel sterowania odinstaluj adware vShare.tv plugin 1.3 (tak, ta wtyczka video robi śmietnik). W Google Chrome w Rozszerzeniach odmontuj SweetIM for Facebook. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Dodatkowo od kiklu tygodniu nie mogę zainstalować Service Pack 1 oraz niektóre aktualizacje (może ma to związek). Nie opisałeś tego problemu w szczegółowy sposób, to nic nie mówi. Jeśli po usuwaniu infekcji sytuacja się nie zmieni, załóż nowy temat w dziale Windows 7 z dokładnym opisem problemu. Zajmę się tym tematem prosząc tam o szczególne raporty pod kątem Windows Update. . Odnośnik do komentarza
marcinszpak Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Dziękuję za pomoc Zrobiłem wszystkie punkty. Załaczam OTL - jednakże loga z Adwcleaner nigdzie nie widze. Zrobiłem Adwcleaner -> delete - następnie kazał restart kompa ale loga brak. Pozdrawiam M OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Załaczam OTL - jednakże loga z Adwcleaner nigdzie nie widze. Zrobiłem Adwcleaner -> delete - następnie kazał restart kompa ale loga brak. Opis narzędzia przecież wyraźnie mówi gdzie są logi ... . Odnośnik do komentarza
marcinszpak Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 No właśnie nie włączały się po restarcie i nie było ich na dysku C. Ponieważ jestem podpięty pod sieć firmową zroniłem to bo odcięciu neta. Teraz powstały Dołączam AdwCleanerS4.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Infekcja pomyślnie usunięta, ale: 1. Nie wygląda na to, że zrobiłeś to: 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. W logu z OTL widać to samo co przedtem w preferencjach Firefox, brak świeżo utworzonego folderu "Stare dane programu Firefox" na Pulpicie. Więc? 2. W Google Chrome pozostała odpadkowa wtyczka vShare: ========== Chrome ========== CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll Usunięcie wtyczki wymaga edycji pliku Preferences. Skopiuj na Pulpit ten plik: C:\Users\marcinsz\AppData\Local\Google\Chrome\User Data\Default\Preferences Prześlij mi go przez jakiś serwis hostingowy. Plik zedytuję i odeślę do podstawienia. 3. Drobna korekta dla Internet Explorer po używaniu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{5764CC81-5BEB-4F52-A392-6A38B3FB7DD5}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{5764CC81-5BEB-4F52-A392-6A38B3FB7DD5}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. . Odnośnik do komentarza
marcinszpak Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Wszystko o czym piszesz wykonane. Nie za bardzo rozumiem z tym wysłaniem pliku przez serwis hostingowy. Czy mam go np. wystawić na chomikuj.pl i podać ci linka do niego? czy o coś innego chodzi? Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Tak, o to chodzi. Link wyślij na PW, a ja tu zedytuję post i podam co dalej. EDIT: Plik dosłałeś. 1. Przesyłam plik na PW. Rozpakuj i podmień nim plik poprzedni. Google Chrome nie może być uruchomione podczas tej operacji, bo plik ulegnie uszkodzeniu. Po podmianie plików uruchom Google Chrome i sprawdź czy nie ma błędu. 2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Odnośnik do komentarza
marcinszpak Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Wykonane załaczam OTL Nie wyłaczyłm szukaj plików - nei mam takiej opcji ?? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Nie wyłaczyłm szukaj plików - nei mam takiej opcji ?? Jest: po prawej "Skan plików" + "Pliki utworzone w przeciągu". Ale zostaw to już. Zadania pomyślnie wykonane i kończymy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\Kaspersky Rescue Disk 10.0, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu masz obecnie zainstalowane: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216025F0}" = Java 6 Update 25"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll () Czyli: usuń wszystkie stare Adobe / Java i zastąp najnowszymi wersjami, zaktualizuj Firefox, zainstaluj Service Pack dla Microsoft SQL Server 2008 R2 (KB2527041) oraz SP1 dla Windows 7. Opowiadałeś o problemach z aktualizacjami i już mówiłam: Nie opisałeś tego problemu w szczegółowy sposób, to nic nie mówi. Jeśli po usuwaniu infekcji sytuacja się nie zmieni, załóż nowy temat w dziale Windows 7 z dokładnym opisem problemu. Zajmę się tym tematem prosząc tam o szczególne raporty pod kątem Windows Update. Uwaga poboczna: widzę Nowe Gadu-Gadu. Polecam nowocześniejsze alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
marcinszpak Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Dzieki za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi