Skocz do zawartości

Sprawdzenie logów


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zasady działu: KLIK. Proszę się wysilić i podać jakiś opis o co chodzi z "profilaktycznym" (co się dzieje, bo coś się dzieje, prawda?), zmienić tytuł tematu na adekwatny oraz załączyć prawidłowe logi. Ani to komplet logów ani właściwa wersja. Użyłeś archaizm OTL 3.2.1.1 (brak mnóstwa nowych skanów i poprawek) = OTL zawsze należy pobierać od początku. Nie ma pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Brak obowiązkowego raportu GMER.

 

Czyli podajesz nowy świeży komplet logów OTL (najnowsza wersja) + GMER. Infekcja tu jest, ale nie zabiorę się za to na takich szmaciarskich danych, które są w poście 1 aktualnie.

 

 

 

.

Odnośnik do komentarza

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{0ECD949D-1457-41FE-BA13-18C8DA357BA8}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=2a625e82-2995-11e1-a600-001d7dc68651&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0ECD949D-1457-41FE-BA13-18C8DA357BA8}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=2a625e82-2995-11e1-a600-001d7dc68651&q={searchTerms}"
IE - HKCU\..\SearchScopes\{503C53D2-A0C5-4B5B-B511-63C844C08FE6}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
FF - HKLM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1: C:\Program Files\Yahoo!\Common\npyaxmpb.dll File not found
FF - HKLM\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Program Files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found
FF - HKCU\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Program Files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKCU..\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation)
O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation)
SRV - [2008-04-14 21:50:36 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\ntvixb.dll -- (mtgvvliv)
NetSvcs: mtgvvliv - File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbvm323.sys -- (ZSMC326)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\vmfilter323.sys -- (vmfilter323)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fcdabus.sys -- (fcdabus)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\mdn\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5228:TCP"=-
 
:Files
C:\Documents and Settings\mdn\Dane aplikacji\OpenCandy
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Google Chrome: wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych wymaż feed.helperbar.com. W zarządzaniu wyszukiwarkami przestaw domyślną z Web na Google, po tym Web usuń z listy.

 

3. Firefox: wyczyść z adware i naleciałości post aktualizacyjnych za pomocą menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox..

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Dodatkowe pytanie, na każdym dysku są ukryte pliki autorun.inf o jednakowej wadze:

 

O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - G:\autorun.inf -- [ NTFS ]

 

Co to za pliki, czy były robione celowo czy nie wiesz co to jest?

 

 

 

.

Odnośnik do komentarza

Zaćmiło mnie z tymi plikami autorun.inf. Zmierzałam do tego, że program typu Panda USB Vaccine robi pliki wielkości 16 bajtów, a tu jest 61. W oczach mi się ze zmęczenia przestawiło. Prawie wszystko wykonane, jeszcze poprawki i usunięcie tych plików autorun.inf.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:OTL
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-04-01 20:21:35 | 000,000,061 | RHS- | M] () - G:\autorun.inf -- [ NTFS ]

 

Klik w Wykonaj skrypt.

 

2. W Google Chrome nadal ustawiona strona startowa adware feed.helperbar.com oraz resztki wtyczek adware vShare/LiveVDO:

 

========== Chrome  ==========

 

CHR - homepage: "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=e45138aa-108a-42c3-a192-cb25173239fc&affid=111585&searchtype=hp&babsrc=lnkry"

CHR - homepage: "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=e45138aa-108a-42c3-a192-cb25173239fc&affid=111585&searchtype=hp&babsrc=lnkry"

CHR - plugin: vShare.tv plug-in (Enabled) = C:\Documents and Settings\mdn\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll

CHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Usunięcie tego wszystkiego wymaga już bezpośredniej edycji pliku preferencji. Skopiuj na Pulpit poniższy plik:

 

C:\Documents and Settings\mdn\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Umieść na jakimś hostingu, ja go pobiorę i zedytuję, odeślę z powrotem do podstawienia.

 

 

 

.

Odnośnik do komentarza

1. Przesyłam zedytowany plik: KLIK. Google Chrome musi być zamknięte podczas wymiany plików! Po wymianie uruchom przeglądarkę, by sprawdzić czy nie ma żadnego błędu startowego.

 

2. Zrób nowy log z OTL ograniczony do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

I wypowiedz się na czym stoimy z kondycją systemu.

 

 

 

Edytowane przez picasso
19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...