Ireneus Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Bardzo proszę o pomoc. W ciągu ostatniego miesiąca już z trzy razy usuwałem jakieś śmieci z Autostartu, które domagały się pieniędzy (Ukash). Niestety, tym razem nie nie wiem czego można się pozbyć (bez lęku o stan systemu)... Przeskanowałem system Kaspersky Disc Rescue 10 (jak doradza CERT), ale poza wykryciem i skasowaniem jednego typu wirusa nic się nie zmieniło. Zgodnie z zasadami wklejam logi. To jest komputer syna i podejrzewam, że ma tam niezły chaos... Ireneus OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Od razu będą też usuwane skanery (stare lub w szczątkach). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\nnpchcjiennvgkd C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\esm9yry9.default\extensions\4faaf3a4adda1@4faaf3a4adda2.info C:\Users\Michał\AppData\Roaming\Ad-Aware Antivirus C:\windows\System32\drivers\mferkdk.sys C:\windows\System32\drivers\mfehidk.sys C:\windows\System32\drivers\Mpfp.sys C:\windows\System32\drivers\mfeavfk.sys C:\windows\System32\drivers\mfesmfk.sys C:\windows\System32\drivers\mfebopk.sys :OTL FF - prefs.js..extensions.enabledItems: 4faaf3a4adda1@4faaf3a4adda2.info:1.0 FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4faaf3a4adda1@4faaf3a4adda2.info: C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\esm9yry9.default\extensions\4faaf3a4adda1@4faaf3a4adda2.info [2012/05/13 19:11:55 | 000,000,000 | ---D | M] O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Reg [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Odinstaluj adware Bcool przez Panel sterowania oraz w Google Chrome w Rozszerzeniach. Od razu pozbądź się też McAfee Security Scan Plus (sponsor paczek Adobe) oraz Spybot - Search & Destroy (archaiczny skaner). 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
Ireneus Opublikowano 19 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Gorąco dziękuję! System wyczyściłem według wskazówek. Przy okazji zrobiłem service pack 1 do windows 7. Oto logi z OTL-a. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Coś ten skrypt nie wykonał się wcale jak należy. Kilka plików usuwanych skryptem nadal na dysku. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\esm9yry9.default\extensions\4faaf3a4adda1@4faaf3a4adda2.info C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\nnpchcjiennvgkd C:\windows\System32\drivers\mfehidk.sys C:\windows\System32\drivers\Mpfp.sys C:\windows\System32\drivers\mfeavfk.sys C:\windows\System32\drivers\mfesmfk.sys C:\windows\System32\drivers\mfebopk.sys C:\windows\System32\drivers\mferkdk.sys C:\Users\Michał\AppData\Roaming\Ad-Aware Antivirus :OTL O15 - HKU\S-1-5-21-3916604919-2912353607-3506189148-1000\..Trusted Domains: mks.com.pl ([www] http in Trusted sites) Klik w Wykonaj skrypt. Otworzy się log z wynikami usuwania. 2. Przedstaw ów log z wynikami usuwania, nowy skan OTL niepotrzebny. Log nie będzie duży = wklej wprost w poście. . Odnośnik do komentarza
Ireneus Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Fakt. Po pierwszym przetworzeniu skryptu OTL dziwnie zareagował - niby wykonał żądane działania, ale poinformował, że loga utworzyć nie może... Teraz powinno być już wszystko OK: ========== FILES ========== C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\esm9yry9.default\extensions\4faaf3a4adda1@4faaf3a4adda2.info\content folder moved successfully. C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\esm9yry9.default\extensions\4faaf3a4adda1@4faaf3a4adda2.info folder moved successfully. C:\ProgramData\dsgsdgdsgdsgw.pad moved successfully. C:\ProgramData\nnpchcjiennvgkd moved successfully. C:\windows\System32\drivers\mfehidk.sys moved successfully. C:\windows\System32\drivers\Mpfp.sys moved successfully. C:\windows\System32\drivers\mfeavfk.sys moved successfully. C:\windows\System32\drivers\mfesmfk.sys moved successfully. C:\windows\System32\drivers\mfebopk.sys moved successfully. C:\windows\System32\drivers\mferkdk.sys moved successfully. C:\Users\Michał\AppData\Roaming\Ad-Aware Antivirus\Logs\20120908T145426.443406PID5984 folder moved successfully. C:\Users\Michał\AppData\Roaming\Ad-Aware Antivirus\Logs folder moved successfully. C:\Users\Michał\AppData\Roaming\Ad-Aware Antivirus folder moved successfully. ========== OTL ========== Registry key HKEY_USERS\S-1-5-21-3916604919-2912353607-3506189148-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mks.com.pl\www\ deleted successfully. OTL by OldTimer - Version 3.2.69.0 log created on 11202012_171819 Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Teraz poszło. Czyli kończymy: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu masz obecnie zainstalowane: Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Mozilla Firefox (3.6.27)" = Mozilla Firefox (3.6.27) CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll W podsumowaniu: zaktualizuj wtyczkę Silverlight w Google Chrome, odinstaluj wszystkie podane tu wystąpienia Adobe / Java / Firefox * i zastąp najnowszymi wersjami, zainstaluj SP1 oraz resztę łat dla Windows 7. * Firefox tak stary, że szok'n'szok. Jeśli coś z niego chcesz zachować, za pomocą MozBackup zrób kopię zakładek + haseł (i nic więcej). Następnie odinstaluj Firefox, przy instalacji zaznaczając usuwanie plików użytkownika. . Odnośnik do komentarza
Rekomendowane odpowiedzi