Czyszczenie po Babylon + czerwony wpis w GMER

[PanX]

Witam. Usunąłem ostatnio Babylon toolbar i chciał bym pozbyć się śmieci pozostawionych przez program. Zamieszczam logi z OTL + GMER. W tym ostatnim niestety wyszukał mi coś na czerwono.

OTL.Txt

Extras.Txt

Gmer.txt

[picasso]

Log z GMER zrobiłeś w złym środowisku, nie ściągnąłeś sterownika SPTD: KLIK.

 

DRV - [2012-07-20 07:52:05 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Zaś to co jest w GMER na czerwono to proces Hewlett-Packard i raczej nie sądzę, że to prawdziwy rootkit. Czerwone w GMER również możliwe, jeśli proces nie odpowiada.

 

 

Usunąłem ostatnio Babylon toolbar i chciał bym pozbyć się śmieci pozostawionych przez program.

 

W logu mało co widać, już robiłeś reset Firefox, bo widzę na Pulpicie folder "Stare dane programu Firefox". Tylko w Google Chrome strona startowa i odpadkowe pliki na dysku. Przeprowadź następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Documents and Settings\Administrator\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\Anna\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak
C:\WINDOWS\tasks\At*.job
 
:OTL
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[PanX]

Log z GMER zrobiłeś w złym środowisku, nie ściągnąłeś sterownika SPTD: KLIK.

 

DRV - [2012-07-20 07:52:05 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

.

 

Wprowadziłem trochę w błąd. Skan z OTL wykonałem z zainstalowanym sterownikiem SPTD. Natomiast zanim przystąpiłem do ściągnięcia GMER-a przeczytałem na stronie wymagania do uruchomienie programu. Zastosowałem się do instukcji z tego miejsca a dopiero potem uruchomiłem skan w GMER.

 

Zamieszczam log z AdwCleaner. Z OTL mogę zamieścić dopiero jutro.

AdwCleanerS1.txt

[picasso]

Sprawę ocenię całościowo po otrzymaniu raoportu z OTL.

 

 

Wprowadziłem trochę w błąd. Skan z OTL wykonałem z zainstalowanym sterownikiem SPTD. Natomiast zanim przystąpiłem do ściągnięcia GMER-a przeczytałem na stronie wymagania do uruchomienie programu. Zastosowałem się do instukcji z tego miejsca a dopiero potem uruchomiłem skan w GMER.

 

Nie wygląda na to. GMER ma za dużo wpisów SPTD charakterystycznych dla czynnego sterownika. Pierwszy z brzegu zestaw, który nie ma prawa być w raporcie po prawidłowej deinstalacji SPTD:

 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 
IAT       \WINDOWS\system32\DRIVERS\PCIIDEX.SYS[HAL.dll!WRITE_PORT_ULONG]                                        [b9E8F232] sptd.sys
IAT       \WINDOWS\system32\DRIVERS\PCIIDEX.SYS[HAL.dll!READ_PORT_UCHAR]                                         [b9E8E730] sptd.sys
IAT       \WINDOWS\system32\DRIVERS\PCIIDEX.SYS[HAL.dll!WRITE_PORT_UCHAR]                                        [b9E8EF12] sptd.sys
IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                     [b9E8E730] sptd.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                             [b9E8E914] sptd.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                    [b9E8E856] sptd.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                            [b9E8F0F0] sptd.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                    [b9E8EF12] sptd.sys
IAT       \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                     [b9EA2EB0] sptd.sys
 
---- Devices - GMER 1.0.15 ----
 
Device    \Driver\atapi \Device\Ide\IdePort0                                                                     [b9DF8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-5                                                            [b9DF8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort1                                                                     [b9DF8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort2                                                                     [b9DF8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort3                                                                     [b9DF8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-10                                                           [b9DF8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

 

Wnioski: albo po usunięciu SPTD nie zresetowałeś wcale systemu (to odładowuje sterownik z pamięci), albo SPTD był usuwany w sposób pozorowany.

 

 

.

[PanX]

Fakt mogłem nie zrobić restartu po ręcznym usunięciu wpisów z rejestru. Ewentualnie przeoczyłem ktoryś etap. Tak czy inaczej przesyłam log OTL

OTL2.Txt

[picasso]

1. Mini poprawkja na domyślne wyszukiwarki Internet Explorer po używaniu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W Google Chrome nadal są strony startowe Babylon:

 

========== Chrome  ==========
 
CHR - homepage: "http://search.babylon.com/?affID=110819&tt=2912_6&babsrc=HP_ss&mntrId=54b0a74f0000000000006c626d7478a2"
CHR - homepage: "http://search.babylon.com/?affID=110819&tt=2912_6&babsrc=HP_ss&mntrId=54b0a74f0000000000006c626d7478a2"

 

Jeśli w opcjach tego nie widzisz, to wymagana edycja kodu pliku Preferences. Skopiuj na Pulpit plik:

 

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Umieść na jakimś serwisie hostingowym i podaj link. Plik zedytuję i odeślę do podstawienia.

 

 

 

.

Edytowane 19 Grudnia 2012 przez picasso
19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso