Skocz do zawartości

"Problem! malware!" "pomocy"


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
  • 2 tygodnie później...

Witam

 

Zrobiłem w między czasie czyszczenie narzędziami z forum i nie wiem czy wszystko jest ok.

Dziwne bo OTL generuje mi tylko jeden log otl.txt. W załaczeniu. Z systemlook wyskakuje tylko takie coś:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 15:36 on 09/01/2013 by Damian

Administrator - Elevation successful

 

========== regfind ==========

 

Searching for "wgsdgsdgdsgsd"

No data found.

 

-= EOF =-

 

Czy jeszcze coś tam w rejstrach u mnie siedzi

OTL.Txt

Odnośnik do komentarza

Używałeś ComboFix (nie został zadany) i na ten temat: KLIK. To nie było potrzebne, bo korekty były banalne. W aktualnym OTL nie widać już punktowanego wcześniej uszkodzenia usługi WMI, pewnie ComboFix naprawiał usługę WMI, ale nadal na dysku plik C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js. Poza tym, do czyszczenia będzie i adware.

 

Na razie jednak pokaż co w ogóle wtedy ComboFix robił, czyli zaprezentuj raport C:\ComboFix.txt.

 

 

 

.

Odnośnik do komentarza
a czy to ma znaczenie że w otl nie generuje się ten jeden log?

 

To przecież jest wyjaśnione w opisie OTL dlaczego brak raportu Extras: KLIK.

 

1. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Program Files\mozilla firefox\searchplugins\Web Search.xml
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937"
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={FB5A2B08-5D5E-11E1-8BC4-001FD0443EBA}" 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1330704485_797789"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q="
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q="
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = "http://search.certified-toolbar.com?si=41460&home=true&tid=2937"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=3412_6&babsrc=SP_ss&mntrId=fcab8d5a000000000000001fd0443eba"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=F-ET&o=14466&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FT&apn_dtid=YYYYYYYYPL&apn_uid=B1EACB7D-DAA0-4AA0-A7AA-964DD6C3DA7A&apn_sauid=BCBBBA30-93ED-4E3D-9E70-BC3599A0C0ED"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={FB5A2B08-5D5E-11E1-8BC4-001FD0443EBA}"
FF - HKCU\Software\MozillaPlugins\@macromedia.com/FlashPlayer9: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab" (Reg Error: Value error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza

No tak czytać czytać, uczyć się.......

Wszystko zrobione zgodnie z poleceniami. W załaczeniu logi.

 

Jest jakiś mądry sposób uruchomienia komputera jakby znowu zdażyła się taka infekcja, bo u mnie zablokowany był też tryb awaryjny i tryb awaryjny z dostepem do sieci, działał tylko tryb awaryjny z wierszem poleceń

W sieci jest wiele śmieciowych opisów jak sobie poradzić jakoś żaden tak naprawdę nie bardzo działał. Ciekawe czy PS Tools Internet Securirty, bedzie sobie z tą infekcją radził tzn czy bedzie przed nią chronił

AdwCleanerS1.txt

OTL.Txt

Odnośnik do komentarza

Zrobione. Poprawki i możemy zakończyć sprawy:

 

1. Drobna korekta. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:OTL
FF - HKLM\Software\MozillaPlugins\@macromedia.com/FlashPlayer9: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found

 

Klik w Wykonaj skrypt. Tym raze nie będzie restartu.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio był uruchamiany ze ścieżki e:\ComboFix.exe. Dysk E nie jest aktualnie dostępny. W związku z tym pobierz ponownie ComboFix (KLIK) i zapisz na Pulpicie. Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Damian\Pulpit\ComboFix.exe" /uninstall

 

Następnie: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie posiadasz wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 29

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9

"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish

"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)

 

 

Jest jakiś mądry sposób uruchomienia komputera jakby znowu zdażyła się taka infekcja, bo u mnie zablokowany był też tryb awaryjny i tryb awaryjny z dostepem do sieci, działał tylko tryb awaryjny z wierszem poleceń

 

Nie. U Ciebie działał tylko ten jeden tryb, ponieważ występowała tu infekcja uniemożliwiająca inne typy startu.

 

 

W sieci jest wiele śmieciowych opisów jak sobie poradzić jakoś żaden tak naprawdę nie bardzo działał.

 

Ale takich infekcji "policyjnych" jest mnóstwo, nie ma przepisu uniwersalnego, rodzaj usuwania zależy od rodzaju infekcji.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...