lukaszr Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 Witam, nastoletnia córka kolegi zbyt dużo rzeczy naściągała i w system pracował bez żadnego programu antywirusowego. Otrzymałem komputer i najpierw podłączyłem HDD do innego komputera z AV, przeskanowałem go i usunąłem sporą ilość śmieci. Po podłączeniu do laptopa porobiłem jeszcze porządki, które dałem radę zrobić. Teraz zapuściłem narzędzia diagnostyczne i to, co wyszło jest następujące (załączniki z OTL i raport Security Check). Bardzo proszę o wskazówki postępowania. Dziękuję i pozdrawiam Łukasz Results of screen317's Security Check version 0.99.56 Windows Vista x86 (UAC is enabled) Out of date service pack!! Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Adobe Reader 7 Adobe Reader out of Date! Mozilla Firefox (18.0) ````````Process Check: objlist.exe by Laurent```````` ESET NOD32 Antivirus egui.exe ESET NOD32 Antivirus ekrn.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Czynnej infekcji nie widzę, są tu odpadki ("policja", System Progressive Protection, ZeroAccess, rootkit Necurs, adware). Czyścimy: 1. Start > w polu szukania wpisz regedit > skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\julia\AppData\Local\{79e77dff-3886-9015-54d1-8c70f58c5a50} C:\Users\julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection C:\Users\julia\AppData\Roaming\Babylon C:\Users\julia\AppData\Roaming\BabylonToolbar C:\Users\julia\wgsdgsdgdsgsd.exe C:\ProgramData\netdislw.pad C:\ProgramData\netdislw.js C:\found.000 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "SearchMigratedDefaultName"=- "SearchMigratedDefaultURL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.claro-search.com/?q={searchTerms}&affID=115131&tt=3412_7&babsrc=SP_iclro&mntrId=f0f4deb3000000000000001b774a317e" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}" IE - HKCU\..\SearchScopes\{C4A3312D-512F-4BFC-AC89-6E929D4E1ACE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=2B968BD7-B840-4A8C-A109-01B0A208BEA4&apn_sauid=AC538352-2B8B-4F73-BF2D-EA96DDDFE22E&" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\avldr: DllName - (avldr.dll) - File not foundSRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | Boot | Stopped] -- C:\Windows\System32\Drivers\ea91351944f20b49.sys -- (ea91351944f20b49) DRV - File not found [Kernel | System | Stopped] -- C:\PROGRA~1\LAUNCH~1\DPortIO.sys -- (DritekPortIO) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
lukaszr Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Dziękuję picasso - jak zwykle można na Ciebie liczyć Czynności wykonane poza GMER (niestety nie mam na to czasu - próbowałem i na dodatek po 1h pracy GMER zawiesił wszystko stając na 1 pliku dll). Wszystkie logi w załącznikach. Pozdrowionka po skrypcie.txt OTL.Txt AdwCleanerS1.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Zadania wykonane, ale jeszcze nie koniec. Log z Farbar Service Scanner pokazuje masakrę w usługach Windows poczynioną przez trojana ZeroAccess. 1. Mini poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :OTL O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Value error.) [2013-01-04 15:20:32 | 000,008,627 | ---- | M] () -- C:\Windows\System32\PAV_FOG.OPC Klik w Wykonaj skrypt. 2. Usuń szczątki Symantec za pomocą Norton Removal Tool. 3. Odbuduj usunięte usługi za pomocą ServicesRepair. Po zresetowaniu systemu przedstaw nowy log z Farbar Service Scanner. GMER (niestety nie mam na to czasu - próbowałem i na dodatek po 1h pracy GMER zawiesił wszystko stając na 1 pliku dll). Jakim pliku dll? Alternatywnie sprawdź co widzi Kaspersky TDSSKiller, o ile już nie używałeś wcześniej. . Odnośnik do komentarza
lukaszr Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Dziękuję picasso. Wszystko zrobione. Co do pliku dll to niestety nie spisałem go. Użyłem natomiast Kaspersky TDSSKiller. po skrypcie 1.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Log z TDSSKiller niepotrzebny (usuwam), narzędzie bowiem nic nie wykryło. Naprawa usług pomyślna. Czyli przechodzimy do: 1. Nie wykonała się ta część skryptu i zapuść ponownie: :OTL O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Value error.) [2013-01-04 15:20:32 | 000,008,627 | ---- | M] () -- C:\Windows\System32\PAV_FOG.OPC 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
lukaszr Opublikowano 11 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Dziękuję bardzo Wszystko zrobione. Malwarebytes Anti-Malware wykrył 2 rzeczy (log w załączniku). MBAM-log.txt Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 1. Wyniki szkodliwe, do usunięcia. 2. Na zakończenie aktualizacja Windows i programów: KLIK. Wg raportu krytyczny status aktualizacji Vista (brak obu Service Packów i IE9), podobnie z Adobe Reader: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18882) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8 . Odnośnik do komentarza
lukaszr Opublikowano 11 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Dziękuję. Aktualizacje są właśnie wykonywane. 2 wykryte zagrożenia usunięte. Przeprowadziłem ponowny test i nic nie wyszło. Dziękuję picasso jeszcze raz i przede wszystkim wielki ukłon za wiedzę i to jeszcze jako płeć piękna Odnośnik do komentarza
Rekomendowane odpowiedzi