Zainfekowany komputer

[polska]

żWitam!

Proszę o sprawdzenie logów. Po pobraniu plików na pulpicie zaczęły wyskakiwać jakieś ikony, poza tym zainstalował się jakiś "program antywirusowy" który wykrywa milion wirusów które można usunąć za pomocą jednego kliknięcia w cenie 60$ .

 

Ten program nazywa się "Optimazer pro" albo coś takiego.

 

OTL: http://wklej.org/id/937764/

Extras: http://wklej.org/id/937765/

[picasso]

To nie są wirusy, to adware. Instalowane prezez nieuwagę w instalatorze sponsorowanym innego programu.

 

1. Przez Panel sterowania odinstaluj adware Babylon Chrome Toolbar, Babylon toolbar, BrowserProtect, DealPly, IB Updater 2.0.0.557, IB Updater Service, Incredibar Toolbar on IE, Internet Explorer Toolbar 4.6 by SweetPacks, PC Performer, RegClean Pro, SimilarSites, SpeedUpMyPC, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, V9 Homepage Uninstaller, VisualBee V.1 Toolbar, Yontoo 1.12.02.

 

Poza tym, za dużo antywirusów, aktualnie działają wspólnie MSSE + McAfee Internet Security. Jeden z nich też do deinstalacji.

 

2. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych wymaż search.babylon.com, ustaw opcję "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj SweetIM Search z listy. W Rozszerzeniach odinstaluj Babylon Toolbar, DealPly, IB Updater, Similar Sites Pro, SweetIM for Facebook, SweetPacks Chrome Extension, Settings Protector.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={7C447B1D-5A95-11E2-9BCD-30F9EDF0C170}"
IE - HKU\S-1-5-21-2323177338-779999613-1285071480-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110825&babsrc=SP_ss&mntrId=90e554bf000000000000c485085010b9"
IE - HKU\S-1-5-21-2323177338-779999613-1285071480-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-2323177338-779999613-1285071480-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb216/?search={searchTerms}&loc=IB_DS&a=6R8QSxeEqO&i=26"
IE - HKU\S-1-5-21-2323177338-779999613-1285071480-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={7C447B1D-5A95-11E2-9BCD-30F9EDF0C170}"
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-2323177338-779999613-1285071480-1001\..\URLSearchHook:  - No CLSID value found
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX [2013-01-10 07:34:29 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-2323177338-779999613-1285071480-1001..\Run: [Mobile Partner] C:\Program Files (x86)\WEB Partner\WEB Partner File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Files
C:\Windows\tasks\SpeedUpMyPC.job
C:\Windows\tasks\spmonitor.job
C:\Windows\tasks\RegClean Pro_UPDATES.job
C:\Windows\tasks\RegClean Pro_DEFAULT.job
C:\Windows\tasks\PC Performer_UPDATES.job
C:\Windows\tasks\PC Performer_DEFAULT.job
C:\Program Files (x86)\File Scout
C:\Program Files (x86)\Optimizer Pro
C:\ProgramData\Fighters
C:\ProgramData\Tarma Installer
C:\Users\ukasia\Desktop\rcpsetup_softonic_sd_global.exe
C:\Users\ukasia\Desktop\IrfanView_downloader_by_Downloadnetpl.exe
C:\Users\ukasia\Desktop\bundleSetup.exe
C:\Program Files (x86)\Mozilla Firefox
C:\END
C:\user.js
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadania od PC Performer / Protected Search / RegCleaner / SpeedUpMyPC, o ile będą.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[polska]

Adwcleaner: http://wklej.org/id/938731/

 

Otl: http://wklej.org/id/938737/

[picasso]

Akcje wykonane. Ładuj korekty:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2323177338-779999613-1285071480-1001\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121007235811.dll File not found
O2:64bit: - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121007235811.dll File not found
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
O3:64bit: - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
O7 - HKU\S-1-5-21-2323177338-779999613-1285071480-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:  = 
O18:64bit: - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)
O18:64bit: Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)
O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
O20 - AppInit_DLLs: (c:\progra~3\browse~2\261095~1.52\{c16c1~1\browse~1.dll) -  File not found
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe /McCoreSvc -- (McAfee SiteAdvisor Service)
 
:Files
C:\Program Files (x86)\v9Soft
C:\Program Files (x86)\McAfee

 

Klik w Wykonaj skrypt.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_USERS\S-1-5-21-2323177338-779999613-1285071480-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_USERS\S-1-5-21-2323177338-779999613-1285071480-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-21-2323177338-779999613-1285071480-1001\Software\Microsoft\Internet Explorer\SearchScopes\{324C43EE-52F5-4CB6-BB08-1DAABCB1F6AB}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. W Google Chrome są szczątki wtyczek adware oraz po McAfee:

 

========== Chrome  ==========
 
CHR - plugin: Babylon ToolBar (Enabled) = C:\Users\ukasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.8_1\BabylonChromeToolBar.dll
CHR - plugin: Application Manager (Enabled) = C:\Users\ukasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph\1.0_0\spext.dll
CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Users\ukasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.50.146.2_0\McChPlg.dll
CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll
CHR - plugin: McAfee SecurityCenter (Enabled) = c:\progra~2\mcafee\msc\npmcsn~1.dll

 

To już wymaga operacji prost na pliku Preferencji. Skopiuj na Pulpit ten plik:

 

C:\Users\ukasia\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj tu link. Plik zedytuję i odeślę z powrotem.

 

4. Odinstalowałeś McAfee, pozostałości usuwam w skrypcie OTL w punkcie 1. Ale mam pytanie: czy po deinstalacji McAfee nie ma aby problemu z gadżetami systemowymi? Jeśli tak, to podaj skan dodatkowy. Uruchom SystemLook x64 i w oknie wklej:

 

:reg

HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32

 

Klik w Look.

 

 

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso