Strona startowa Firefoxa techalpunto.net

[Kuba]

Witam,

1. nie wiem jak ale zainstalowaną mam stronę startową w Firefoxie techalpunto.net której nie mogę zmienić. Po wpisaniu innego adresu techalpunto wraca po ponownym uruchomieniu przeglądarki.

 

2. Mam zainstalowany program NIS2013, który po aktualizacji wskazuje że: "Definicje wirusów i programów typu spyware nie są aktualne. Komputer może być zagrożony infekcją".".

Nortona odinstalowałem i zainstalowałem ponownie zgodnie z sugestią pomocy online Symanteca ale to pomogło na 2 godz po których komunikat pojawił się ponownie.

Proszę o pomoc

Extras.Txt

gmer.txt

OTL.Txt

[Kuba]

Dziękuję za pomoc, problem rozwiązany temat nieaktualny.

[picasso]

Proszę podać w jaki sposób i przedstawić nowe raporty z OTL.

[Kuba]

Połączyłem się z pomocą online Symanteca ich pracownik połączył się zmoim PC i naprawił go.

Firefoxa odinstalowałem z wszystkimi ustawieniami i zainstalowałem ponownie. Od dwóch dni nie mam problemu.

[picasso]

Proszę o nowe logi potwierdzające zmiany.

[Kuba]

Witam,

Miałem klkudniową przerwę ale jestem już z powrotem. Zamieszczam logi z OTL, GMERa i UDBFix ponieważ na jeden pendrive znowu zgłasza się skrótem.

Extras.Txt

OTL.Txt

GMER.txt

UsbFix.txt

[picasso]

System zainfekowany, uruchamia się w starcie msbwzhos.com. Poza tym, na dysku G infekcja przeniosła wszystkie dane do użytkownika do katalogu bez nazwy (a katalog został ukryty przez atrybuty HS) + jest szkodliwy skrót oraz plik autorun.inf:

 

[27/01/2013 - 11:55:40 | SHD ] 	G:\ 
[10/02/2013 - 21:17:44 | ASH | 0] 	G:\autorun.inf
[10/02/2013 - 21:17:46 | A | 688] 	G:\GOODDRIVEFR (4GB).lnk

 

1. Przy podpiętych urządzeniach uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1060284298-1336601894-725345543-1003\..\SearchScopes\{17E70A7C-8789-4E90-8492-09F0FB7DAB3E}: "URL" = "http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7"
IE - HKU\S-1-5-21-1060284298-1336601894-725345543-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
IE - HKU\S-1-5-21-1060284298-1336601894-725345543-1003\..\SearchScopes\{F11BD786-0ACE-41A9-8690-9B46644169EA}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=EDABBD9C-7417-4D9C-98AB-0E91F5E899D5&apn_sauid=980D1F74-1C51-4E7A-AEDE-A7886FC5FF49"
O4 - HKLM..\RunOnce: []  File not found
O4 - HKU\S-1-5-18..\RunOnce: []  File not found
O4 - HKU\S-1-5-19..\RunOnce: []  File not found
O4 - HKU\S-1-5-20..\RunOnce: []  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 62402 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msbwzhos.com
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_10-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0010-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_10-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_10-windows-i586.cab" (Reg Error: Key error.)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
rd /s /q C:\$RECYCLE.BIN /C
rd /s /q C:\RECYCLER /C
rd /s /q D:\$RECYCLE.BIN /C
rd /s /q D:\Recycled /C
rd /s /q D:\RECYCLER /C
rd /s /q E:\$RECYCLE.BIN /C
rd /s /q E:\Recycled /C
rd /s /q E:\RECYCLER /C
attrib /d /s -s -h G:\* /C
G:\GOODDRIVEFR (4GB).lnk
G:\autorun.inf
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Na urządzeniu G powinien zostać odkryty folder bez nazwy. Wejdź do niego i przenieś poziom wyżej wszystkie swoje dane, a folder bez nazwy przez SHIFT+DEL skasuj.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing.

 

 

 

.

[Kuba]

Wkleiłem do własnych opcji skanowania skrypt i klknąłem na Wykonaj skrypt, wykonywanie skryptu zatrzymało się na poz:

04 - HKLM..\RunOnce: File not found

04 - HKU\S-1-15-18..\RunOnce: File not found

cały czas kursor zmieniony na klepsydrę.

nie wiem co dalej, przerwać i wkleić jeszcze raz ?

w pasku na dole pisze: Killing processes. DO NOT INTERRUPT..

[picasso]

Nie przerywaj działania, chyba że naprawdę OTL się poważnie zawiesił. Ile trwa ten stan? Jeśli kilka minut = czekaj. Jeśli "godziny" = przerwij.

[Kuba]

czekam do 18, minęło około 30 min

[picasso]

Przerwij działanie. Zdeaktywuj rezydent MBAM oraz Symantec. Powtórz skrypt.

[Kuba]

Po wyłączeniu tych aplikacji skrypt został wykonany. Zamieszczam logi po wykonaniu skryptu.

UsbFix.txt

OTL.Txt

[picasso]

Wszystko pomyślnie wykonane, skrypt przetworzony + urządzenie doprowadzone do formy. Kroki końcowe:

 

1. Skasuj przez SHIFT+DEL jeszcze z urządzenia odpadek po starszej infekcji G:\KREVETKO + folder Kosza G:\RECYCLER.

 

2. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Adobe Reader + sprawdź wersję wtyczki Adobe Flash: KLIK. Wg raportu masz obecnie zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

 

 

.

[Kuba]

Porządki wykonane, programy zaktualizowane.

Dziękuję i pozdrawiam.