help, hilfe, pomagitie

[membrana]

Dzień dobry albo dobry wieczór,

 

coś zaczęło sie dziać na moim komputerze i obawiam sie , że zostałaże on ci był zainfekowany.

 

Objawy:

 

1.wolno chodzi

2.w Tempach pojawił mi sie plik o nazwie toolbar_log.txt, który po wykasowaniu odnawia się i zżera 1 Giga dziennie stale rosnąc

3. przegladarka firefox nie działa poprawnie - jako start pojawia się zamiast - jak zwykle google - jakaś dziwna stronka i kaze potwierdzić informacvje o szyfrowaniu i że inni moga to widziec

 

Wiem, ze obowiązkowa jest informacja OTL, logi, ok... ale OTL sciagany wg przepisów Picasso zatrzymuje sie wpół drogi i pokazuje się sympatyczna informacja , że nie ma dysku i jakis ciąg liczb.. co skutkuje resetem, bo nie idzie diabelstwa zamknąć ( na co nie wcinę, na anuluj, kontynuuj czy ok )

 

Co robić panowie i panie?

 

Pozdrawiam serdecznie wszystkich forumowiczów i proooosze o pomoc

 

Tomek ( membrana )

[Anonim8]

W trybie awaryjnym też nie mozesz zrobic logów z OTL?

[membrana]

dzięki za reakcję, w trybie awaryjnym też próbowałem, załączam screen jak to wyglądało. Czy odinstalowanie i ponowne zainstalowanie przeglądarek może coś pomóc?

[diox]

Pobierz od nowa OTL, tamten skasuj przez SHIFT+DEL , zmień mu nazwę na np.ggf3514e i wtedy spróbuj wykonać logi.

[membrana]

Zrobiłem tak - brak skutku. OTL nawet pod pseudonimem zatrzymał się dokładnie w tym samym miejscu - taka sama scieżka jak na screenie powyżej ( LoKal Machine... itd ) Wywalając poprzedni OTL z pobranych zauważyłem, że jakiś jeden dokument OTL.txt powstał wcześniej i teraz też ale żadnego Extras. Czy to będzie miarodajne, jeżeli proces został przerwany?

[diox]

Na końcu tego loga jest < End of report > ?
Wstaw tego loga na wklej.org.
Potem spróbuj zrobić loga z DDS.

[membrana]

OTL > http://wklej.org/id/965573/

[diox]

Dodaj jeszcze do poprzedniego posta log Attach z DDS:

 

 

Odznacz dds.txt i wciśnij Start .


.

[membrana]

DDS Attach : http://wklej.org/id/965594/

DDS.txt : http://wklej.org/id/965596/

 

Tak nawiasem mówiąc, to ten dziwny ciągle odradzający sie i rozrastający plik "toolbar_log" txt ulokował się w folderze Temp. Odkryłem go dopiero po tym jak komputer zameldował, ze nie ma miejsca na dysku C - okazało się , że ten plik ma 5 GB. Po usunięciu go siłowym, odrodził jak feniks i dalej sie tuczy

[picasso]

membrana, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam.

 

Co do skanu OTL: na pasku statusu widzę, że w momencie wystąpienia błędu jest przetwarzany klucz reguł Zapory: ...FirewallPolicy\StandardProfile\AuthorizedApplications\... Toteż sprawdź czy wyzerowanie tego klucza z reguł aplikacji (mogą tam być ścieżki do nieistniejących dysków) coś pomoże.

 

1. Start > Uruchom > regedit i z prawokliku skasuj klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

 

2. Uruchom OTL, upewnij się, że opcja "Rejestr - skan dodatkowy" (odpowiedzialna na niegenerujący się tu plik Extras) jest ustawiona na "Użyj filtrowania" i ponów skan.

 

3. Brakuje także obowiązkowego raportu z GMER.

 

Gdy pozyskam logi, przejdę do analizy całości.

 

 

 

.

[membrana]

Klucz wyrzuciłem i wystartowałem OTL, ale dopiero w trybie awaryjnym dotarł do końca:

 

Extras:

http://wklej.org/id/965854/

 

OTL:

http://wklej.org/id/965855/

 

Tego gmera na razie nie czaję, zaraz odpale.

[picasso]

W raportach nie widzę nic szczególnego, owszem jest tu adware i historyczne odpadki starych infekcji (Rustok i ZeroAccess).

 

EDIT: Nie zwróciłam uwagi, że logi są zrobione z poziomu złego konta, czyli Administratora wbudowanego w system a nie użytkownika:

 

Computer Name: 5374226AEBA6479 | User Name: Administrator | Logged in as Administrator.

 

 

1. Z poziomu Trybu normalnego (nie awaryjnego) odinstaluj przez Dodaj/Usuń programy adware Ask Toolbar, AVG Security Toolbar, Free_Lunch_Design Toolbar, Hyperionics DB Toolbar, My Web Search oraz RegClean Pro.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZJfox000&fl=0&ptb=PPfcBnJBX4qLh8K0WsbT0w&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}"
IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = "http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}"
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSof1.dll File not found
O3 - HKLM\..\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSof1.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKU\S-1-5-21-1085031214-926492609-1801674531-500..\RunOnce: [AutoLaunch] C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly File not found
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\--\Menu Start\Programy\IMVU\Run IMVU.lnk ()
O16 - DPF: {CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/1.3.1/jinstall-131_03-win.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) -  File not found
DRV - [2009-08-10 08:15:17 | 000,000,000 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\glaide32.sys -- (glaide32)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
 
:Files
C:\WINDOWS\System32\shimg.dll
C:\WINDOWS\System32\drivers\str.sys
C:\WINDOWS\tasks\PCConfidential.job
C:\WINDOWS\tasks\videopadShakeIcon.job
C:\WINDOWS\tasks\Ad-Aware Update*.job
C:\Program Files\mozilla firefox\plugins\NPAskSBr.dll
C:\Program Files\mozilla firefox\plugins\NPMyWebS.dll
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
@C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:bCL7tzXFvCdaav5kgDoVWe63
@C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:WcunCLfDKuybLtCTVAyCv
C:\Documents and Settings\--\Dane aplikacji\FunWebProducts
C:\Documents and Settings\--\Dane aplikacji\PriceGong
C:\Documents and Settings\--\Dane aplikacji\Smart-Shopper
C:\Documents and Settings\--\Dane aplikacji\Toolbar4
C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess
C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) z poziomu właściwego konta. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[membrana]

W tej chwili skanuję GMERem- to może trochę potrwać.

 

1. Wynik GMERania: http://wklej.org/hash/98eb68e3a83/ ( chyba nie ma nic, bo nie było na czerwono ? )

 

2. nie moge odinstalować ask toolbar i my web search - komunikaty jak w załącznikach ( na awaryjnym tez nie )

[picasso]

Przypominam:

 

membrana, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam.

 

Wszystkie podane przeze mnie wcześniej instrukcje nadal aktualne. Loga z GMER nie musisz robić po raz drugi.

 

 

nie moge odinstalować ask toolbar i my web search - komunikaty jak w załącznikach ( na awaryjnym tez nie )

 

Leć dalej.



.

[membrana]

Po działaniu Adw Cleanera: http://wklej.org/id/966296/

Log OTL: http://wklej.org/id/966371/

 

Tego pliku toolbar_log.txt nie ma już.

 

[picasso]

Ja tam wcześniej jeszcze doedytowałam, że logi z OTL zrobiłeś w pierwszym podejściu z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika. Konta mają inne rejestry i foldery, logi z różnych kont są różne. Dlatego też czyszczenie tutaj odbyło się tylko częściowo, a nowy log zrobiony już z poziomu właściwego konta wygląda inaczej. Kolejne działania:

 

1. Firefox: wyczyść poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie narusza zakładek i haseł.

 

2. Google Chrome: wejdź do ustawień i w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Delta Search.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=bb1d2fd9000000000000001e101f5396"
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll) -  File not found
SRV - [2011.11.10 14:17:31 | 000,167,264 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe -- (AVG Security Toolbar Service)
 
:Files
C:\Program Files\AVG\AVG10\Toolbar
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[membrana]

OTL z opcji skanuj bez extras: http://wklej.org/id/966505/

[picasso]

Zadania wykonane, finalizacja tematu:

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\--\Dane aplikacji\Mozilla\Extensions\IMVUClientXUL@imvu.com
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"adiras"=-
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz wersje:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish
"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"AVG" = AVG 2011
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox 18.0.2 (x86 pl)" = Mozilla Firefox 18.0.2 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_149.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

 

Dodatkowa uwaga na temat niewdzięcznej kombinacji Gadu-Gadu 7.7 (stare, nie obsługuje w pełni własnej sieci, słabo zabezpieczone) + Gadu-Gadu 10 (nie do użytku, reklam więcej niż funkcji, zasobożerność). Zainteresuj się alternatywnymi programami: WTW Kadu, Miranda NG, AQQ. Opisy: KLIK.

 

 

 

.

[membrana]

nie moge znaleźć AdwCleaner, jak włączam wyszukiwanie wyskakują mi tylko 2 pliki txt

[Anonim8]

nie moge znaleźć AdwCleaner

 

A tu go nie ma?

 

# Ścieżka : D:\0 foto 0\Rejestr - nie ruszać\adw cleaner\AdwCleaner.exe

[membrana]

ups... sorry, jasne, ze jest , dzięki!