Zainfekowany komputer szkodliwym oprogramowaniem

[siwy1991]

Witajcie,

mam problem, mianowicie od jakiegoś czasu blokowało mi pulpit i pokazywały się komunikaty o cyberprzestępczości.... Wszystko udawało mi się neutralizować aż do dziś. Mianowicie zaczęło mi blokować system, następnie system się odblokowywał, wchodziłem do folderu - folder się blokował, wchodziłem na przeglądarki - blokowało: Tylko firefoxa (z chrome i Ie było ok). Blokowania trwały od 5 sekund do nawet 5 minut.

 

Proszę o pomoc jak z tym walczyć. Dodatkowo w przeglądarkach zainstalowało mi się złośliwe narzędzie (My Start by Incredibar), którego też nie mogę żadnym programem do usuwania malware - usunąć

OTL.Txt

Extras.Txt

[Landuss]

Tutaj dodatkowo widać infekcję ZeroAccess w starszej wersji.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={28EC1C2A-CFFA-45DA-983F-F975221B97B0}"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=3512_6&babsrc=SP_ss&mntrId=2a0431cc0000000000000026c712475b"
IE - HKCU\..\SearchScopes\{5D55728D-6845-46B1-B38C-D335D0016089}: "URL" = "http://www.mysearchresults.com/search?&c=3501&t=07&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6OyXp50qyV&i=26"
IE - HKCU\..\SearchScopes\{D69D3CD0-7CB2-4593-8027-C8C2E84D6253}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=&apn_ptnrs=AG&apn_dtid=YYYYYYYYPL&apn_uid=abedf6f8-d44f-439e-9c80-ea6aa4f2264c&apn_sauid=0D8ABCF1-474D-4E0D-9F7C-0B20BAFD9B94"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={28EC1C2A-CFFA-45DA-983F-F975221B97B0}"
 
:Files
C:\Windows\Installer\{aa36d4e2-d83b-9571-f0f9-970c9b4fa59c}
C:\Users\Maciek\AppData\Local\{aa36d4e2-d83b-9571-f0f9-970c9b4fa59c}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vShare.tv plug-in / IncrediBar for Chrome / New tab for Chrome

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner

[siwy1991]

Cześć,

dziękuję za pomoc. Wszystkie instrukcje zostały wykonane, poniżej podsyłam nowe pliki. System ogólnie chodzi lepiej, jednak ma też małe ścinki niekiedy, czy coś jeszcze należy zrobić? Firefox nadal zawiesza, ściągnąłem nową wersję, starszą wersję i błąd nadal występuje. Włączam przeglądarkę i zawiesza się, następnie zostaje odblokowana i po chwili znowu ją zawiesza i tak w kółko.

OTL.Txt

FSS.txt

[siwy1991]

Niestety problem w dalszym ciągu występuje. Co prawda zostały usunięty toolbary, natomiast Firefox co chwilę się zawiesza, system również długo się ładuje. Pomożecie co ?

[picasso]

Co prawda zostały usunięty toolbary, natomiast Firefox co chwilę się zawiesza, system również długo się ładuje. Pomożecie co ?

 

Może to być niestety już wina programów zabezpieczających, tu połączenie COMODO Internet Security + Bitdefender Antivirus Plus 2012.

 

 

W kwestii wykonanych zadań, to jeszcze nie wszystko.

- Po ZeroAccess są określone szkody, tzn. klucz błędnie zmodyfikowany przez któreś narzędzie (powinieneś mieć problemy z przesuwnością ikon Pulpitu i pamiętaniem widoków folderów), pewnie brakuje klucza ikony Centrum Akcji, a usługa Zapory Windows uszkodzona.

- Nie wszystkie adware usunięte, w tle działa niejaki "OptimizerPro".

- Reset Firefox coś nie halo, widzę nadal preferencje silnie zmodyfikowane przez COMODO. Zresztą w Google Chrome też. Te aspekty zostawiam, bo możliwe że czynny COMODO to po prostu przywraca.

 

1. Odinstaluj adware DefaultTab Chrome (to było ominięte w instrukcjach) + skaner SpyHunter (program wątpliwej reputacji).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Tasks\schedule!3036567561.job
C:\Users\Maciek\Desktop\Optimizer Pro.lnk
C:\ProgramData\SoftSafe
C:\ProgramData\BetterSoft
C:\ProgramData\PC Tools
C:\ProgramData\2A0AA0D493B731CC00002A0A76D037E7
C:\windows\DeleteOnReboot.bat
C:\Program Files (x86)\mozilla firefox\extensions\linkfilter@kaspersky.ru_bak
 
:OTL
DRV:64bit: - [2011-02-17 17:21:12 | 000,156,080 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\VBoxNetAdp.sys -- (VBoxNetAdp)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1211656066-1448944791-439588986-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1211656066-1448944791-439588986-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

3. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadanie związane z OptimizerPro.

 

4. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
 
[-HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9E68B157-585D-4C28-8FC3-E7B370F2891A}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"virtualKeyboard@kaspersky.ru"=-
"linkfilter@kaspersky.ru"=-
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@pandonetworks.com/PandoWebPlugin]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

5. Uruchom ServicesRepair w celu rekonstrukcji usługi Zapory.

 

6. Plik HOSTS nie ma postaci domyślnej Windows 7. Zresetuj narzędziem Fix-it: KLIK.

 

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Services Scanner.

 

 

.

[siwy1991]

Bardzo ci dziękuję za pomoc . W załączniku nowe logi.

OTL.Txt

FSS.txt

[picasso]

Prawie wszystkie zadania wykonane, plik HOSTS nie został zresetowany. Poza tym zostały tylko te już wspominane przeze mnie preferencje przeglądarek Firefox i Google Chrome zaprawione sponsorewm COMODO (Yahoo). Na czym tu teraz stoimy, czy nadal występują w systemie jakieś problemy?

 

 

 

.

[siwy1991]

Na razie wszystko działa dobrze, ślicznie dziękuję za pomoc . Odkryłem też że bład w FF powodował plugin sliverlight plugin-in. Wyłączyłem go i wszystko działa jak dawniej ( a nawet szybciej!)

 

Raz jeszcze dziękuje za pomoc.

[picasso]

Czynności końcowe:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Aktualizacje: KLIK. Konkretnie tu uzupełnij SP1 dla Windows 7, zaktualizuj obie wersje Opery (32-bit i 64-bit), usuń wszystkie stare Java i zastąp najnowszymi wersjami oraz zaktualizuj Skype. Obecnie w systemie widać:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java™ 6 Update 26 (64-bit)
"{64A3A4F4-B792-11D6-A78A-00B0D0160260}" = Java™ SE Development Kit 6 Update 26 (64-bit)
"Opera 12.12.1707" = Opera 12.12
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java™ 7
"{32A3A4F4-B792-11D6-A78A-00B0D0170000}" = Java™ SE Development Kit 7
"{9C538746-C2DC-40FC-B1FB-D4EA7966ABEB}" = Skype™ 5.1
"Opera 11.52.1100" = Opera 11.52

 

Dodatkowa uwaga: widzę Gadu-Gadu 7.0. Program archaiczny, nie ma pełnego wsparcia dla własnej sieci i słabo zabezpieczony (nieszyfrowane połączenia). Zainteresuj się alternatywnym WTW dobrze obsługujących Gadu: KLIK.

 

 

.