Zhao Opublikowano 25 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 Witam. Dostałem laptopa od znajomej - z tego co zauważyłem na pierwszy rzut oka laptop cierpi na Ukash wcześniej były monity o płaceniu etc - teraz jest białe tło (zasłonięty pulpit/ tryb awaryjny działa tylko z wierszem poleceń) -Próbowałem doprowadzić ten laptop do użytku - uruchomiłem konto Administrator zrobiłem skanowanie Malwarebytes Anti-Malware/Nod (z możliwie najnowsza baza szkodników - z przyczyn technicznych nie mogę podłączyć laptopa do internetu) wszystkie znalezione pliki wywalone - niestety nic to nie dało Bardzo proszę o pomoc Pozdrawiam. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 Tak, infekcja "policyjna" symulująca "Skype" tu siedzi. System jest też zaśmiecony adware. 1. Musisz być zalogowany na koncie zainfekowanym (Tryb awaryjny z Wierszem polecenia), gdyż infekcja działa per konto. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :Files C:\Users\san\AppData\Roaming\skype.dat C:\Users\san\AppData\Roaming\skype.ini C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\san\Local Settings C:\Users\san\AppData\Roaming\Babylon C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml C:\Users\san\AppData\Roaming\Ad-Aware Antivirus C:\ProgramData\Ad-Aware Antivirus C:\ProgramData\Lavasoft C:\Program Files (x86)\Ad-Aware Antivirus C:\found.* :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031607 IE - HKU\S-1-5-21-3202732050-771554603-589635687-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKU\S-1-5-21-3202732050-771554603-589635687-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4 IE - HKU\S-1-5-21-3202732050-771554603-589635687-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19948&mntrId=0091c97d000000000000c446193c2628 IE - HKU\S-1-5-21-3202732050-771554603-589635687-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=PTF&o=15507&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=LJ&apn_dtid=YYYYYYYYPL&apn_uid=EFD37C75-6972-4121-B44C-8F8858BCC16F&apn_sauid=F76B070C-6672-406B-A9B6-CA4115B36EAA IE - HKU\S-1-5-21-3202732050-771554603-589635687-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031607 O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-19..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. System zostanie odblokowany, logujesz się w Trybie normalnym, gdyż kolejne akcje tego wymagają: 2. Deinstalacje adware: - Przez Panel sterowania odinstaluj: BitTorrentBar Toolbar, Conduit Engine, Facemoods Toolbar, FoxTab Video Converter, McAfee Security Scan Plus, SFT_eng7 Toolbar, Version Checker for Funmoods. - W Google Chrome w Rozszerzeniach odinstaluj Funmoods. - Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz ten utworzony przez AdwCleaner. . Odnośnik do komentarza
Zhao Opublikowano 26 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2013 Witam. Dziękuję za zainteresowanie i pomoc - nowe logi w załączniku AdwCleanerS1.txt OTL log z usuwania.txt OTL nowy log.Txt Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2013 Wszystko poprawnie wykonane, przechodzimy do finalizacji: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{08d6b0b4-c132-470d-a8e2-aa2e9c3851c9}"=- "{88c7f2aa-f93f-432c-8f0e-b7d85967a527}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{08D6B0B4-C132-470D-A8E2-AA2E9C3851C9}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] "Start Page"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Poza tym, jeszcze te odpadki do ręczenego usunięcia: [2013/04/25 13:45:06 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbam.sys [2013/04/25 12:12:14 | 000,000,000 | ---D | C] -- C:\Quarantine [2013/04/25 12:08:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń Java + wszystkie wystąpienia Adobe Flash i zastąp najnowszymi oraz zaktualizuj Windows (brak SP1): KLIK. Wersje widziane aktualnie w systemie: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 24 "Adobe Flash Player 15.1" = Adobe Flash Player 15.1 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_180.dll () . Odnośnik do komentarza
Zhao Opublikowano 27 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2013 Witam. Fix.reg zrobiony + wszystkie odpadki usunięte/Java i flash zaktualizowane/SP1 wgrany Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi