maxman32 Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 Komputer został zakażony Weisslofem, który został usunięty za pomocą ComboFixa (którego użyłem kierując się naiwnie za stronami internetowymi i niestety raport został usunięty przypadkowo). Dołączam więc wszystkie raporty z OTL i DDS i zwracam się z prośbą o przejrzenie, interpretację i ewentualne wskazówki dotyczące zakończenia procesu. Extras.Txt OTL.Txt Odnośnik do komentarza
maxman32 Opublikowano 3 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2013 O! Znalezłem raport z ComboFixa ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj,, a nie post pod postem. Nadmiar raportów usuwam, obowiązkowy jest OTL, DDS to alternatywa, gdy nie można uruchomić OTL. Brakuje za to obowiązkowego GMER. ComboFix usuwał infekcję oraz w mało elegancki sposób także adware BrouwSie2usave. Wymagane doczyszczenie właśnie adware. 1. Przez Panel sterowania odinstaluj adware BrowseToSave, IB Updater Service, Web Assistant 2.0.0.573 oraz sponsora paczek Adobe McAfee Security Scan Plus. 2. Następnie wyczyść przeglądarki ze śmieci: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Google Chrome: W Rozszerzeniach odinstaluj BrouwSie2usave, Web Assistant. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Ask. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-4261511694-915367931-3365769838-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=040912_ctrl_3612_7&babsrc=SP_ss&mntrId=5a0033570000000000000017c45d060f IE - HKU\S-1-5-21-4261511694-915367931-3365769838-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=D1D63B8A-726D-4D0F-8F6E-E86AF7A1FA1B&apn_sauid=6C821347-2C9F-4C6C-A58D-31DC38BD5746 IE - HKU\S-1-5-21-4261511694-915367931-3365769838-1003\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=QtCjl4mpyAQrkTOjHJZq-oM_fG4?q={searchTerms} IE - HKU\S-1-5-21-4261511694-915367931-3365769838-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={AC213609-0356-4446-AAD1-6B9C48352508}&mid=96bc0b9abd2a47d0877bd154342822ad-cb347cf5682ce10280ead4e71db96e890b64cc7d&lang=pl&ds=gm011&pr=sa&d=2012-04-20 20:34:32&v=12.2.5.32&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-4261511694-915367931-3365769838-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6R8wygW4KO&i=26 FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox [2013-02-28 16:08:52 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Program Files\Web Assistant\Firefox [2013-02-28 16:08:52 | 000,000,000 | ---D | M] O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-4261511694-915367931-3365769838-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-4261511694-915367931-3365769838-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Reg Error: Value error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\t\AppData\Local\Temp\catchme.sys -- (catchme) :Files C:\Users\t\AppData\Local\ad776922-f4fe-4dd2-beff-7bdd53b91d13 C:\Users\t\AppData\Roaming\Babylon C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
maxman32 Opublikowano 3 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2013 Oto logi OTL i AdwCleaner utworzone po wykonaniu wszystkich czynności OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Wszystko zrobione, kończymy: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\t\Desktop\ComboFix.exe /uninstall 3. Następnie w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z dysku te foldery: C:\Users\t\Desktop\Stare dane programu Firefox C:\Windows\erdnt 4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są zainstalowane następujące wersje: Internet Explorer (Version = 7.0.6002.18005) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216024F0}" = Java 6 Update 24 "{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java 6 Update 35 "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17 "{31BFEC6C-1F27-45B5-839C-BCBAE327993A}" = OpenOffice.org 3.0 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE) "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll Czyli: odinstaluj wszystkie zakreślone powyżej Java i wtyczki Adobe, zaktualizuj Silverlight w Google Chrome (w Firefox już jest najnowszy), OpenOffice.org (korzysta ze starej Java), Internet Explorer oraz Microsoft SQL Server 2005 (KB913089). . Odnośnik do komentarza
Rekomendowane odpowiedzi