sxe22 Opublikowano 6 Maja 2013 Zgłoś Udostępnij Opublikowano 6 Maja 2013 Juz jakiś czas męcze się z wolnym komputerem Jeśli ktoś ma chwile czasu to poprosze o pomoc w rozwiazaniu problemów I ma też problem w usuwaniu yontoo OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Zabrakło obowiązkowego raportu z GMER. Przed jego wykonaniem należy odinstalować Alcohol i sterownik SPTD wg instrukcji: KLIK. DRV - File not found [Kernel | On_Demand | Unknown] -- -- (adeik5py) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a9pob2ag) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a7i5z7fv) DRV - [2012-06-05 23:28:51 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- D:\WINDOWS\system32\drivers\sptd.sys -- (sptd) SRV - [2009-12-23 23:34:20 | 000,370,688 | ---- | M] (StarWind Software) [Auto | Running] -- D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) W systemie działa infekcja nabyta z urządzeń przenośnych USB. Poza tym, siedzi tu i adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives albkpq3.exe /alldrives D:\WINDOWS\tasks\At*.job D:\Documents and Settings\sxex\Dane aplikacji\Babylon D:\Documents and Settings\sxex\Dane aplikacji\LogMate D:\Documents and Settings\sxex\Dane aplikacji\OpenCandy D:\Documents and Settings\sxex\Dane aplikacji\PriceGong D:\Documents and Settings\sxex\Ustawienia lokalne\Dane aplikacji\promo.exe D:\Documents and Settings\All Users\Dane aplikacji\Babylon D:\Documents and Settings\All Users\Dane aplikacji\GFI Software D:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer D:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com D:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll D:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "6519:TCP"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\WINDOWS\system32\msiexec.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Start Page Restore"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17: D:\Program Files\Veetle\VLCBroadcast\npvbp.dll File not found IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (no name) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKCU..\Run: [api32] D:\Documents and Settings\sxex\Ustawienia lokalne\Temp\apiqq.exe () O4 - HKCU..\Run: [EXPLORER.EXE] D:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.) O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - D:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) SRV - File not found [Auto | Stopped] -- D:\WINDOWS\system32\tzmrurr.dll -- (nkpqw) NetSvcs: nkpqw - File not found SRV - File not found [Auto | Running] -- D:\Program Files\Yontoo\Y2Desktop.Updater.exe D:\Documents and Settings\sxex\Dane aplikacji\Yontoo\YontooDesktop.exe -- (Yontoo Desktop Updater) SRV - File not found [Auto | Stopped] -- D:\ComboFix\pev.3XE EXEC /i D:\ComboFix\HIDEC.3XE D:\ComboFix\SWREG.3XE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q -- (PEVSystemStart) SRV - File not found [Auto | Stopped] -- c:\xampp\apache\bin\httpd.exe -- (Apache2.2) DRV - File not found [Kernel | System | Stopped] -- D:\WINDOWS\system32\drivers\SBREdrv.sys -- (SBRE) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przez Dodaj/Usuń programy odinstaluj Ad-Aware Browsing Protection, Yontoo 2.05. Nie opisałeś na czym polega problem z usuwaniem Yontoo. 3. Usuń adware z przeglądarek: - Google Chrome: W Rozszerzeniach odinstaluj Amazon Shopping Assistant by Spigot, Ebay Shopping Assistant by Spigot, Domain Error Assistant, Savings-Slider. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Delta Search. Ustaw wybraną stronę startową. Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku D powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER (po deinstalacji Alcohola i sterownika SPTD) oraz USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
sxe22 Opublikowano 8 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2013 Wszystko udało sie zrobic bez problemu nawet yoonto Wrzucam logi w kolejności GMER.txt OTL- po wykonaniu skryptu.txt AdwCleanerS1.txt OTL. koncowe .Txt UsbFix Listing 1 SXE.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Wszystko poszło sprawnie. Kolejne działania: 1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\r3fhr.exe C:\RECYCLER D:\RECYCLER D:\sh4ldr :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Posiadasz już Malwarebytes Anti-Malware. Upewnij się, że ma zaktualizowane bazy, i dla pewności zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
sxe22 Opublikowano 8 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2013 Śliczne dzięki za okazaną pomoc. Duża poprawa buziaki dla ciebie Na koniec raport z MBAM MBAM.txt Odnośnik do komentarza
picasso Opublikowano 9 Maja 2013 Zgłoś Udostępnij Opublikowano 9 Maja 2013 1. Wyniki MBAM: Wpis Worm.Magania od infekcji z pendrive i do usunięcia. Natomiast odczyty PUM.Disabled.SecurityCenter to tylko wyłączone powiadomienia Centrum zabezpieczeń, może być to pochodna różnych mechanizmów (ręka użytkownika, tweaker, infekcja), program nie rozpozna oczywiście źródła. Decyzja należy do Ciebie, czy te powiadomienia chcesz mieć czynne. 2. W systemie była infekcja uruchamiana poprzez pliki autorun.inf. Zabezpiecz system pod tym kątem: opcja Computer Vaccination w Panda USB Vaccine. 3. Na koniec zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu posiadasz następujące wersje: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Polish FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) . Odnośnik do komentarza
Rekomendowane odpowiedzi