Skocz do zawartości

Wolny system - Problem z usunięciem Yontoo


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło obowiązkowego raportu z GMER. Przed jego wykonaniem należy odinstalować Alcohol i sterownik SPTD wg instrukcji: KLIK.

 

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (adeik5py)

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a9pob2ag)

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a7i5z7fv)

DRV - [2012-06-05 23:28:51 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- D:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

SRV - [2009-12-23 23:34:20 | 000,370,688 | ---- | M] (StarWind Software) [Auto | Running] -- D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)

 

W systemie działa infekcja nabyta z urządzeń przenośnych USB. Poza tym, siedzi tu i adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
albkpq3.exe /alldrives
D:\WINDOWS\tasks\At*.job
D:\Documents and Settings\sxex\Dane aplikacji\Babylon
D:\Documents and Settings\sxex\Dane aplikacji\LogMate
D:\Documents and Settings\sxex\Dane aplikacji\OpenCandy
D:\Documents and Settings\sxex\Dane aplikacji\PriceGong
D:\Documents and Settings\sxex\Ustawienia lokalne\Dane aplikacji\promo.exe
D:\Documents and Settings\All Users\Dane aplikacji\Babylon
D:\Documents and Settings\All Users\Dane aplikacji\GFI Software
D:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
D:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
D:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
D:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"6519:TCP"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\WINDOWS\system32\msiexec.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Page Restore"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17: D:\Program Files\Veetle\VLCBroadcast\npvbp.dll File not found
IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.
O2 - BHO: (no name) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKCU..\Run: [api32] D:\Documents and Settings\sxex\Ustawienia lokalne\Temp\apiqq.exe ()
O4 - HKCU..\Run: [EXPLORER.EXE] D:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation)
O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.)
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - D:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation)
SRV - File not found [Auto | Stopped] -- D:\WINDOWS\system32\tzmrurr.dll -- (nkpqw)
NetSvcs: nkpqw - File not found
SRV - File not found [Auto | Running] -- D:\Program Files\Yontoo\Y2Desktop.Updater.exe D:\Documents and Settings\sxex\Dane aplikacji\Yontoo\YontooDesktop.exe -- (Yontoo Desktop Updater)
SRV - File not found [Auto | Stopped] -- D:\ComboFix\pev.3XE EXEC /i D:\ComboFix\HIDEC.3XE D:\ComboFix\SWREG.3XE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q -- (PEVSystemStart)
SRV - File not found [Auto | Stopped] -- c:\xampp\apache\bin\httpd.exe -- (Apache2.2)
DRV - File not found [Kernel | System | Stopped] -- D:\WINDOWS\system32\drivers\SBREdrv.sys -- (SBRE)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przez Dodaj/Usuń programy odinstaluj Ad-Aware Browsing Protection, Yontoo 2.05. Nie opisałeś na czym polega problem z usuwaniem Yontoo.

 

3. Usuń adware z przeglądarek:

- Google Chrome: W Rozszerzeniach odinstaluj Amazon Shopping Assistant by Spigot, Ebay Shopping Assistant by Spigot, Domain Error Assistant, Savings-Slider. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Delta Search. Ustaw wybraną stronę startową. Wyczyść Historię.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku D powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER (po deinstalacji Alcohola i sterownika SPTD) oraz USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Wszystko poszło sprawnie. Kolejne działania:

 

1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\r3fhr.exe
C:\RECYCLER
D:\RECYCLER
D:\sh4ldr
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Posiadasz już Malwarebytes Anti-Malware. Upewnij się, że ma zaktualizowane bazy, i dla pewności zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

Odnośnik do komentarza

1. Wyniki MBAM: Wpis Worm.Magania od infekcji z pendrive i do usunięcia. Natomiast odczyty PUM.Disabled.SecurityCenter to tylko wyłączone powiadomienia Centrum zabezpieczeń, może być to pochodna różnych mechanizmów (ręka użytkownika, tweaker, infekcja), program nie rozpozna oczywiście źródła. Decyzja należy do Ciebie, czy te powiadomienia chcesz mieć czynne.

 

2. W systemie była infekcja uruchamiana poprzez pliki autorun.inf. Zabezpiecz system pod tym kątem: opcja Computer Vaccination w Panda USB Vaccine.

 

3. Na koniec zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu posiadasz następujące wersje:

 

Internet Explorer (Version = 6.0.2900.5512)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Polish

 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...