Wirus "niby policyjny"

[inka]

Witam, jestem tu nowa i oczywiście jak już zdążyłam się zorientować popełniłam na wstępie błąd (przyznaję się ), jestem już po skanowaniu ComboFix co na szczęście po wielogodzinnym zmaganiu się z komputerem pomogło. Do tej pory od rana wyświetlała się tylko i wyłącznie strona "policyjna", kilka godzin zajęła mi próba odpalenia systemu w trybie awaryjnym i zeskanowanie go.

 

Z góry dziękuję za pomoc w dokończeniu porządkowania systemu.

 

W załącznikach przesyłam logi.

 

A tu Security Check

 

 

 

 

Results of screen317's Security Check version 0.99.63

Windows XP Service Pack 3 x86

Internet Explorer 7 Out of date!

``````````````Antivirus/Firewall Check:``````````````

avast! Antivirus

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Ad-Aware

Spybot - Search & Destroy

Java 6 Update 31

Java 6 Update 7

Java version out of Date!

Adobe Flash Player 10 Flash Player out of Date!

Adobe Flash Player 11.7.700.169

Adobe Reader 8 Adobe Reader out of Date!

Adobe Reader XI (KB403742..)

````````Process Check: objlist.exe by Laurent````````

Ad-Aware AAWService.exe

Ad-Aware AAWTray.exe is disabled!

AVAST Software Avast avastUI.exe

AVAST Software Avast AvastSvc.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

 

OTL.Txt

Extras.Txt

log combofix.txt

GMER.txt

[picasso]

No cóż, ComboFix wprawdzie usuwał infekcję, ale także i adware w mało elegancki sposób (to należało w pierwszej kolejności odinstalować w normalny sposób.). I jest więcej adware w systemie. Wymagane poprawki.

 

1. Na początek deinstalacje:

- Przez Dodaj/Usuń programy odinstaluj: Babylon toolbar on IE, BrowseToSave 1.66, Dealio Toolbar v4.6, McAfee Security Scan Plus, Optimizer Pro v3.0, OptimizerPro, Search Assistant JustBrowse 1.66, unnm=Version Checker for Dealply. Może być problem z deinstalacją niektórych pozycji, bo ComboFix usunął składniki wymagane do deinstalacji. Odinstaluj także stary skaner Ad-Aware, jest tu Avast i nie ma potrzeby mnożyć.

- Następnie otwórz Google Chrome i w Rozszerzeniach odinstaluj Browse2save, DealPly.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.just-browse.info/?l=1&q={searchTerms}
IE - HKU\S-1-5-21-3473095315-67837119-714969770-1005\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=9812ae19000000000000001c26dabd55
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File not found
O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll File not found
O3 - HKU\S-1-5-21-3473095315-67837119-714969770-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-3473095315-67837119-714969770-1005..\Run: [Mobile Partner] C:\Program Files\PLAY Web partner\PLAY Web partner File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3473095315-67837119-714969770-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3473095315-67837119-714969770-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm File not found
O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm File not found
O8 - Extra context menu item: Pobierz za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm File not found
O9 - Extra Button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 File not found
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
[2013-05-11 20:53:34 | 000,000,494 | -H-- | M] () -- C:\WINDOWS\tasks\{09E197E4-EB85-4586-AF7A-CA0DDCE16F65}.job
[2013-01-16 12:30:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\CloudSoft
[2013-01-16 12:34:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
SRV - File not found [Auto | Stopped] -- c:\opt\MBCASE\pm\bin\mcp -- (mcp)
SRV - File not found [On_Demand | Stopped] -- c:\opt\MBCASE\pm\bin\mcp -- (license)
SRV - File not found [On_Demand | Stopped] -- c:\opt\MBCASE\pm\bin\mcp -- (konfig)
SRV - File not found [Auto | Stopped] -- C:\Program Files\EWA net\database\TransBase WIS\tbmux32.exe -- (EWA net DB WIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\IBM\USTAWI~1\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz utworzony przez AdwCleaner.

 

 

 

.

[inka]

Większość zrobiona.

Nie udało mi się odinstalować Dealio Toolbar v4.6 ( brak ścieżki)

 

Logi w załączniku

OTL.2Txt.txt

AdwCleanerS1.txt

[picasso]

Miałaś też dołączyć log z wynikami usuwania OTL. Zadania w dużej części wykonane, ale coś nie tak poszło ze skryptem OTL, pewne wpisy nie zostały przetworzone. Brak loga z usuwania, nie wiem co się stało. Akcje poprawkowe::

 

1. Jeszcze odinstaluj Spybot - Search & Destroy. Kolejny stary mało przydatny dziś skaner.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File not found
O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll File not found
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 File not found
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
[2013-05-12 08:49:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\McAfee
[2013-05-09 09:32:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio uruchamiany z nieistniejącej już ścieżki G:\ComboFix.exe. Pobierz narzędzie ponownie (KLIK) i zapisz na Pulpicie. Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\IBM\Pulpit\ComboFix.exe" /uninstall

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 2.

 

 

.

[inka]

Mam nadzieję że ok

OTL.3Txt.txt

05132013_225837.log otl.txt

[picasso]

Wszystko zrobione. Możesz przejść do finalizacji tematu:

 

1. Usuń pozostałe narzędzia: przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu następujące wersje:

 

Internet Explorer (Version = 7.0.5730.11)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Shockwave Player" = Adobe Shockwave Player

"avast" = avast! Free Antivirus
 

========== HKEY_USERS Uninstall List ==========
 

[HKEY_USERS\S-1-5-21-3473095315-67837119-714969770-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome 10.0.648.205

 

Czyli: odinstaluj zakreślone pozycje Adobe + Java (to m.in. luki w starych Adobe/Java są przyczyną infekcji), zaktualizuj przeglądarki Google Chrome i Internet Explorer. Antywirus Avast też nie wygląda na najnowszą wersję.

 

Dodatkowo, jest tu zainstalowane stare Gadu-Gadu 10. Zainteresuj się najnowszym GG11 (jest lepsze niż ten potwór GG10), albo alternatywnymi programami (WTW, Kadu, Miranda NG, AQQ): KLIK.

 

 

 

.

[inka]

dzięki wielkie, chyba wszystko działa

dokładniej przetestuję już jutro i dam znać.

 

 

Tak jak mówiłam wszystko ok.

 

Jesteś WIELKA !!!!!!!!

"Dowody wdzięczności"  przelane  

 

Jeszcze raz dziękuję i pozdrawiam

Edytowane 14 Maja 2013 przez picasso
Dzięki! Temat rozwiązany, zamykam. //picasso