inka Opublikowano 11 Maja 2013 Zgłoś Udostępnij Opublikowano 11 Maja 2013 Witam, jestem tu nowa i oczywiście jak już zdążyłam się zorientować popełniłam na wstępie błąd (przyznaję się ), jestem już po skanowaniu ComboFix co na szczęście po wielogodzinnym zmaganiu się z komputerem pomogło. Do tej pory od rana wyświetlała się tylko i wyłącznie strona "policyjna", kilka godzin zajęła mi próba odpalenia systemu w trybie awaryjnym i zeskanowanie go. Z góry dziękuję za pomoc w dokończeniu porządkowania systemu. W załącznikach przesyłam logi. A tu Security Check Pokaż ukrytą zawartość Results of screen317's Security Check version 0.99.63 Windows XP Service Pack 3 x86 Internet Explorer 7 Out of date! ``````````````Antivirus/Firewall Check:`````````````` avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Ad-Aware Spybot - Search & Destroy Java 6 Update 31 Java 6 Update 7 Java version out of Date! Adobe Flash Player 10 Flash Player out of Date! Adobe Flash Player 11.7.700.169 Adobe Reader 8 Adobe Reader out of Date! Adobe Reader XI (KB403742..) ````````Process Check: objlist.exe by Laurent```````` Ad-Aware AAWService.exe Ad-Aware AAWTray.exe is disabled! AVAST Software Avast avastUI.exe AVAST Software Avast AvastSvc.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... log combofix.txtPobieranie informacji ... GMER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Maja 2013 Zgłoś Udostępnij Opublikowano 13 Maja 2013 No cóż, ComboFix wprawdzie usuwał infekcję, ale także i adware w mało elegancki sposób (to należało w pierwszej kolejności odinstalować w normalny sposób.). I jest więcej adware w systemie. Wymagane poprawki. 1. Na początek deinstalacje: - Przez Dodaj/Usuń programy odinstaluj: Babylon toolbar on IE, BrowseToSave 1.66, Dealio Toolbar v4.6, McAfee Security Scan Plus, Optimizer Pro v3.0, OptimizerPro, Search Assistant JustBrowse 1.66, unnm=Version Checker for Dealply. Może być problem z deinstalacją niektórych pozycji, bo ComboFix usunął składniki wymagane do deinstalacji. Odinstaluj także stary skaner Ad-Aware, jest tu Avast i nie ma potrzeby mnożyć. - Następnie otwórz Google Chrome i w Rozszerzeniach odinstaluj Browse2save, DealPly. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.just-browse.info/?l=1&q={searchTerms} IE - HKU\S-1-5-21-3473095315-67837119-714969770-1005\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=9812ae19000000000000001c26dabd55 O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File not found O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll File not found O3 - HKU\S-1-5-21-3473095315-67837119-714969770-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-3473095315-67837119-714969770-1005..\Run: [Mobile Partner] C:\Program Files\PLAY Web partner\PLAY Web partner File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3473095315-67837119-714969770-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3473095315-67837119-714969770-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm File not found O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm File not found O8 - Extra context menu item: Pobierz za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm File not found O9 - Extra Button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 File not found O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) [2013-05-11 20:53:34 | 000,000,494 | -H-- | M] () -- C:\WINDOWS\tasks\{09E197E4-EB85-4586-AF7A-CA0DDCE16F65}.job [2013-01-16 12:30:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\CloudSoft [2013-01-16 12:34:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate SRV - File not found [Auto | Stopped] -- c:\opt\MBCASE\pm\bin\mcp -- (mcp) SRV - File not found [On_Demand | Stopped] -- c:\opt\MBCASE\pm\bin\mcp -- (license) SRV - File not found [On_Demand | Stopped] -- c:\opt\MBCASE\pm\bin\mcp -- (konfig) SRV - File not found [Auto | Stopped] -- C:\Program Files\EWA net\database\TransBase WIS\tbmux32.exe -- (EWA net DB WIS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\IBM\USTAWI~1\Temp\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
inka Opublikowano 13 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2013 Większość zrobiona. Nie udało mi się odinstalować Dealio Toolbar v4.6 ( brak ścieżki) Logi w załączniku OTL.2Txt.txtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Maja 2013 Zgłoś Udostępnij Opublikowano 13 Maja 2013 Miałaś też dołączyć log z wynikami usuwania OTL. Zadania w dużej części wykonane, ale coś nie tak poszło ze skryptem OTL, pewne wpisy nie zostały przetworzone. Brak loga z usuwania, nie wiem co się stało. Akcje poprawkowe:: 1. Jeszcze odinstaluj Spybot - Search & Destroy. Kolejny stary mało przydatny dziś skaner. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File not found O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll File not found O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O9 - Extra Button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 File not found O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) [2013-05-12 08:49:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\McAfee [2013-05-09 09:32:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 3. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio uruchamiany z nieistniejącej już ścieżki G:\ComboFix.exe. Pobierz narzędzie ponownie (KLIK) i zapisz na Pulpicie. Start > Uruchom > wklej komendę: "C:\Documents and Settings\IBM\Pulpit\ComboFix.exe" /uninstall 4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 2. . Odnośnik do komentarza
inka Opublikowano 13 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2013 Mam nadzieję że ok OTL.3Txt.txtPobieranie informacji ... 05132013_225837.log otl.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Maja 2013 Zgłoś Udostępnij Opublikowano 13 Maja 2013 Wszystko zrobione. Możesz przejść do finalizacji tematu: 1. Usuń pozostałe narzędzia: przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu następujące wersje: Internet Explorer (Version = 7.0.5730.11) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7 "{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Shockwave Player" = Adobe Shockwave Player "avast" = avast! Free Antivirus ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-3473095315-67837119-714969770-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome 10.0.648.205 Czyli: odinstaluj zakreślone pozycje Adobe + Java (to m.in. luki w starych Adobe/Java są przyczyną infekcji), zaktualizuj przeglądarki Google Chrome i Internet Explorer. Antywirus Avast też nie wygląda na najnowszą wersję. Dodatkowo, jest tu zainstalowane stare Gadu-Gadu 10. Zainteresuj się najnowszym GG11 (jest lepsze niż ten potwór GG10), albo alternatywnymi programami (WTW, Kadu, Miranda NG, AQQ): KLIK. . Odnośnik do komentarza
inka Opublikowano 13 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2013 (edytowane) dzięki wielkie, chyba wszystko działa dokładniej przetestuję już jutro i dam znać. Tak jak mówiłam wszystko ok. Jesteś WIELKA !!!!!!!! "Dowody wdzięczności" przelane Jeszcze raz dziękuję i pozdrawiam Edytowane 14 Maja 2013 przez picasso Dzięki! Temat rozwiązany, zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi