Zwariowany komputer

[VladTepes1431]

Witam serdecznie! piszę do was ponieważ mam dziwny problem z moim komputerem.
Otóż od pewnego czasu mój komputer dziwnie zamula, strona facebooka raz mi się wczytuje a raz nie :/ nie wiem co może być problemem możliwe że to jakaś infekcja ? do tematu dodaję logi z OTL'a oraz z Combofix'a którego niestety musiałem użyć...
Proszę o pomoc w rozwiązaniu mojego nurtującego problemu, pozdrawiam.

Extras.Txt

OTL.Txt

ComboFix.txt

[picasso]

Co do stanu systemu, kilka spraw tu zwraca uwagę:

 

1. Za zamulenie systemu z pewnością odpowiada crack aktywacji systemu (Chew7Hale):

 

O4:64bit: - HKLM..\Run: [Chew7Hale] C:\Windows\SysNative\hale.exe ()

 

Przykładowe tematy z forum jak negatywny wpływ na pracę systemu ma ten crack: KLIK / KLIK / KLIK / KLIK / KLIK.

 

2. System jest także zainfekowany i przypuszczalnym źródłem są lewe paczki do Tibia (tu zwraca uwagę Tibia MULTI-IP Changer). ComboFix kasował trojany charakterystyczne dla zainfekowanych paczek Tibia. Ale nie wszystkie. Nadal jest czynny trojan mający właściwości keyloggera (przechwytywanie haseł), tzn. w starcie uruchamia się wpis uruchamiający konsolę Java + na dysku plik *.JAR:

 

O4 - HKU\S-1-5-21-2762411956-3580101266-2349690831-1001..\Run: [spoolsv32b] C:\Windows\SysWow64\javaw.exe (Oracle Corporation)

[2013-06-09 16:19:02 | 001,335,014 | ---- | M] () -- C:\Users\Alek\AppData\Roaming\sqlite.jar

 

Przeprowadź następujące działania:

 

1. Odinstaluj crack Chew7Hale. Deinstalatorem cracka jest ten sam plik z którego crack uruchomiono. Nie ma deinstalatora w Panelu sterowania czy Menu Start.

 

2. Odinstaluj poprzez Panel sterowania adware mySyncCell Toolbar oraz wszystko co związane z Tibia.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Alek\AppData\Roaming\sqlite.jar
C:\Users\Alek\AppData\Roaming\Win32b
C:\Users\Alek\AppData\Roaming\dist11
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"spoolsv32b"=-
 
:OTL
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2762411956-3580101266-2349690831-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2762411956-3580101266-2349690831-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-2762411956-3580101266-2349690831-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel present
DRV:64bit: - [2011-05-12 15:03:12 | 000,006,144 | ---- | M] (Sophos Plc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\898A.tmp -- (MEMSWEEP2)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 3 oraz log utworzony przez AdwCleaner.

 

 

 

.

[VladTepes1431]

Zrobionie

Poniżej załączam logi.

06102013_171421.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Crack nadal uruchamia się w starcie:

 

O4:64bit: - HKLM..\Run: [Chew7Hale] C:\Windows\SysNative\hale.exe ()

 

Mówiłam, że masz odinstalować Chew7Hale posługując się tym samym plikiem za pomocą którego crack zainstalowano. Gdzie leży problem w tej części zadania?

 

 

 

.

[VladTepes1431]

usuwałem tym samym plikiem ale drań zapewne jeszcze gdzieś siedzi. Nie dałoby rady usunąć tego w inny sposób ?

[picasso]

Podaj konkretną nazwę pliku jakim się posłużyłeś próbując to usuwać.

[VladTepes1431]

usuwałem plikiem o nazwie Windows Loader

[picasso]

Nazwa pliku to powinno być coś w stylu Chew7.exe.

[VladTepes1431]

Proszę zobaczyć, niżej załączony screen. klikałem uninstall, wyskakiwała niby informacja że odinstalowane prosiło o ponowne uruchomienie komputera więc tak zrobiłem ale po tym nadal mogę śmiało klikać w opcję uninstall. 

[picasso]

Ale to jest inny crack. Pokazujesz mi "Windows Loader", a ja mówię o "Chew7Hale". Szukaj na dysku tego Chew, musiał być użyty, bo crack działa w tle.

 

 

 

.

[VladTepes1431]

Znalazłem ten aktywator i wyrzuciłem go tak jak radziłaś wcześniej, dla pewności załączam log z OTL'a

Extras.Txt

OTL.Txt

[picasso]

Tak, teraz crack pomyślnie wymontowany. Czy po przeprowadzonych działaniach notujesz poprawę w pracy systemu? Przechodzimy do kolejnych akcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Alek\AppData\Roaming\log.err
C:\Users\Alek\AppData\Roaming\en.lock
C:\Users\Alek\AppData\Roaming\SyncCell
C:\Users\Alek\AppData\Local\Opera
C:\Users\Alek\AppData\Local\OtLand
C:\Users\Public\Desktop\Tibia MULTI-IP Changer.lnk
C:\Program Files (x86)\Global.sw
C:\cookies.sqlite
 
:Reg
[-HKEY_CURRENT_USER\Software\OtLand]

 

Klik w Wykonaj skrypt.

 

2. Poprawka na domyślne wyszukiwarki IE. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{d46d0a6c-fab1-45a4-997e-030450e41de5}"=-
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

@="Bing"

"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"

"DisplayName"="@ieframe.dll,-12512"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

@="Bing"

"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"

"DisplayName"="@ieframe.dll,-12512"
 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KLIK

 

4. Zrób ostatni log OTL z opcji Skanuj (bez Extras). Dodatkowo, podaj mi skan obiektów, których pochodzenia nie potrafię wskazać, tzn. uruchom SystemLook x64 i w oknie wklej:

 

:dir


C:\Users\Alek\AppData\Roaming\B-RoR /s

C:\Users\Alek\AppData\Roaming\Chrome_manager /s

C:\Users\Alek\AppData\Roaming\DBC /s

C:\Users\Alek\AppData\Roaming\DBKO2 /s

C:\Users\Alek\AppData\Roaming\NTSW /s

C:\Users\Alek\AppData\Roaming\support@mozilla.com /s

C:\Windows\pl /s
 

:contents

C:\Windows\info4.ini

C:\Windows\info7.ini

C:\Windows\info9.ini

C:\Windows\info10.ini

 

Kli w Look.

 

 

 

.

[VladTepes1431]

Zrobione wszystko krok po kroku, a co do systemu to już widać że chodzi sprawniej.

OTL punkt 1.txt

OTL punkt 4.Txt

SystemLook.txt

[picasso]

Akcje zrobione, choć odtworzył się plik Firefoxa C:\cookies.sqlite, który nie powinien być w tym miejscu. Co do wyników SystemLook, to większość folderów wygląda na relatywne do Tibia Maps, a skoro rzeczy Tibia były usuwane, to te też będą. Natomiast mam problem z klasyfikacją Chrome_manager + support@mozilla.com. Te pliki powstawały wraz z obiektami niepożądanymi i związanymi z trefnymi elementami Tibia i widać że trzy przeglądarki miały być adresowane (Chrome, Firefox i nieistniejąca w systemie Opera):

 

========== Files/Folders - Created Within 30 Days ==========
 

[2013-06-09 16:29:22 | 000,000,000 | ---D | C] -- C:\Users\Alek\AppData\Roaming\Win32b

[2013-06-09 16:19:05 | 000,000,000 | ---D | C] -- C:\Users\Alek\AppData\Roaming\dist11

[2013-06-09 16:19:02 | 000,000,000 | ---D | C] -- C:\Users\Alek\AppData\Roaming\support@mozilla.com

[2013-06-09 16:17:57 | 000,000,000 | ---D | C] -- C:\Users\Alek\AppData\Local\Opera

[2013-06-09 16:17:57 | 000,000,000 | ---D | C] -- C:\Users\Alek\AppData\Roaming\Chrome_manager

[2013-06-09 16:17:53 | 000,000,000 | ---D | C] -- C:\Users\Alek\AppData\Local\OtLand

 

Proponuję to wszystko prewencyjnie usunąć:

 

1. Zamknij przeglądarki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions]
"support@mozilla.com"=-
 
:Files
C:\Windows\SysNative\drivers\etc\hosts.old
C:\cookies.sqlite
C:\Users\Alek\AppData\Roaming\support@mozilla.com
C:\Users\Alek\AppData\Roaming\Chrome_manager
C:\Users\Alek\AppData\Roaming\B-RoR
C:\Users\Alek\AppData\Roaming\DBC
C:\Users\Alek\AppData\Roaming\DBKO2
C:\Users\Alek\AppData\Roaming\NTSW

 

Klik w Wykonaj skrypt.

 

2. Przedstaw log OTL z wynikami usuwania.

 

 

 

.

[VladTepes1431]

Wygląda na to, że wszystko co wskazałaś zostało usunięte
niżej daję log.

Log z usuwania.txt

[picasso]

Przechodzimy do kolejnej części zadania:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Masz zainstalowany Malwarebytes Anti-Malware, więc dla pewności zrób nim pełne skanowanie. Jeżeli program coś wykryje, przedstaw jego raport.

 

 

.

[VladTepes1431]

wszystkie punkty zrealizowane, malwarebytes nic nie wykrył. Komputer śmiga aż miło, dziękuję za pomoc, temat do zamknięcia

Pozdrawiam    

[picasso]

Na zakończenie:

 

1. Aktualizacje. Odinstaluj wszysatkie wersje Adobe + Java + Silverlight, zastąp najnowszymi, zaktualizuj pakiet Office 2010 (instalacja SP1): KLIK. Wg raportu posiadasz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

"Foxit Reader_is1" = Foxit Reader

"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll ()

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.0.60310.0\npctrl.dll ( Microsoft Corporation)

 

2. Dla bezpieczeństwa zmień hasła logowania w serwisach (poczta / bank / serwisy społecznościowe / gry etc.). Były tu trojany zdolne ciągnąć te dane.

 

 

.