burza Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Witam, Proszę o analizę loga otrzymanego o użyciu programu Combo Fix. Z góry dziękuję. ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 - Na temat używania ComboFix: KLIK. - Zasady działu: KLIK. Brak wyjaśnień po co zakładasz temat, czy jest jakiś określony problem / infekcja. Brak obowiązkowych logów. Proszę uzupełnić wymagane dane. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Programu Combo Fix polecono mi do usunięcia wirusa Yontoo LCC. Poza tym na swoim dysku zauważyłam kilka innych niechcianych przeze mnie plików, które spowalniały pracę komputera, mianowicie: Delta Search, TornTV. Próbowałam odinstalować pliki przez panel sterowania, jednak nie przyniosło to żadnych efektów. Korzystałam także z antywirusa Comodo Internet Security oraz programu Revo Uninstaller. Mój system to Windows 7, 64-bitowy. Załączam potrzebne logi. OTL.Txt Extras.Txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Programu Combo Fix polecono mi do usunięcia wirusa Yontoo LCC. Niestety to była zła porada. Po pierwsze: to nie jest wirus tylko drobniejsze adware i ComboFix całkowicie zbędny. Po drugie: ComboFix nie usuwa tego w prawidłowy sposób, na chama usuwa folder, zostają w rejestrze odpadki. Po trzecie: są lepsze programy do tego celu. Próbowałam odinstalować pliki przez panel sterowania, jednak nie przyniosło to żadnych efektów. Korzystałam także z antywirusa Comodo Internet Security oraz programu Revo Uninstaller. O których konkretnie pozycjach mówisz, jaki błąd się pokazywał? 1. Przez Panel sterowania odinstaluj adware: BrowserProtect, BrowseToSave 1.74, Complitly, SelectionLinks, Search Assistant WebSearch 1.74, Yontoo 2.053. Niektóre pozycje są uszkodzone (z powodu ComboFix) i Windows powinien zadać pytanie czy usunąć pusty wpis. Jeśli coś stawi opór, nie szkodzi, i leć dalej: 2. Otwórz Google Chrome i wejdź do ustawień. Kliknij w zarządzanie wyszukiwarkami, ustaw Google jako domyślną, skasuj z listy podejrzane wyszukiwarki. Wejdź do Rozszerzeń i odinstaluj Select Links App. 3. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/02/22&hid=420275175&lg=EN&cc=PL SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=121845&babsrc=SP_ss_gin2g&mntrId=2AD1A64BF5C886AF SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/02/22&hid=420275175&lg=EN&cc=PL BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121012191417.dll No File BHO-x32: Browse2save - {776339FC-C55F-E3A8-67CD-1F793A747BA6} - C:\ProgramData\Browse2save\5127616505498.dll No File BHO-x32: SelectionLinks - {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} - C:\Program Files (x86)\OApps\SelectionLinks.dll No File BHO-x32: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121012191418.dll No File BHO-x32: Yontoo - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll No File HKCU\...\Run: [Yontoo Desktop] "C:\Users\Marta\AppData\Roaming\Yontoo\YontooDesktop.exe" [42784 2013-05-01] (Yontoo LLC) S4 Yontoo Desktop Updater; C:\Program Files (x86)\Yontoo\Y2Desktop.Updater.exe [23552 2013-05-01] (Microsoft) S2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [x] S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] Task: {05B8D652-6EEF-4276-9789-863DD537E504} - System32\Tasks\Sony Corporation\VAIO Smart Network\VSN Logon Start => C:\Windows\System32\net No File Task: {21CD3934-8A32-491F-BEA1-1027E5776751} - System32\Tasks\EPUpdater => C:\Users\Marta\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [2013-06-06] () Task: {25C886B3-0463-46D0-97E5-A8730DD79401} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe No File Task: {52B5D090-68B3-454A-BA00-3DAA44438D85} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe No File Task: {6301EBBB-F931-4D6F-ADD0-6C6747CEBCC7} - System32\Tasks\VHDInformationCheck => %ProgramFiles(x86)%\Sony\VAIO Recovery\plugins\InformationCheck.exe No File Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "bProtector Start Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v bProtectorDefaultScope /f Reg: reg delete "HKCU\Software\Mozilla" /f Reg: reg delete "HKCU\Software\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Mozilla" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla.org" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\MozillaPlugins" /f CMD: netsh advfirewall reset C:\Program Files\Enigma Software Group C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Yontoo C:\ProgramData\BrowserProtect C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee C:\Users\Marta\AppData\Roaming\BabSolution C:\Users\Marta\AppData\Roaming\Babylon C:\Users\Marta\AppData\Roaming\Complitly C:\Users\Marta\AppData\Roaming\File Scout C:\Users\Marta\AppData\Roaming\GoforFiles C:\Users\Marta\AppData\Roaming\mozilla C:\Users\Marta\AppData\Roaming\SendSpace C:\Users\Marta\AppData\Roaming\Yontoo C:\Users\Marta\AppData\Roaming\YourFileDownloader C:\Users\Marta\Downloads\Safari(13196).exe C:\Users\Marta\Downloads\1.3.2 (1) (2).crx C:\Users\Marta\Downloads\Niepotwierdzony 684217.crdownload C:\Users\Marta\Downloads\1.3.2 (1) (1).crx C:\Users\Marta\Downloads\1.3.2.crx C:\Users\Marta\Downloads\1370615499_359.data C:\Windows\BCD5545077AC4347B24F654B1189F8D4.TMP Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + FRST (bez Addition). Dołącz log utworzony przez AdwCleaner oraz fixlog.txt. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 1. Przy próbie usunięcia Yontoo 2.053 pojawia się następujący błąd: http://pics.tinypic.pl/i/00411/hdf8i5xhlrld.png Pozostale pozycje udało się usunąć. 2. Nie mogę również usunąć Select Links App ze względu na następujący komunikat: http://pics.tinypic.pl/i/00411/rcpy47ypzmyh.png Nie wiem, czy jest sens wykonywać kolejne kroki, jeżeli nie udało mi się pozbyć tych pozycji. Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 1. Nie szkodzi. Tym się zajmie spółka FRST + AdwCleaner. 2. Oj, zapomniałam, a zgłaszałam to nawet jako propozycję do skanu FRST (i czeka nadal na wdrożenie). To szczególne adware blokuje swoją deinstalację w Google Chrome. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z prawokliku skasuj te klucze: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Google Zresetuj system, otwórz Google Chrome, rozszerzenie będzie miało odblokowaną deinstalację. Po wykonaniu tego lecisz dalej z instrukcjami jak mówiłam. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Załączam log OTL, FRST, AdwCleaner oraz fixlog.txt. Jak to się teraz prezentuje? Fixlog.txt FRST.txt OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Wszystko zrobione jak należy. Tylko drobne poprawki do wykonania: 1. W konfiguracji Google Chrome są martwe wtyczki: Chrome: ======= CHR Plugin: (McAfee SiteAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll No File CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll No File CHR Plugin: (McAfee SecurityCenter) - c:\progra~2\mcafee\msc\npmcsn~1.dll No File Zresetuj cache wtyczek. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 2. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Plik HOSTS nie ma zawartości idealnie zgodnej z Windows 7 (to pewnie skutek resetu w ComboFix). Zastosuj to narzędzie Fix-it: KB972034. 4. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Pierwsze dwa punkty zrobiłam, a co do zmiany pliku HOSTS, próbowałam na oba sposoby i żaden nie wychodzi. Po użyciu narzędzia Windows pojawia się błąd: "Instalator napotkał nieoczekiwany błąd podczas instalacji pakietu. Może to wskazywać na problem z pakietem. Kod błędu to 2738." Przy samodzielnej zamianie natomiast nie mogę utworzyć nowego pliku tekstowego, mimo że stary zamieniłam na hosts.old. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Punkty 1 i 2 pomyślnie wykonane. Co do punktu 3, to aktualnie odczyt braku pliku: Hosts file not found Przy samodzielnej zamianie natomiast nie mogę utworzyć nowego pliku tekstowego, mimo że stary zamieniłam na hosts.old. Pewnie próbujesz zapisywać plik od razu w tej lokalizacji. To się nie uda bez podniesienia uprawnień. Wykonaj co następuje: - Start > w polu szukania wpisz notepad > z prawokliku na wynik Uruchom jako Administrator. - Wklej do Notatnika domyślną treść i zapisz plik w katalogu C:\Windows\system32\Drivers\etc pod nazwą: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Uwaga: by widzić rozszerzenia plików i uzyskać pewność, że plik zapisał się bez rozszerzenia *.TXT, musisz mieć tę opcję odznaczoną: w eksploratorze Windows > Opcje folderów i wyszukiwania > Widok > Ukrywaj rozszerzenia znanych typów plików. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Nie znam się na tym, ale wydaje mi się, że teraz już jest w porządku. Mam rację? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Tak jest. Możemy przejść do finalizacji tematu: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio uruchamiałaś z poziomu plików tymczasowych (c:\users\Marta\AppData\Local\Opera\Opera\temporary_downloads\ComboFix.exe). Pobierz ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Marta\Desktop\ComboFix.exe /uninstall 2. Gdy komenda ukończy działanie, usuń pozostałe narzędzia. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Windows\erdnt W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Na koniec aktualizacje. Usuń wszystkie stare Java, Adobe Reader i Safari (przeglądarka jest stara, od dawna nieaktualizowana), zaktualizuj Operę: ==================== Installed Programs ======================= Adobe Reader X (10.1.7) MUI (x32 Version: 10.1.7) Java 7 Update 1 (64-bit) (Version: 7.0.10) Java 7 Update 1 (x32 Version: 7.0.10) Opera 12.15 (x32 Version: 12.15.1748) Safari (x32 Version: 5.34.57.2) Szczegóły aktualizacyjne: KLIK. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Ja i mój komputer dziękujemy bardzo za pomoc. Jesteś wielka. Ukłony i podziękowania! Odnośnik do komentarza
Rekomendowane odpowiedzi