burza Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Witam, Proszę o analizę loga otrzymanego o użyciu programu Combo Fix. Z góry dziękuję. ComboFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 - Na temat używania ComboFix: KLIK. - Zasady działu: KLIK. Brak wyjaśnień po co zakładasz temat, czy jest jakiś określony problem / infekcja. Brak obowiązkowych logów. Proszę uzupełnić wymagane dane. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Programu Combo Fix polecono mi do usunięcia wirusa Yontoo LCC. Poza tym na swoim dysku zauważyłam kilka innych niechcianych przeze mnie plików, które spowalniały pracę komputera, mianowicie: Delta Search, TornTV. Próbowałam odinstalować pliki przez panel sterowania, jednak nie przyniosło to żadnych efektów. Korzystałam także z antywirusa Comodo Internet Security oraz programu Revo Uninstaller. Mój system to Windows 7, 64-bitowy. Załączam potrzebne logi. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Cytat Programu Combo Fix polecono mi do usunięcia wirusa Yontoo LCC. Niestety to była zła porada. Po pierwsze: to nie jest wirus tylko drobniejsze adware i ComboFix całkowicie zbędny. Po drugie: ComboFix nie usuwa tego w prawidłowy sposób, na chama usuwa folder, zostają w rejestrze odpadki. Po trzecie: są lepsze programy do tego celu. Cytat Próbowałam odinstalować pliki przez panel sterowania, jednak nie przyniosło to żadnych efektów. Korzystałam także z antywirusa Comodo Internet Security oraz programu Revo Uninstaller. O których konkretnie pozycjach mówisz, jaki błąd się pokazywał? 1. Przez Panel sterowania odinstaluj adware: BrowserProtect, BrowseToSave 1.74, Complitly, SelectionLinks, Search Assistant WebSearch 1.74, Yontoo 2.053. Niektóre pozycje są uszkodzone (z powodu ComboFix) i Windows powinien zadać pytanie czy usunąć pusty wpis. Jeśli coś stawi opór, nie szkodzi, i leć dalej: 2. Otwórz Google Chrome i wejdź do ustawień. Kliknij w zarządzanie wyszukiwarkami, ustaw Google jako domyślną, skasuj z listy podejrzane wyszukiwarki. Wejdź do Rozszerzeń i odinstaluj Select Links App. 3. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/02/22&hid=420275175&lg=EN&cc=PL SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=121845&babsrc=SP_ss_gin2g&mntrId=2AD1A64BF5C886AF SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/02/22&hid=420275175&lg=EN&cc=PL BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121012191417.dll No File BHO-x32: Browse2save - {776339FC-C55F-E3A8-67CD-1F793A747BA6} - C:\ProgramData\Browse2save\5127616505498.dll No File BHO-x32: SelectionLinks - {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} - C:\Program Files (x86)\OApps\SelectionLinks.dll No File BHO-x32: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121012191418.dll No File BHO-x32: Yontoo - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll No File HKCU\...\Run: [Yontoo Desktop] "C:\Users\Marta\AppData\Roaming\Yontoo\YontooDesktop.exe" [42784 2013-05-01] (Yontoo LLC) S4 Yontoo Desktop Updater; C:\Program Files (x86)\Yontoo\Y2Desktop.Updater.exe [23552 2013-05-01] (Microsoft) S2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [x] S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] Task: {05B8D652-6EEF-4276-9789-863DD537E504} - System32\Tasks\Sony Corporation\VAIO Smart Network\VSN Logon Start => C:\Windows\System32\net No File Task: {21CD3934-8A32-491F-BEA1-1027E5776751} - System32\Tasks\EPUpdater => C:\Users\Marta\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [2013-06-06] () Task: {25C886B3-0463-46D0-97E5-A8730DD79401} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe No File Task: {52B5D090-68B3-454A-BA00-3DAA44438D85} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe No File Task: {6301EBBB-F931-4D6F-ADD0-6C6747CEBCC7} - System32\Tasks\VHDInformationCheck => %ProgramFiles(x86)%\Sony\VAIO Recovery\plugins\InformationCheck.exe No File Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "bProtector Start Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v bProtectorDefaultScope /f Reg: reg delete "HKCU\Software\Mozilla" /f Reg: reg delete "HKCU\Software\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Mozilla" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla.org" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\MozillaPlugins" /f CMD: netsh advfirewall reset C:\Program Files\Enigma Software Group C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Yontoo C:\ProgramData\BrowserProtect C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee C:\Users\Marta\AppData\Roaming\BabSolution C:\Users\Marta\AppData\Roaming\Babylon C:\Users\Marta\AppData\Roaming\Complitly C:\Users\Marta\AppData\Roaming\File Scout C:\Users\Marta\AppData\Roaming\GoforFiles C:\Users\Marta\AppData\Roaming\mozilla C:\Users\Marta\AppData\Roaming\SendSpace C:\Users\Marta\AppData\Roaming\Yontoo C:\Users\Marta\AppData\Roaming\YourFileDownloader C:\Users\Marta\Downloads\Safari(13196).exe C:\Users\Marta\Downloads\1.3.2 (1) (2).crx C:\Users\Marta\Downloads\Niepotwierdzony 684217.crdownload C:\Users\Marta\Downloads\1.3.2 (1) (1).crx C:\Users\Marta\Downloads\1.3.2.crx C:\Users\Marta\Downloads\1370615499_359.data C:\Windows\BCD5545077AC4347B24F654B1189F8D4.TMP Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + FRST (bez Addition). Dołącz log utworzony przez AdwCleaner oraz fixlog.txt. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 1. Przy próbie usunięcia Yontoo 2.053 pojawia się następujący błąd: http://pics.tinypic.pl/i/00411/hdf8i5xhlrld.png Pozostale pozycje udało się usunąć. 2. Nie mogę również usunąć Select Links App ze względu na następujący komunikat: http://pics.tinypic.pl/i/00411/rcpy47ypzmyh.png Nie wiem, czy jest sens wykonywać kolejne kroki, jeżeli nie udało mi się pozbyć tych pozycji. Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 1. Nie szkodzi. Tym się zajmie spółka FRST + AdwCleaner. 2. Oj, zapomniałam, a zgłaszałam to nawet jako propozycję do skanu FRST (i czeka nadal na wdrożenie). To szczególne adware blokuje swoją deinstalację w Google Chrome. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z prawokliku skasuj te klucze: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Google Zresetuj system, otwórz Google Chrome, rozszerzenie będzie miało odblokowaną deinstalację. Po wykonaniu tego lecisz dalej z instrukcjami jak mówiłam. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Załączam log OTL, FRST, AdwCleaner oraz fixlog.txt. Jak to się teraz prezentuje? Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Wszystko zrobione jak należy. Tylko drobne poprawki do wykonania: 1. W konfiguracji Google Chrome są martwe wtyczki: Chrome: ======= CHR Plugin: (McAfee SiteAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll No File CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll No File CHR Plugin: (McAfee SecurityCenter) - c:\progra~2\mcafee\msc\npmcsn~1.dll No File Zresetuj cache wtyczek. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 2. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Plik HOSTS nie ma zawartości idealnie zgodnej z Windows 7 (to pewnie skutek resetu w ComboFix). Zastosuj to narzędzie Fix-it: KB972034. 4. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Pierwsze dwa punkty zrobiłam, a co do zmiany pliku HOSTS, próbowałam na oba sposoby i żaden nie wychodzi. Po użyciu narzędzia Windows pojawia się błąd: "Instalator napotkał nieoczekiwany błąd podczas instalacji pakietu. Może to wskazywać na problem z pakietem. Kod błędu to 2738." Przy samodzielnej zamianie natomiast nie mogę utworzyć nowego pliku tekstowego, mimo że stary zamieniłam na hosts.old. OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Punkty 1 i 2 pomyślnie wykonane. Co do punktu 3, to aktualnie odczyt braku pliku: Hosts file not found Cytat Przy samodzielnej zamianie natomiast nie mogę utworzyć nowego pliku tekstowego, mimo że stary zamieniłam na hosts.old. Pewnie próbujesz zapisywać plik od razu w tej lokalizacji. To się nie uda bez podniesienia uprawnień. Wykonaj co następuje: - Start > w polu szukania wpisz notepad > z prawokliku na wynik Uruchom jako Administrator. - Wklej do Notatnika domyślną treść i zapisz plik w katalogu C:\Windows\system32\Drivers\etc pod nazwą: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Uwaga: by widzić rozszerzenia plików i uzyskać pewność, że plik zapisał się bez rozszerzenia *.TXT, musisz mieć tę opcję odznaczoną: w eksploratorze Windows > Opcje folderów i wyszukiwania > Widok > Ukrywaj rozszerzenia znanych typów plików. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Nie znam się na tym, ale wydaje mi się, że teraz już jest w porządku. Mam rację? OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Tak jest. Możemy przejść do finalizacji tematu: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio uruchamiałaś z poziomu plików tymczasowych (c:\users\Marta\AppData\Local\Opera\Opera\temporary_downloads\ComboFix.exe). Pobierz ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Marta\Desktop\ComboFix.exe /uninstall 2. Gdy komenda ukończy działanie, usuń pozostałe narzędzia. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Windows\erdnt W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Na koniec aktualizacje. Usuń wszystkie stare Java, Adobe Reader i Safari (przeglądarka jest stara, od dawna nieaktualizowana), zaktualizuj Operę: ==================== Installed Programs ======================= Adobe Reader X (10.1.7) MUI (x32 Version: 10.1.7) Java 7 Update 1 (64-bit) (Version: 7.0.10) Java 7 Update 1 (x32 Version: 7.0.10) Opera 12.15 (x32 Version: 12.15.1748) Safari (x32 Version: 5.34.57.2) Szczegóły aktualizacyjne: KLIK. . Odnośnik do komentarza
burza Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Ja i mój komputer dziękujemy bardzo za pomoc. Jesteś wielka. Ukłony i podziękowania! Odnośnik do komentarza
Rekomendowane odpowiedzi