Trigado Opublikowano 21 Września 2013 Zgłoś Udostępnij Opublikowano 21 Września 2013 Witam, Zwracam się z prośbą o weryfikację załączonych logów pod kątem obecności rootkitów i wirusów. Zostałem chyba zainfekowany trojanami, które powodują, że obie przeglądarki, które używam: IE oraz Firefox otwierają domyślną stronę startową: hxxp://www.qvo6.com i nie sposób zmienić ją na domyślną. Dokonałem czyszczenia programem Malwarebytes Anti-Malware, który usunął jakieś trojany ale przeglądarki wciąż otwierały się na w/w stronie. Toteż usunąłem linki w skrótach do otwierania przeglądarek kierujące do tej strony i to pomogło. Ale Malwarebytes Anti-Malware wyświetla komunikaty o zablokowaniu portu do strony 111.111.111 oraz jakąś informację o pandora.exe Ręcznie usunąłem ostatnio zainstalowane programy w Panelu Sterowania. Dokonałem także czyszczenia programem CCleaner. Chciałem załączyć także logi z GMER'a ale niestety spowodował on awarię systemu (niebieski ekran z komunikatem o zrzucie pamięci). Chciałbym się upewnić że w systemie nic nie zostało więc proszę o sprawdzenie logów. OTL.Txt Extras.Txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 22 Września 2013 Zgłoś Udostępnij Opublikowano 22 Września 2013 Nie dodałeś raportu Addition FRST, podany duplikat Extras OTL (usuwam). qvo6 to nie trojan/wirus, to zwykłe adware. I tu sprawy nie są ukończone. Nadal widać dużo wpisów tego adware. Pandora Service z kolei to rodzaj adware / zbędnik instalowany z KMPlayer, ale ze spisu zainstalowanych programów wynika, że już to odinstalowałeś. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST9750423AS_5WS0TT0KXXXX5WS0TT0K&ts=1379786357 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST9750423AS_5WS0TT0KXXXX5WS0TT0K&ts=1379786357 URLSearchHook: (No Name) - {3bbd3c14-4c16-4989-8366-95bc9179779d} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9750423AS_5WS0TT0KXXXX5WS0TT0K&ts=1379768435 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9750423AS_5WS0TT0KXXXX5WS0TT0K&ts=1379768435&type=default&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9750423AS_5WS0TT0KXXXX5WS0TT0K&ts=1379768435&type=default&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9750423AS_5WS0TT0KXXXX5WS0TT0K&ts=1379768435&type=default&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9750423AS_5WS0TT0KXXXX5WS0TT0K&ts=1379768435&type=default&q={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=D6CAF655F9B73B43&affID=120695&tsp=5004 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9750423AS_5WS0TT0KXXXX5WS0TT0K&ts=1379786306&type=default&q={searchTerms} Toolbar: HKLM - FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Users\Sławek\AppData\Roaming\Mozilla\Firefox\Profiles\63u36efb.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin64-0.98.38.dll No File Toolbar: HKLM-x32 - FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Users\Sławek\AppData\Roaming\Mozilla\Firefox\Profiles\63u36efb.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.98.38.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9750423AS_5WS0TT0KXXXX5WS0TT0K&ts=1379768448 S3 AthBTPort; system32\DRIVERS\btath_flt.sys [x] S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [x] S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [x] S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [x] S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [x] S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [x] S3 BtFilter; system32\DRIVERS\btfilter.sys [x] C:\Users\Sławek\AppData\Local\Google C:\Users\Sławek\AppData\Roaming\DesktopIconGoodgame C:\ProgramData\Babylon C:\ProgramData\DSearchLink C:\ProgramData\eSafe C:\User Data Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (ma powstać też plik Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
Trigado Opublikowano 23 Września 2013 Autor Zgłoś Udostępnij Opublikowano 23 Września 2013 Przepraszam za brak raportu Addition FRST. Musiał mi umknąć. Przeprowadziłem wymagane operacje. W załączeniu przedstawiam 4 pliki z logami. Serdecznie dziękuję za dotychczasową pomoc. Addition.txt AdwCleanerS0.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Września 2013 Zgłoś Udostępnij Opublikowano 23 Września 2013 Prawie wszystko zrobione. Dwa puste wejścia nie zostały usunięte (błąd FRST). Drobne poprawki. Otwórz Notatnik i wklej w nim: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Trigado Opublikowano 23 Września 2013 Autor Zgłoś Udostępnij Opublikowano 23 Września 2013 Końcowy log pod spodem. Jeszcze raz serdecznie dziękuję. Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 23-09-2013 01 Ran by Sławek at 2013-09-24 01:22:02 Run:2 Running from C:\Users\Sławek\Desktop\Downloads Boot Mode: Normal ============================================== Content of fixlist: ***************** HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f ***************** HKLM\System\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => Key deleted successfully. ========= reg delete "HKLM\SOFTWARE\Microsoft\Internet ========= . Odnośnik do komentarza
picasso Opublikowano 24 Września 2013 Zgłoś Udostępnij Opublikowano 24 Września 2013 Skrypt się nie wykonał poprawnie. Zauważ, że te dwie linie z komendami Reg: zostały wklejone do Notatnika w błędny sposób, zostało zrobione przełamanie linii, w związku z tym FRST "uciął" komendę. Powtórz akcję. Do Notatnika wklej to i uważnie patrz czy jest identyczne formatowanie (2 linie a nie 4): Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Trigado Opublikowano 24 Września 2013 Autor Zgłoś Udostępnij Opublikowano 24 Września 2013 Faktycznie przy poprzednich próbach wykonania skryptu FRST zapętlał się. Teraz rozumiem dlaczego tak się działo. Wkleiłem 2 linie skryptu a wynik końcowy prezentuję poniżej: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 23-09-2013 01 Ran by Sławek at 2013-09-24 14:33:14 Run:3 Running from C:\Users\Sławek\Desktop\Downloads Boot Mode: Normal ============================================== Content of fixlist: ***************** Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f ***************** ========= reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f ========= Operacja ukoäczona pomylnie. ========= End of Reg: ========= ========= reg delete "HKLM\SOFTWARE\Wow6432Node\\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f ========= Bť¤D: Nieprawidowa nazwa klucza. Aby pozna† spos˘b uľycia, wpisz "REG DELETE /?". ========= End of Reg: ========= Odnośnik do komentarza
picasso Opublikowano 24 Września 2013 Zgłoś Udostępnij Opublikowano 24 Września 2013 Ech, tym razem ja się pomyliłam, omyłkowo zaplątał mi się podwójny \\. Poprawka: Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f . Odnośnik do komentarza
Trigado Opublikowano 30 Września 2013 Autor Zgłoś Udostępnij Opublikowano 30 Września 2013 Poniżej finalny log: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 23-09-2013 01 Ran by Sławek at 2013-09-25 11:18:22 Run:4 Running from C:\Users\Sławek\Desktop\Downloads Boot Mode: Normal ============================================== Content of fixlist: ***************** Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f ***************** ========= reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar" /v {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} /f ========= Operacja ukoäczona pomylnie. ========= End of Reg: ========= ==== End of Fixlog ==== . Odnośnik do komentarza
picasso Opublikowano 3 Października 2013 Zgłoś Udostępnij Opublikowano 3 Października 2013 Tak jak prawi log: "operacja ukończona pomyślnie". Możemy więc kończyć: 1. Uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\Sławek\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Kilka dni upłynęło, porównaj co wymaga aktualizacji: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się