Podejrzenie, ze mam zasyfiony laptop

[stam222]

Witajcie.

Kilka dni temu zainstalowałem sobie kilka programów do "łamania haseł". Wiem, że to mało konkretne informacje ale tak było. Pobrałem gdzieś z www, zainstalowałem po czym odinstalowałem (revouninstal). Napewno jednym z tych programów był Cain&Abel innych nie pamietam. W czasie którejś instalacji Microsoft Security Essencial wykrół jakieś niebezpieczne "coś" (tez nie pamiętam co to bylo) i od razu usunąłem. Po kilku dniach zrobiłem pełne skanowanie tymże programem i też coś wykrył i też usunąłem i też nie pamiętam co to było.

Tak czy owak, pewności nie mam ale tylko podejrzenie, że coś jest nie tak.

Niczym szczególnym się to nie objawia ale zobaczyłem, ze na przykład przy kursorze takie kręcące się kólko prawie cały czas kręci a wcześniej tego nie  bylo.

Wstawiłem logi i mam nadzieje, ze wszystko ok. Jakby ktoś mógł zerknąc to byłbym bardziej niż wdzięczny.

Extras.Txt

Addition.txt

FRST.txt

OTL.Txt

[picasso]

Infekcję widzę, plik EPUHelp.exe w Autostarcie. Ale to nie wszystko. System jest potwornie zaśmiecony adware. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Support\couponsupport.exe
() C:\Program Files (x86)\Bizzybolt\updateBizzybolt.exe
(Pandora.TV) C:\Program Files (x86)\PANDORA.TV\PanService\KMPService.exe
(PandoraTV) C:\Program Files (x86)\PANDORA.TV\PanService\KMPProcess.exe
Startup: C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EPUHelp.exe ()
HKLM-x32\...\Run: [] - [x]
AppInit_DLLs-x32: c:\progra~2\psupport\psupport.dll => C:\Program Files (x86)\PSupport\psupport.dll [857600 2013-10-06] ()
R2 Update Bizzybolt; C:\Program Files (x86)\Bizzybolt\updateBizzybolt.exe [66848 2013-11-20] ()
Task: {00BFFAD9-9170-45F5-9D8E-304B37AE4437} - System32\Tasks\EPUpdater => C:\Users\Maciek\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-09-01] ()
Task: {42C3C10C-5C33-43B7-9B28-56A3FEF57AF4} - System32\Tasks\{CE7B84B1-9D8D-4DB7-AABC-F6BDEF69A31F} => I:\wordpad.exe
Task: {4B8B55EF-30C0-4F36-B3C2-AD63A157B040} - System32\Tasks\couponsupport-S-649636217 => c:\support\couponsupport.exe [2013-01-05] ()
Task: {59BA8DE9-D06E-46B5-9FF5-65D844F35798} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-03-06] (Google Inc.)
Task: {61829D4B-3A45-44F8-A9F6-B94DAAEDF7D5} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-03-06] (Google Inc.)
Task: C:\Windows\Tasks\couponsupport-S-649636217.job => c:\support\couponsupport.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms}
SearchScopes: HKLM - {E2958F71-2B50-4864-811E-2F39556414E9} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - {E2958F71-2B50-4864-811E-2F39556414E9} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=horus
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=horus
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.dalesearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=1CDA0CEEE699CB7F&affID=124440&tsp=5008
SearchScopes: HKCU - {E2958F71-2B50-4864-811E-2F39556414E9} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
BHO: SaveClicker - {E3F3FD3E-0573-D121-9A5D-F6E1CE8A5AAF} - C:\Program Files (x86)\SaveClicker\Me.x64.dll ()
BHO-x32: Bizzybolt - {13070af0-bc6c-4185-8baa-40a4cf05b323} - C:\Program Files (x86)\Bizzybolt\Bizzyboltbho.dll (Bizzybolt)
BHO-x32: No Name - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No File
BHO-x32: SaveClicker - {E3F3FD3E-0573-D121-9A5D-F6E1CE8A5AAF} - C:\Program Files (x86)\SaveClicker\Me.dll ()
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKCU - No Name - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {00000000-5736-4205-0008-F7ED0776FB27} - No File
Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npBitCometAgent.dll (BitComet)
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
U4 eabfiltr;
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [x]
C:\Program Files (x86)\IminentToolbar
C:\ProgramData\a56c2342e434e434
C:\Users\Maciek\AppData\Local\Comodo
C:\Users\Maciek\AppData\Local\Google
C:\Users\Maciek\AppData\Local\Packages
C:\Users\Maciek\AppData\Local\Torch
C:\Users\Maciek\AppData\Roaming\BabSolution
C:\Users\Maciek\Downloads\SoftonicDownloader_for_cain-abel.exe
C:\Users\Administrator
C:\Users\HomeGroupUser$
C:\Users\Gość
C:\Windows\System32\Tasks\{1ACFCBDB-325E-4994-8827-2E5C3D2BDB06}
AlternateDataStreams: C:\Windows:9DAA25326793C57A
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {BA14329E-9550-4989-B3F2-9732E92D17CC} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania (nie za pomocą Revo) odinstaluj adware: Bizzybolt, CouponSupport, DaleSearch Chrome Toolbar, DefaultTab, Optimizer Pro v3.1, Product Support 1.74.b1377, SaveClicker, VIS. Przy okazji pozbądź się też zbędnika instalowanego z KMPlayer, czyli KMP Service (to inna postać PANDORA.TV).

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia będą potem do reinstalacji.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper (Google Chrome nie jest tu zainstalowane) > Dalej.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

.

[stam222]

Jesteś wielka Aretka, buziaki i zaczynam sie brać za w/w instrukcje

 

 

Ze mna to trzeba chyba jak z dzieckiem, złapać za rączke i przeprowadzić przez ulice.

już w pkt 1 sie pogubiłem

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Obok znaczy gdzie? Niby zapisałem w folderze FRST ale wyskakuje okienki, ze plik fixlist.txt powinien byc w tym samym miejscu gdzie FRST. Wiem szefowa, że dla Ciebie pewne rzeczy są tak oczywiste, że nawet nie wspominasz ale dla mnie to trza tak bardziej łopatologicznie.

W obawie przed większymi problemami do dalszych kroków i pkt nie doszedłem i nic nie robiłem, czekam na szczegółowe instrukcje.... Wiem, że masz mnie dość

[picasso]

"Obok" to znaczy w tym samym folderze, z którego uruchamiasz FRST, czyli:

 

Running from C:\Users\Maciek\Downloads

 

A folder C:\FRST kompletnie nie związany z zadaniem.

 

 

 

.

[stam222]

Aretka, gdzie ja mam to zapisć?

[picasso]

stam222 przecież Ci podałam ścieżkę.... Uruchomiłeś FRST z folderu pobierania C:\Users\Maciek\Downloads, więc skoro tam jest program FRST, to tam ma być zapisany plik fixlist.txt.

[stam222]

Ale tam jest tylko exe

W tym folderze pabranymn mam zapisać ten txt?

[picasso]

Właśnie dokładnie tam masz zapisać plik. W folderze Downloads ma być plik FRST64.exe oraz plik fixlist.txt.

[stam222]

Chyba mnie się udało wykonać wszystkie kroki instrukcji.

Dołączam logi.

Mam jednak nadzieję, że teraz już wszystko OK.

AdwCleanerR2.txt

FRST.txt

[picasso]

Zapomniałeś dołączyć plik fixlog.txt. Plik jest w tym samym katalogu, z którego uruchamiałeś FRST, czyli C:\Users\Maciek\Downloads.

[stam222]

Cześć.

Mam nadzieje, że o ten załącznik Tobie chodziło. Z kosza go już wyciągałem właśnnie .

Fixlog.txt

[picasso]

stam222, ten log to nie ten log. Prosiłam o załączenie pliku fixlog.txt, który powstał na samym początku a nie o powtarzanie instrukcji. O ile pamiętam, uprzednio wklejony w poście skrypt wykonał się poprawnie. A teraz jest plik pokazujący wszędzie "not found", co oznacza, że ponownie wykonałeś instrukcję. Tego się nie robi, skrypty są jednorazowe, nie przetworzą po raz drugi tego samego. Nawet zasady działu (KLIK) o tym mówią, by nie powtarzać skryptów i instrukcji.

 

Podaj pierwotny fixlog.txt, pierwszy z serii. Plik ten został już zarchiwizowany i siedzi pod nieco inną nazwą (z datą jako częścią) w katalogu C:\FRST.

 

 

 

.

[stam222]

Jejku, przepraszam najmocniej.

C:\FRST\Logs jest/są 4 logi z innymi datami a co pewnie za tym idzie 4x razy powtórzyłem instrukcje choć nie powinienem. Czekając na Twoje odpowidzi i analize logów czytałem inne tematy w tym dziale i dosedłem do wniosku, że całkiem dobrze odrobilem prace domową bo widze , że wiekszość ludzi tutaj pprostu wskakuje i prosi o help. No ale po tym co sie zrobilo (co ja zrobilem) już nie uważam, że to zad. dom bylo dobrze odrobione.Myśłe, że najlepiej będzie jak wkleje wszystkie 4 logi a Ty bedziesz wiedziała który jest prawidłowy, reszte usuń.

 

Wielkie dzięki za Twój czas.

Jesteś mistrzem.

Fixlog_30-01-2014_07-47-05.txt

[picasso]

C>FRST>LOGI jest/są 4 logi z innymi datami a co pewnie za tym idzie 4x razy powtórzyłem instrukcje choć nie powinienem.

Chodziło tylko o fixlog.txt (wyniki przetwarzania skryptu), a nie archiwalne skany główne FRST. Usuwam niepotrzebne załączniki zostawiając właściwy plik fixlog z usuwania. Instrukcję powtórzyłeś tylko raz, a nie 4 razy. Są dwa logi z uruchamiania skryptu (jeden zasadniczy, jeden "wadliwy") oraz dwa logi ze skanów (to odpowiada historii tematu).

 

 

Niczym szczególnym się to nie objawia ale zobaczyłem, ze na przykład przy kursorze takie kręcące się kólko prawie cały czas kręci a wcześniej tego nie bylo.

Czy po przeprowadzonym tu czyszczeniu nadal występuje ten efekt?

 

 

---

Na podstawie logów: prawie wszystko wykonane, ale trzeba wprowadzić poprawki. Nowe zadania:

 

1. Rzeczy, które nie wyglądają na wykonane, lub są wątpliwości w tej kwestii:

- Został pokazany log AdwCleaner z opcji Szukaj (AdwCleanerR2.txt), a nie z opcji Usuń (AdwCleanerS2.txt). Czy na pewno opcja Usuń była zastosowana?

- W procesach nadal uruchamia się PANDORA.TV. Nie wygląda na to, że odinstalowałeś KMP Service. To do wdrożenia.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\Support
C:\Program Files (x86)\PSupport
C:\Program Files (x86)\SaveClicker
C:\ProgramData\SaveClicker
C:\Windows\System32\Tasks\{0892C50B-7C73-4FCF-8C99-C0D30611D46D}
Reg: reg delete HKLM\SOFTWARE\MATS /f
CMD: rd /s /q C:\MATS
CMD: rd /s /q C:\Users\Maciek\Downloads\FRST-OlderVersion

 

Plik zapisz pod nazwą fixlist.txt w katalogu C:\Users\Maciek\Downloads. Uruchom FRST i kliknij w Fix. W katalogu C:\Users\Maciek\Downloads powstanie plik fixlog.txt. Przedstaw go.

 

3. Zrób nowy skan FRST (bez Addition). Log również powstanie w katalogu C:\Users\Maciek\Downloads. Przedstaw go.

 

 

 

.

[stam222]

Z tego ADW Cleaner'a to rzeczywiście chyba nie wcisnąłem "usuń" ale to dlatego, że było napisane, żeby zaznaczyć co ma być usunięte. U mnie niec nie pokazało się więc nic nie zaznaczyłem i nie wcisnąłem "usuń". Teraz tak zrobiłem.

Zastosowałem się do instrukcji logi w załączniku.

 

Czy po przeprowadzonym tu czyszczeniu nadal występuje ten efekt?

Już po pierwszych czynnościach to kółeczko się nie pokazuje

AdwCleanerS0.txt

Fixlog2.txt

[picasso]

Zapomniałeś dostarczyć ten skan:

 

3. Zrób nowy skan FRST (bez Addition). Log również powstanie w katalogu C:\Users\Maciek\Downloads. Przedstaw go.

 

 

.

[stam222]

Czesc.

Miło Cię znowu widzięć.Skan załączony i przepraszem, że nie dołączyłem wcześniej.

PS

Nowe objawy.

2x ostanio zawiesił sie przy samym rozruchu ( tu gdzie mam hasło zapisane dos, bios? nie pisze o haśle w winowsie)

Mam wrazenie, że kątem oka dostrzegam mrugajęca ikony na pulpicie. To jest jakiś ułamek sekundy, jakaś mikro sekunda. Skaczą różne ikony a nie ciągle jedna.

Dziś otworzył się winows w jakimś takim ubogim wydaniu, dolny pasek jakiś taki biały, dziwne. Chciałem restartowac i po wciśnieciu "zamknij" tak jak zawsze zniknęły wszystkie ikony ale tapeta i kursor (kursor aktywny) pozostały jeszcze na kilka minut. Wciśniecie przycisku windowsa nie dzialało, chciałem otworzyć menagera (ctrl+alt+del) też nie działało. Rozważałem opcje brutalnego zamkniecia ale odszedłem od laptopa i w końcu się zamknął. Po ponownym uruchomieniu dolny pasek juz w normalnych barwach.

Pozdrawiam i dziękuje.

FRST.txt

[picasso]

Wszystko wykonane i możemy zakończyć sprawy:

 

1. Mini poprawka. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt w katalogu C:\Users\Maciek\Downloads. Uruchom FRST i kliknij w Fix.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj:

 

C:\FRST

C:\Users\Maciek\Downloads\FRST64.exe

 

Jeśli pojawi się jakiś komunikat o "usuwaniu plików systemowych", potwierdź. W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. O ile nic się nie zmieniło od pierwszego posta, do aktualizacji te programy:

 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (x32 Version: 10.0.22.87 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla FF

Java 7 Update 7 (64-bit) (Version: 7.0.70 - Oracle)

Java 7 Update 9 (x32 Version: 7.0.90 - Oracle)

Java™ 6 Update 14 (64-bit) (Version: 6.0.140 - Sun Microsystems, Inc.)

Java™ 6 Update 26 (x32 Version: 6.0.260 - Oracle)

Mozilla Firefox 25.0.1 (x86 pl) (x32 Version: 25.0.1 - Mozilla)

OpenOffice.org 3.2 (x32 Version: 3.2.9502 - OpenOffice.org)

 

Szczegóły aktualizacji: KLIK. W skrócie: odinstaluj wszystkie wersje Adobe i Java, zastąp najnowszymi (o ile potrzebne), zaktualizuj OpenOffice.org (by mógł korzystać z najnowszej Java) i Liska.

 

 

Nowe objawy.

Nie jestem w stanie nic na ten temat powiedzieć. Jeśli to były zdarzenia jednorazowe, to może tak należy je traktować.

 

 

 

.

[stam222]

Witaj,

Tym razem się przyłożyłem i po koleji zrobiłem punkt po punkcie.

Zostawiłem pkt.5 na później bo nie bardzo mój net się nadaje na takie aktualizacje ale za tydzień się tym zajmę.

Szefowa, jestes wielka i bardzo Ci dziękuje za czas i pracę jaką wykonałaś.

Co ja więcej mogę powiedzieć....

Dziękuję Aretka.