wojsmol Opublikowano 26 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 Witam Tym razem temat dotyczy komputera mojej znajomej. W tym wypadku jednak KIS 2012 blokował dostęp do "zainfekowanych" stron google.com i facebook'a. Jednym z problemów okazało się włamanie na router i podmiana dns na jego poziomie, został on zresetowany do ustawień fabrycznych i ponownie skonfigurowany. Proszę o kontrolne sprawdzenie logów. Log z GMER był robiony jako ostatni i dopiero przed nim został usunięty sterownik sptd. Pozdrawiam Addition.txt Extras.Txt FRST.txt gmer.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2014 O ile infekcja DNS jest rozwiązana, to jest tu nadal adware do czyszczenia, przy okazji i różne odpadki programowe. 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe (Microsoft Corporation) C:\WINDOWS\system32\cmd.exe R2 IePluginService; C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [566272 2014-04-25] (Cherished Technololgy LIMITED) S1 ElbyCDIO; System32\Drivers\ElbyCDIO.sys [X] S3 Revoflt; system32\DRIVERS\revoflt.sys [X] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1398429479&from=cor&uid=_XXXxXXXx HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1398429479&from=cor&uid=_XXXxXXXx HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1398429479&from=cor&uid=_XXXxXXXx HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1398429479&from=cor&uid=_XXXxXXXx HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9481D85D4CF4B18F&affID=119357&tt=080913_nch&tsp=4999 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9481D85D4CF4B18F&affID=119357&tt=080913_nch&tsp=4999 BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited) BHO: TheSea.TheSeaPlugin - {C585D593-E7F3-4852-A200-561686EE02E4} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - C:\Program Files\Perion\NewTab\newTab.crx [2012-08-27] FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Documents and Settings\Agata\Dane aplikacji\Mozilla\Firefox\Profiles\4ios87jl.default\extensions\quick_start@gmail.com FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKLM\...\Firefox\Extensions: [FFToolbar@bitdefender.com] - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\ DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab HKLM\...\Run: [] => [X] AlternateDataStreams: C:\WINDOWS:F9978C7463C494F8 AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:0CFF5F08 C:\Documents and Settings\Agata\Dane aplikacjiuser_gensett.xml C:\Documents and Settings\Agata\Dane aplikacjiProductTweaks.xml C:\Documents and Settings\Agata\Dane aplikacjiprivacy.xml C:\Documents and Settings\Agata\Dane aplikacji\Any Video Converter C:\Documents and Settings\Agata\Dane aplikacji\Babylon C:\Documents and Settings\Agata\Dane aplikacji\BitComet C:\Documents and Settings\Agata\Dane aplikacji\BitDefender(2) C:\Documents and Settings\Agata\Dane aplikacji\Bradsoft.com C:\Documents and Settings\Agata\Dane aplikacji\CAD-KAS C:\Documents and Settings\Agata\Dane aplikacji\Canon C:\Documents and Settings\Agata\Dane aplikacji\Cool Record Edit Pro C:\Documents and Settings\Agata\Dane aplikacji\DriverCure C:\Documents and Settings\Agata\Dane aplikacji\Elaborate Bytes C:\Documents and Settings\Agata\Dane aplikacji\Elluminate C:\Documents and Settings\Agata\Dane aplikacji\Genieo C:\Documents and Settings\Agata\Dane aplikacji\KeePass C:\Documents and Settings\Agata\Dane aplikacji\KompoZer C:\Documents and Settings\Agata\Dane aplikacji\Opera C:\Documents and Settings\Agata\Dane aplikacji\ParetoLogic C:\Documents and Settings\Agata\Dane aplikacji\QuickScan C:\Documents and Settings\Agata\Dane aplikacji\SolidDocuments C:\Documents and Settings\Agata\Dane aplikacji\sweet-page C:\Documents and Settings\Agata\Dane aplikacji\systweak C:\Documents and Settings\Agata\SendTo\Znajomy Xfire.lnk C:\Documents and Settings\All Users\Dane aplikacji\bdinstall.bin C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BitDefender C:\Documents and Settings\All Users\Dane aplikacji\G DATA C:\Documents and Settings\All Users\Dane aplikacji\ParetoLogic C:\Documents and Settings\All Users\Dane aplikacji\SolidDocuments C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\TP-LINK C:\Documents and Settings\All Users\Dane aplikacji\Vextractor C:\Documents and Settings\All Users\Menu Start\Programy\McAfee Security Scan Plus C:\Program Files\uninst-Particular.exe C:\Program Files\mozilla firefox\browser\searchplugins\sweet-page.xml C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\Program Files\Perion C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloneCDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PWRISOVM.EXE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f CMD: netsh firewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj instalacje sponsorowane / adware McAfee Security Scan Plus, pdfforge Toolbar v4.6, The Sea App (Internet Explorer), WPM18.8.0.212 oraz stare aplikacje Adobe Flash Player 11 ActiveX, Skaner on-line mks_vir, Java 7 Update 15. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone i należy je na powrót aktywować. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy sweet-page i inne niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
wojsmol Opublikowano 27 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2014 WitamPrzed przystąpieniem do działań mam jedno pytanie. Co na celu ma ta linijka w fixlist.txt: (Microsoft Corporation) C:\WINDOWS\system32\cmd.exe Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2014 Zakończenie uruchomionego procesu linii komend. Odnośnik do komentarza
wojsmol Opublikowano 28 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 28 Kwietnia 2014 Witam 1. zrobione 2. pdfforge Toolbar v4.6 i Java 7 Update 15 zgłaszają błędy braku odpowiednich plików msi. Reszta programów odinstalowana. 3. zrobione 4. zrobione 5. zrobione 6. zrobione Logi w załącznikach. Pozdrawiam FRST.txt AdwCleanerS0.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 29 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2014 Kończymy: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. FF Plugin: @java.com/DTPlugin,version=10.15.2 - C:\WINDOWS\system32\npDeployJava1.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File CMD: del /q C:\WINDOWS\system32\sqlite3.dll CMD: del /q "C:\Documents and Settings\Agata\Pulpit\cnvvhyp3.exe" CMD: del /q "C:\Documents and Settings\Agata\Pulpit\Shortcut.txt" CMD: rd /s /q "C:\Documents and Settings\Agata\Pulpit\FRST-OlderVersion" CMD: rd /s /q "C:\Documents and Settings\Agata\Pulpit\Stare dane programu Firefox" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Oporne programy oparte o MSI usuń za pomocą tego narzędzia: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz je na liście > Dalej. 3. Uruchom TFC - Temp Cleaner. 4. Usuń używane narzędzia za pomocą DelFix. 5. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
wojsmol Opublikowano 1 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2014 Witam Ostatnie zalecenia wykonane. Temat jako rozwiązany można zamknąć. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi