Komputer po infekcji wirusem "Police e-crime unit"

[picek]

Witam Was drodzy forumowicze. Zwracam się do Was z prośbą o rozruszanie mojego, nieco zastałego po infekcji laptopa. Jakiś czas temu złapał ifekcje typu "e-crime unit", którą usunąłem przy pomocy Kaspersky Virus Removal Tool. Po tym epizodzie komputer znacząco zwolnił, miałem problemy z zaporą systemową i firewall'em - były wyłączone, próby włączenia w zaporach systemowych kończyły się niepowodzeniem i sporo musiałem się nagłówkowac, żeby zaczęły działac na nowo. Aktualizacje również ucierpiały i przez jakiś czas był problem z pobraniem i zaktualizowaniem systemu. Kolejny problem stanowi częste zawieszanie sie FireFox'a przy otwieraniu nowych witryn. Nie wiem czy to też ma coś wspólnego z tym, ale zauważyłem ostatnio, że nie mogę zmienic atrybutu folderów. Wszystkie foldery są "tylko do odczytu" i za chiny nie chcą byc inne... Próbowałem na rózne sposoby to zmienic. Chciałby jeszcze nadmienic, że potraktowałem swój komputer ComboFix'em, choc nie wiem, czy dobrze zrobiłem. Oczywiście logi załaczam do wglądu. To chyba wszystko. Prosiłbym o odrobine zainteresowania moim tematem i jakieś podpowiedzi co z tym fantem zrobic...

ComboFix2.txt

ComboFix-quarantined-files.txt

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

gmer.txt

[picasso]

Po tym epizodzie komputer znacząco zwolnił, miałem problemy z zaporą systemową i firewall'em - były wyłączone, próby włączenia w zaporach systemowych kończyły się niepowodzeniem i sporo musiałem się nagłówkowac, żeby zaczęły działac na nowo. Aktualizacje również ucierpiały i przez jakiś czas był problem z pobraniem i zaktualizowaniem systemu.

Oznak infekcji czynnej brak i powątpiewam, iż stan obecny komputera (w kontekście spowolnienia) jest jej wynikiem. Notowalne jedynie szczątki adware i wpisy odpadkowe, które nie mają znaczenia. Jeśli chodzi jednak o naruszoną Zaporę i Windows Update, to log nieznacznie sugeruje, iż mogła tu być infekcja ZeroAccess, która para się dewastacją tych usług. Owego "główkowania" nie rozpisałeś, co konkretnie robiłeś w celu rozwiązania problemu.

 

 

Kolejny problem stanowi częste zawieszanie sie FireFox'a przy otwieraniu nowych witryn.

Firefox będzie tu odświeżany, zobaczymy czy coś to zmieni.

 

 

Nie wiem czy to też ma coś wspólnego z tym, ale zauważyłem ostatnio, że nie mogę zmienic atrybutu folderów. Wszystkie foldery są "tylko do odczytu" i za chiny nie chcą byc inne...

O których folderach mowa?

 

 

---

Na razie następujące czynności wstępne:

 

1. Przez Panel sterowania odinstaluj stare programy (Ad-aware może mieć tu wpływ na szybkość pracy):

 

==================== Installed Programs ======================
 

Ad-Aware (HKLM\...\Ad-Aware) (Version: - Lavasoft)

Ad-Aware (Version: 8.1.0 - Lavasoft) Hidden

Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.9.900.170 - Adobe Systems Incorporated)

Adobe Flash Player 13 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 13.0.0.206 - Adobe Systems Incorporated)

Adobe Reader 9.5.5 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A95000000001}) (Version: 9.5.5 - Adobe Systems Incorporated)

Adobe Shockwave Player 11.6 (HKLM\...\Adobe Shockwave Player) (Version: 11.6.3.633 - Adobe Systems, Inc.)

 

2. Otwórz Notatnik i wklej w nim:

 

Winsock: Catalog5 01 %SystemRoot%\System32\mswsock.dll [223232] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
R0 63478669; C:\Windows\System32\DRIVERS\63478669.sys [133208 2013-05-12] (Kaspersky Lab ZAO)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 mcdbus; system32\DRIVERS\mcdbus.sys [X]
S3 RTL8187; system32\DRIVERS\RTL8187.sys [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=6C7F001E65365590&affID=119357&tsp=4985
URLSearchHook: HKLM - (No Name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No File
SearchScopes: HKLM - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=6C7F001E65365590&affID=119357&tsp=4985
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=6C7F001E65365590&affID=119357&tsp=4985
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\mozilla firefox\plugins
C:\Users\piotr\AppData\Roaming\Babylon
C:\Users\piotr\AppData\Roaming\OpenCandy
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\System32\DRIVERS\63478669.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Konkretnie przeczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. Wypowiedz się, czy po wdrożnych operacjach są jakieś zmiany.

 

 

 

 

.