manycom Opublikowano 7 Grudnia 2014 Zgłoś Udostępnij Opublikowano 7 Grudnia 2014 Witam, podczas próby instalacji IE na starszym komputerze przy tymczasowym braku antywirusa, Wujek za dużo razy kliknął "ok" przy podieraniu oprogramowania z nieznanego serwisu w wyniku czego komputer został mocno zainfekowany. Problemy jakie się pojawiły w trakcie użytkowania: 1. spowolnienie pracy przegladarek (chrome i Mozilla) ( otwieranie, wczytywanie i przewijanie działa bardzo powolnie) 2. regularne reklamy an stronach dodane m.in. przez: topdeal, less2pay, ale i inne 3. otwieranie nowych okien z reklamami po dowolnym kliknięciu w obszarze strony 4. regularnie pojawiający się komunikat o nieaktualnej Javie 5. co jakiś czas na ułamek sekundy pojawia się male okienko z komunikatem - niestety zbyt szybko znika żeby zweryfikować czego dotyczy. 6. Powodowało to również brak możliwości pobrania antywirusa ze strony (Kaspersky) - bez końća wczytująca się zakładka pobierania. Oraz to co mnie niepokoi to regularnie dodawane ukryte pliki na dysku C z serii np. "sqmdata01.sqm" Komputer został przeskanowany przez AdwCleaner - znalaziono IePlugin Services, ale usunięcie tego z pozycji AdwCleaner nie daje rezultatu ( po kliknięciu usuń robi się niebieski ekran i następuje restart kompa) Malwarebytes - wykrył dużo różnych "śmieci", które zostały usunięte. Po tym działaniu nowe okna się nie pojawiały i można było ściągnąć i zainstalować Antywirusa co tez zostało zrobione i aktualnie jest zainstalowany Kaspersky Internet Security. Niestety problem powrócił po ok 1 dniu korzystania i pomimo ważnego i działającego Antywira wszystkie problemy z pkt 1-5 nadal występują. Po ponownym przeskanowaniu przez Malwarebytes i usunięciu 3 złośliwych programów sytuacja sie poprawia, nie wyskakują nowe okna i znikają częściowo reklamy, ale po kilku dniach system wraca do takiego samego stanu jak przed usunięciem. W tej chwili są usunięte wszystkie rzeczy znalezione przez Malwarebytes, oraz jeden element (q3s2ngl1), który został wykryty przez Kasperskiego, ale dopiero po usunięciu rzeczy przez Malwarebytes. AdwCleaner nadal znajduje IePlugin Services i nie mogę tego usunąć. W załączeniu przesyłam aktualne logi z: AdwCleaner FRST Logów z GMER nie mogę na obecną chwilę podesłać. po uruchomieniu GMER w trakcie skanowania po ok 10-15 minutach system sie zawiesza całkowicie i nic nie da się zrobić - pozostaje twardy reset. System operacyjny: Windows XP Professional Wersja 2002 SP3 Będę wdzięczny za pomoc w kompletnym usunięciu tego świństwa. Jeśli byłyby niezbedne jakieś dodatkowe logi, działania lub informacje proszę o info. AdwCleanerR8.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2014 Zgłoś Udostępnij Opublikowano 7 Grudnia 2014 W systemie widać szczątki adware, ale nie tylko to - adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do developerskiej i jest wymagana kompleksowana reinstalacja. Przeprowadź następujące działania: 1. Na początek przez Dodaj/Usuń programy odinstaluj adware, stare wersje oraz zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9, Asystent rejestracji usługi Windows Live, AutoUpdate, Bonjour, Google Chrome, McAfee Security Scan Plus, NVIDIA ForceWare Network Access Manager, Skype Toolbars, Skype™ 4.2, websaver, Windows Live installer, Windows Live Messenger, Windows Live Toolbar. NVIDIA ForceWare Network Access Manager to problematyczny i niedopracowany firewall nVidia. Skype 4.x i Windows Messenger są martwe i nie łączą się - Skype został przejęty przez Microsoft, w zeszłym roku zaś usunięto Messengera (zastępuje go najnowszy Skype). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\intere~1\intere~1.dll => c:\docume~1\alluse~1\daneap~1\intere~1\intere~1.dll File Not Found S2 a7ca495b; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1\daneap~1\intere~1\InterenetOptimizerSvc.dll",service S2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe -service [X] S2 ADILOADER; System32\Drivers\adildr.sys [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2025429265-562591055-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414772260&from=cor&uid=SAMSUNGXHD502IJ_S13TJ90Q847410&q={searchTerms} HKU\S-1-5-21-2025429265-562591055-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414772260&from=cor&uid=SAMSUNGXHD502IJ_S13TJ90Q847410&q={searchTerms} BHO: websaver -> {78cb945c-561a-4448-84e7-04c4113cbb42} -> C:\Documents and Settings\All Users\Dane aplikacji\websaver\nT73wTaoTbjrfx.dll No File BHO: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File C:\*.sqm C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Google C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
manycom Opublikowano 8 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Wszystkie powyższe aplikacje zostały odinstalowane i fix zrobiony. W zalaczeniu logi z FRST po wykonaniu czynności. Fixlog.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2014 Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Oraz to co mnie niepokoi to regularnie dodawane ukryte pliki na dysku C z serii np. "sqmdata01.sqm" Zapomniałam poprzednio nadmienić, że te masowo generowane pliki były pochodną instalacji Windows Live Messenger i zaznaczonej w nim opcji "ulepszania usługi": KLIK. To nie powinno być już problemem po deinstalacji wskazanych aplikacji Windows Live i wyczyszczeniu plików skryptem FRST. Aczkolwiek zostawiłam jeden z programów serii Live nie wiedząc czy jest używany, tzn. "Poczta systemu Windows Live". Upewnij się, że w nim nie ma zaznaczonych żadnych opcji tego typu. Czy są jeszcze jakieś problemy? Zadania pomyślnie wykonane. Drobne poprawki na szczątkowe wpisy oraz wypięcie Dr. Web z Dziennika zdarzeń (wymagane aż dwa skrypty, gdyż operacja może być wykonana tylko po tymczasowej deaktywacji usługi Dziennika): 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2025429265-562591055-725345543-1003\...\Run: [MsnMsgr] => "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe" CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\user\Dane aplikacji\Skype C:\Program Files\Windows Live Toolbar CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt C:\WINDOWS\system32\config\Doctor W.evt RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\user\Doctor Web RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. 3. Przedstaw oba pliki fixlog.txt. Odnośnik do komentarza
manycom Opublikowano 8 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 wykonane obydwa skrypty. W pośpiechu nie zdążyłem skopiować pierwsego pliku fixlog :/ W zalaczeniu fixlog z drugiego skryptu. Serdeczne dziękii za pomoc. Liczę że na tym już się skończy. Wygląda na to, że wszystko jest w porządku i problemów przynajmniej narazie nie widać. kompa podlaczylem teraz do sieci i wgrywam niezbedne aplikacje. przez pare dni bede obserwował czy nic się nie odradza i dam znać do końca tygodnia. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2014 Zgłoś Udostępnij Opublikowano 9 Grudnia 2014 W pośpiechu nie zdążyłem skopiować pierwsego pliku fixlog :/ Wszystkie logi są archiwizowane w C:\FRST\Logs i tam powinien być starszy Fixlog_data_czas.txt. Ale już to sobie darujmy, on musiał się wykonać, bo w drugim przeszło gładko usuwanie plików Dziennika zdarzeń wstawionych przez Dr. Web. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
manycom Opublikowano 14 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Dzięki wielkie za pomoc. Problem rozwiązany. Wszystko działa jak powinno. Odnośnik do komentarza
Rekomendowane odpowiedzi