Skocz do zawartości

Niechciana przeglądarka


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Qooqlle? I nie został podany pełny zestaw obowiązkowych logów, zabrakło sprawdzenia pod kątem rootkitów via GMER. Przechodząc do usuwania tego co widzę aktualnie:

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
SRV - File not found [Auto | Stopped] --  -- (vtigercrm504)
SRV - File not found [On_Demand | Stopped] --  -- (sftvsa)
SRV - File not found [Auto | Stopped] --  -- (sftlist)
SRV - File not found [On_Demand | Stopped] --  -- (osppsvc)
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - File not found [Auto | Stopped] --  -- (cvhsvc)
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O3 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Ewa\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe ()
O4 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003..\Run: [EA Core]  File not found
O4 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003..\Run: [Rubin]  File not found
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/A/7/D/A7D1EBE3-8E78-4CBE-B22B-EEECF9E3A1BC/fhg.CAB" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
[2011-02-19 18:19:25 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Ewa\Dane aplikacji\Mozilla\Firefox\Profiles\4usc2pf6.default\searchplugins\search.xml
[2010-07-01 11:40:40 | 002,131,336 | ---- | C] (Ask.com                                                      ) -- C:\Program Files\Common Files\AskToolbarInstaller.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Ewa\Ustawienia lokalne\Temp\is799009782\AInstaller.exe"=-
"C:\Program Files\TorrenTopia\btdl\downloader.tt"=-
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przez Wykonaj skrypt. System będzie restartował. Na koniec otrzymasz log.

 

2. Na liście zainstalowanych programów figuruje Google Chrome. Tę przeglądarkę należy ręcznie skonfigurować (KLIK).

 

3. Przejdź do apletu deinstalacji programów i odinstaluj śmiecia sponsoringowego DAEMON Tools Toolbar.

 

4. Są na Pulpicie pliki, które ze względu na wadę nazwy nie są prawidłowo widziane przez Windows, a próba ich kasacji zwróci błąd nie znalezienia plików:

 

File not found -- C:\Documents and Settings\Ewa\Pulpit\CAVA8VRX.

File not found -- C:\Documents and Settings\Ewa\Pulpit\CAUVWTUF.

File not found -- C:\Documents and Settings\Ewa\Pulpit\CAQJYVI1.

File not found -- C:\Documents and Settings\Ewa\Pulpit\CAHWQ5DB.

File not found -- C:\Documents and Settings\Ewa\Pulpit\CACDK9C3.

File not found -- C:\Documents and Settings\Ewa\Pulpit\CA9GGN1X.

File not found -- C:\Documents and Settings\Ewa\Pulpit\CA7I4ZZX.

File not found -- C:\Documents and Settings\Ewa\Pulpit\CA4EG7Z9.

File not found -- C:\Documents and Settings\Ewa\Pulpit\CA2RG54P.

File not found -- C:\Documents and Settings\Ewa\Pulpit\CA2OS0AV.

Spójrz w ten wątek forum na ustęp o kasowaniu plików z wadą nazwy: KLIK. Skorzystaj z programu Delete FXP Files.

 

5. Po wykonaniu wszystkich w/w czynnościach utwórz nowe logi z OTL opcją Skanuj. Dołącz także log powstały z usuwania w punkcie 1.

 

 

 

.

Odnośnik do komentarza

Tak!! Qooqlle, pominęłam tę istotna informację:).

- skonfigurowałam Google Chrome

- usunęłam Daemon Tods Toolbar

- usunęłam 10 plików z nieprawidłową nazwą za pomocą DeleteFXFiles

- załączam nowe logi z OTL,

- oraz log z usuwania w pkt1 http://www.wklej.eu/index.php?id=cbe119ee96

 

Jestem w trakcie sprawdzania pod kątem tootkitów programem GMER 1.0.15.15530. Wiem...raport powinien być na samym początku...ale dołączę go jednak jak tylko program skończy sprawdzać.

Extras.Txt

OTL.Txt

Odnośnik do komentarza

Wszystko zostało prawidłowo wykonane i problem podstawowy z infekcją powinien zniknąć. Aczkolwiek, powstały tu teraz dwa dziwne ukryte foldery niewiadomego pochodzenia:

 

[2011-02-19 22:15:32 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\~0

[2011-02-19 22:27:33 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\~1

Sprawdźmy zawartość tych folderów.

 

1. Uruchom OTL i w oknie Włane opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
 
:Files
DIR /S /A "C:\Documents and Settings\All Users\Dane aplikacji\~0" /C
DIR /S /A "C:\Documents and Settings\All Users\Dane aplikacji\~1" /C
DIR /S /A "C:\Documents and Settings\Ewa\Moje dokumenty\Soft32 Downloads" /C
DIR /S /A "C:\Documents and Settings\All Users\Dane aplikacji\{93F12E73-5AED-46C1-AE84-4E311A4255D1}" /C

Klik w Wykonaj skrypt. Akcja będzie błyskawiczna.

 

2. Zaprezentuj wynikowy log powstały z tej akcji. Nie twórz nowego loga opcją Skanuj.

 

 

.

Odnośnik do komentarza

Wyniki ze skanu są niejasne, tak jakby tych dwóch katalogów już nie było. Włącz pokazywanie ukrytych w Mój komputer > Narzędzia > Opcje folderów > Widok > zaznacz Pokaż ukryte pliki i foldery. Następnie sprawdź czy na dysku są te katalogi, a jeśli są, to wejdź do nich i powiedz co w nich widzisz:

 

C:\Documents and Settings\All Users\Dane aplikacji\~0

C:\Documents and Settings\All Users\Dane aplikacji\~1

Odnośnik do komentarza
W ukrytym folderze o nazwie {93F12E73-5AED-46C1-AE84-4E311A4255D1} znajdują się różności z programu DeleteFXPFiles2009DemoInstall. Miałam problem z pobraniem go dzisiaj, po instalacji programu był komunikat że nazwa mogła ulec zmianie, a sam program został przeniesiony w inne miejsce.

 

Ja nie pytam o ten folder, co w nim jest już wiem ze skanu. Ja mówię o tych dwóch z wężykami.

Odnośnik do komentarza

MBAM możesz sobie zostawić na stałe, to dobry skaner na żądanie. Już ostatnie instrukcje zadaję:

 

1. Aktualizacje oprogramowania:

 

Internet Explorer (Version = 6.0.2900.5512)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20

"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2

"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1

"Gadu-Gadu 10" = Gadu-Gadu 10

"KLiteCodecPack_is1" = K-Lite Codec Pack 5.6.1 (Standard)

  • Ważne szczegóły aktualizacyjne rozpisane tutaj: INSTRUKCJE. Dodatkowo można zaktualizować kodeki.
  • Sugeruję także wymianę GG10 znacznie lżejszym programem z obsługą sieci Gadu. Tu opisy: Darmowe komunikatory.

2. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

I to by było na tyle. Przestrzegam przed kodekami z torrentów i pokrewnych. Jeśli dołączono ten typ w jakiejś paczce, to już budzi podejrzenia.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...