margret38 Opublikowano 19 Lutego 2011 Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Przeglądarka pojawiła się prawdopodobnie po pobraniu filmu z kodekiem, który zainstalowałam. Oto wygenerowane pliki tekstowe z OTL Proszę o pomoc w wywaleniu intruza Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2011 Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Qooqlle? I nie został podany pełny zestaw obowiązkowych logów, zabrakło sprawdzenia pod kątem rootkitów via GMER. Przechodząc do usuwania tego co widzę aktualnie: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- -- (vtigercrm504) SRV - File not found [On_Demand | Stopped] -- -- (sftvsa) SRV - File not found [Auto | Stopped] -- -- (sftlist) SRV - File not found [On_Demand | Stopped] -- -- (osppsvc) SRV - File not found [Disabled | Stopped] -- -- (HidServ) SRV - File not found [Auto | Stopped] -- -- (cvhsvc) O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O3 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Ewa\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003..\Run: [EA Core] File not found O4 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003..\Run: [Rubin] File not found O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/A/7/D/A7D1EBE3-8E78-4CBE-B22B-EEECF9E3A1BC/fhg.CAB" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) [2011-02-19 18:19:25 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Ewa\Dane aplikacji\Mozilla\Firefox\Profiles\4usc2pf6.default\searchplugins\search.xml [2010-07-01 11:40:40 | 002,131,336 | ---- | C] (Ask.com ) -- C:\Program Files\Common Files\AskToolbarInstaller.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Ewa\Ustawienia lokalne\Temp\is799009782\AInstaller.exe"=- "C:\Program Files\TorrenTopia\btdl\downloader.tt"=- :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przez Wykonaj skrypt. System będzie restartował. Na koniec otrzymasz log. 2. Na liście zainstalowanych programów figuruje Google Chrome. Tę przeglądarkę należy ręcznie skonfigurować (KLIK). 3. Przejdź do apletu deinstalacji programów i odinstaluj śmiecia sponsoringowego DAEMON Tools Toolbar. 4. Są na Pulpicie pliki, które ze względu na wadę nazwy nie są prawidłowo widziane przez Windows, a próba ich kasacji zwróci błąd nie znalezienia plików: File not found -- C:\Documents and Settings\Ewa\Pulpit\CAVA8VRX.File not found -- C:\Documents and Settings\Ewa\Pulpit\CAUVWTUF.File not found -- C:\Documents and Settings\Ewa\Pulpit\CAQJYVI1.File not found -- C:\Documents and Settings\Ewa\Pulpit\CAHWQ5DB.File not found -- C:\Documents and Settings\Ewa\Pulpit\CACDK9C3.File not found -- C:\Documents and Settings\Ewa\Pulpit\CA9GGN1X.File not found -- C:\Documents and Settings\Ewa\Pulpit\CA7I4ZZX.File not found -- C:\Documents and Settings\Ewa\Pulpit\CA4EG7Z9.File not found -- C:\Documents and Settings\Ewa\Pulpit\CA2RG54P.File not found -- C:\Documents and Settings\Ewa\Pulpit\CA2OS0AV. Spójrz w ten wątek forum na ustęp o kasowaniu plików z wadą nazwy: KLIK. Skorzystaj z programu Delete FXP Files. 5. Po wykonaniu wszystkich w/w czynnościach utwórz nowe logi z OTL opcją Skanuj. Dołącz także log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
margret38 Opublikowano 19 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Tak!! Qooqlle, pominęłam tę istotna informację. - skonfigurowałam Google Chrome - usunęłam Daemon Tods Toolbar - usunęłam 10 plików z nieprawidłową nazwą za pomocą DeleteFXFiles - załączam nowe logi z OTL, - oraz log z usuwania w pkt1 http://www.wklej.eu/index.php?id=cbe119ee96 Jestem w trakcie sprawdzania pod kątem tootkitów programem GMER 1.0.15.15530. Wiem...raport powinien być na samym początku...ale dołączę go jednak jak tylko program skończy sprawdzać. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2011 Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Wszystko zostało prawidłowo wykonane i problem podstawowy z infekcją powinien zniknąć. Aczkolwiek, powstały tu teraz dwa dziwne ukryte foldery niewiadomego pochodzenia: [2011-02-19 22:15:32 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\~0[2011-02-19 22:27:33 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\~1 Sprawdźmy zawartość tych folderów. 1. Uruchom OTL i w oknie Włane opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-1004336348-1383384898-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Files DIR /S /A "C:\Documents and Settings\All Users\Dane aplikacji\~0" /C DIR /S /A "C:\Documents and Settings\All Users\Dane aplikacji\~1" /C DIR /S /A "C:\Documents and Settings\Ewa\Moje dokumenty\Soft32 Downloads" /C DIR /S /A "C:\Documents and Settings\All Users\Dane aplikacji\{93F12E73-5AED-46C1-AE84-4E311A4255D1}" /C Klik w Wykonaj skrypt. Akcja będzie błyskawiczna. 2. Zaprezentuj wynikowy log powstały z tej akcji. Nie twórz nowego loga opcją Skanuj. . Odnośnik do komentarza
margret38 Opublikowano 19 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Oto wynikowy log: http://www.wklej.eu/index.php?id=f7fcdc54bb Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2011 Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Wyniki ze skanu są niejasne, tak jakby tych dwóch katalogów już nie było. Włącz pokazywanie ukrytych w Mój komputer > Narzędzia > Opcje folderów > Widok > zaznacz Pokaż ukryte pliki i foldery. Następnie sprawdź czy na dysku są te katalogi, a jeśli są, to wejdź do nich i powiedz co w nich widzisz: C:\Documents and Settings\All Users\Dane aplikacji\~0 C:\Documents and Settings\All Users\Dane aplikacji\~1 Odnośnik do komentarza
margret38 Opublikowano 19 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2011 W ukrytym folderze o nazwie {93F12E73-5AED-46C1-AE84-4E311A4255D1} znajdują się różności z programu DeleteFXPFiles2009DemoInstall. Miałam problem z pobraniem go dzisiaj, po instalacji programu był komunikat że nazwa mogła ulec zmianie, a sam program został przeniesiony w inne miejsce. Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2011 Zgłoś Udostępnij Opublikowano 19 Lutego 2011 W ukrytym folderze o nazwie {93F12E73-5AED-46C1-AE84-4E311A4255D1} znajdują się różności z programu DeleteFXPFiles2009DemoInstall. Miałam problem z pobraniem go dzisiaj, po instalacji programu był komunikat że nazwa mogła ulec zmianie, a sam program został przeniesiony w inne miejsce. Ja nie pytam o ten folder, co w nim jest już wiem ze skanu. Ja mówię o tych dwóch z wężykami. Odnośnik do komentarza
margret38 Opublikowano 19 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Katalogów z wężykami brak. Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2011 Zgłoś Udostępnij Opublikowano 19 Lutego 2011 To w porządku, już idziemy w kierunku finału: 1. W OTL wywołaj funkcję Sprzątanie. To usunie kwarantannę programu z kopiami trojanów oraz sam program. 2. Następnie wykonaj pełny skan za pomocą programu Malwarebytes' Anti-Malware. Przedstaw wyniki. Odnośnik do komentarza
margret38 Opublikowano 19 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Oto wynik skanu : http://www.wklej.eu/index.php?id=839a90042f Dzięki fachowym i konkretnym wskazówkom, zdołałam przebrnąć przez cały proces i co najważniejsze problem niechcianej przeglądarki już nie istnieje Dziękuję. Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2011 Zgłoś Udostępnij Opublikowano 20 Lutego 2011 MBAM możesz sobie zostawić na stałe, to dobry skaner na żądanie. Już ostatnie instrukcje zadaję: 1. Aktualizacje oprogramowania: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1"Gadu-Gadu 10" = Gadu-Gadu 10"KLiteCodecPack_is1" = K-Lite Codec Pack 5.6.1 (Standard) Ważne szczegóły aktualizacyjne rozpisane tutaj: INSTRUKCJE. Dodatkowo można zaktualizować kodeki. Sugeruję także wymianę GG10 znacznie lżejszym programem z obsługą sieci Gadu. Tu opisy: Darmowe komunikatory. 2. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. I to by było na tyle. Przestrzegam przed kodekami z torrentów i pokrewnych. Jeśli dołączono ten typ w jakiejś paczce, to już budzi podejrzenia. . Odnośnik do komentarza
margret38 Opublikowano 20 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2011 - wykonałam aktualizacje oprogramowań - wyczyściłam foldery Przywracania systemu System "zdezynfekowany", wszystko działa poprawnie. Dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi