ania92bis Opublikowano 29 Maja 2011 Zgłoś Udostępnij Opublikowano 29 Maja 2011 1.Problem: - Avast co kilkadziesiąt minut wykrywa Win32:Bamital-AE jego lokalizacja to c:\windows\system32\winlogon.exe. - często gdy chcę wejść na konkretną stronę internetową przeglądarka przekierowuje sie na google.pl - od kilku dni mam problem z obrazem, na ekranie pojawia się czarny ekran a na kursorze myszki widać czarne piksele, prawdopodobnie siadła karta graficzna, chociaż przypuszczam ze w wyniku tej infekcji - używałam różnych programów to usuwania infekcji minn. ComboFixa 2. Logi: 1.Gmer: GMER 1.0.15.15627 - http://www.gmer.net Rootkit scan 2011-05-29 01:31:15 Windows 5.1.2600 Dodatek Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 ST3160811AS rev.3.AAE Running: x7cj8jwm.exe; Driver: C:\DOCUME~1\Ania\USTAWI~1\Temp\ffpdiaoc.sys ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\Mozilla Firefox\firefox.exe[724] ntdll.dll!LdrLoadDll 7C9161CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation) .text C:\Program Files\Mozilla Firefox\firefox.exe[724] WS2_32.dll!send 71A5428A 5 Bytes JMP 00165ACB .text C:\Program Files\Mozilla Firefox\firefox.exe[724] WS2_32.dll!WSARecv 71A54318 5 Bytes JMP 00165CC8 .text C:\Program Files\Mozilla Firefox\firefox.exe[724] WS2_32.dll!gethostbyname 71A54FD4 5 Bytes JMP 00166224 .text C:\Program Files\Mozilla Firefox\firefox.exe[724] WS2_32.dll!recv 71A5615A 5 Bytes JMP 00165B3E .text C:\Program Files\Mozilla Firefox\firefox.exe[724] WS2_32.dll!WSASend 71A56233 5 Bytes JMP 00165C19 .text C:\Program Files\Mozilla Firefox\firefox.exe[724] WS2_32.dll!closesocket 71A59639 5 Bytes JMP 00165F43 .text C:\Program Files\Mozilla Firefox\plugin-container.exe[1432] USER32.dll!TrackPopupMenu 7E3B526E 5 Bytes JMP 1040C334 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\WINDOWS\Explorer.EXE[1980] kernel32.dll!CreateProcessInternalW 7C819724 5 Bytes JMP 00B78369 ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Tcp aswRdr.SYS (avast! TDI RDR Driver/AVAST Software) ---- EOF - GMER 1.0.15 ---- 2.OTL w załączniku 3.OTL Extras w załączniku 3.Checkup: Results of screen317's Security Check version 0.99.12 Windows XP Service Pack 2 Out of date service pack!! Internet Explorer 7 Out of date! `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! avast! Free Antivirus Antivirus up to date! ``````````````````````````````` Anti-malware/Other Utilities Check: CCleaner Driver Cleaner 3 Flash Player Out of Date! Adobe Flash Player 10.2.153.1 Adobe Reader 9.4.0 - Polish Out of date Adobe Reader installed! Mozilla Firefox (3.6.17) Firefox Out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` Z góry dziękuję za rozpatrzenie mojego problemu. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2011 Zgłoś Udostępnij Opublikowano 29 Maja 2011 Infekcja Bamital atakuje pliki systemowe i jest wymagana podmiana plików świeżymi kopiami. Rozpocznij od użycia ComboFix zgodnie ze wskazówkami i zaprezentuj wynikowy log. Program był tu używany (nie podałaś w ogóle wyników czy opisu czy aby nie wystąpił tu jakiś problem), ale chodzi mi o pobranie jego najnowszej kopii i użycie zgodnie z instrukcją. Być może narzędzie zostanie użyte do ręcznej wymiany plików. Odnośnik do komentarza
ania92bis Opublikowano 29 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2011 Dodatkowy log z ComboFixu log ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2011 Zgłoś Udostępnij Opublikowano 29 Maja 2011 ComboFix nie potrafi tego uleczyć, bo nie znalazł w systemie żadnej czystej kopii zainfekowanych plików systemowych winlogon.exe i explorer.exe. 1. Przesyłam pliki wyciągnięte z instalatora Service Pack 2 (zgodnie z nagłówkiem to Twoja wersja systemu): KLIK. Plik rozpakuj do katalogu C:\Pliki, ponieważ tę ścieżkę uwzględniam w instrukcjach. 2. Otwórz Notatnik i wklej w nim: FCopy:: C:\Pliki\winlogon.exe|c:\windows\system32\dllcache\winlogon.exe C:\Pliki\explorer.exe|c:\windows\system32\dllcache\explorer.exe C:\Pliki\sfcfiles.dll|c:\windows\system32\dllcache\sfcfiles.dll C:\Pliki\winlogon.exe|c:\windows\system32\winlogon.exe C:\Pliki\explorer.exe|c:\windows\explorer.exe C:\Pliki\sfcfiles.dll|c:\windows\system32\sfcfiles.dll Registry:: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 3. Gdy pomyślnie zostanie ukończone powyższe zadanie, przejdź do Dodaj / Usuń programy i odinstaluj zbędnik WinAmp Toolbar. 4. Prezentujesz: log z ComboFix otrzymany w punkcie 2 oraz nowy log z OTL. . Odnośnik do komentarza
ania92bis Opublikowano 29 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2011 Nowe logi: ComboFix.txt OTL.Txt.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2011 Zgłoś Udostępnij Opublikowano 29 Maja 2011 Zadanie niby wygląda na wykonane, aczkolwiek mam wątpliwości. Czy antywirus nadal zgłasza problem infekcji? Uruchom raz jeszcze ComboFix, już normalnie (żadnych skryptów), przedstaw co on teraz mówi. Odnośnik do komentarza
ania92bis Opublikowano 29 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2011 Avast dalej wykrywa infekcje w postaci Win32:Batimal-AE, w dalszym ciągu gdy wchodzę na stronę internetową zostaje przekierowana na google. Tutaj podaje aktualny log z ComboFix log CFix.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2011 Zgłoś Udostępnij Opublikowano 29 Maja 2011 Tak jak podejrzewałam, wymiana plików nieskuteczna (dwóch z trzech, trzeci wygląda na wymieniony). Ostatnia próba podmiany plików spod Windows. Jeśli zawiedzie, podam instrukcje z wykorzystaniem płyty bootującej. 1. Zakładam, że w C:\Pliki masz wszystkie pliczki ode mnie. 2. Uruchom Avenger i w pustym oknie wklej: Files to move: C:\Pliki\winlogon.exe | c:\windows\system32\winlogon.exe C:\Pliki\explorer.exe | c:\windows\explorer.exe Klik w Execute. Potwierdź prośbę o restart komputera. Po restarcie Avenger poda log z operacji. 3. Po ukończeniu z Avenger, uruchom ponownie ComboFix. Do prezentacji także log uzyskany z Avenger. . Odnośnik do komentarza
ania92bis Opublikowano 29 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2011 Kolejne logi: avenger.txt log Combofixx.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2011 Zgłoś Udostępnij Opublikowano 29 Maja 2011 Kurcze, zapomniałam o białej liście w Avenger. Zadanie się nie wykonało. 1. Pobierz i wypal płytę OTLPE. 2. Zastartuj z tej płyty, na "Pulpicie" płyty wybierz "My computer" i ręcznie zamień poniższe pliki tymi moimi z C:\Pliki: c:\windows\system32\winlogon.exe c:\windows\explorer.exe 3. Następnie zastartuj ponownie do Windows i wygeneruj odczyt z ComboFix. Mam nadzieję, że już ostatni.... . Odnośnik do komentarza
ania92bis Opublikowano 29 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2011 Aktualnie stoje w miejscu, bo nie potrafię ręcznie zamienić poniższych plikówi z tymi z C:\Pliki: c:\windows\system32\winlogon.exe c:\windows\explorer.exe Bardzo proszę o pomoc jak mam to zrobić Odnośnik do komentarza
picasso Opublikowano 29 Maja 2011 Zgłoś Udostępnij Opublikowano 29 Maja 2011 Aktualnie stoje w miejscu, bo nie potrafię ręcznie zamienić poniższych plikówi z tymi z C:\Pliki To wygląda tak samo jak w Windows. Z prawokliku na C:\Pliki\winlogon.exe wybierasz opcję Copy (czyli kopiowania). Wchodzisz do C:\Windows\system32 i z prawokliku na tło wybierasz opcję Paste, padnie pytanie o zamianę plików, co potwierdzasz. Tak samo z explorer.exe: opcja Copy dla C:\Pliki\explorer.exe i Paste w C:\Windows (zauważ, że jest inny katalog niż dla poprzedniego pliku). Odnośnik do komentarza
ania92bis Opublikowano 30 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2011 Nowy log ComboFixa: llog ComboFixa..txt Odnośnik do komentarza
picasso Opublikowano 30 Maja 2011 Zgłoś Udostępnij Opublikowano 30 Maja 2011 Nareszcie. Pliki zostały wymienione pomyślnie. Teraz antywirus już powinien się uspokoić. Możemy się zająć resztą zadań. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1844237615-1177238915-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25462 FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Hotspot Shield Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110224194650156&tb_oid=24-02-2011&tb_mrud=24-02-2011&query=" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT1561552&SearchSource=13" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20110224194650156&tb_oid=24-02-2011&tb_mrud=24-02-2011&query=" O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - File not found O3 - HKU\S-1-5-21-1844237615-1177238915-1801674531-1003\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - File not found O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.) [2011-02-24 21:56:00 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\Firefox\Profiles\ttr74es4.default\searchplugins\aol-web-search.xml [2010-01-20 12:14:02 | 000,000,931 | ---- | M] () -- C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\Firefox\Profiles\ttr74es4.default\searchplugins\conduit.xml [2010-10-30 14:58:10 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Dane aplikacji\308eb [2010-10-29 18:05:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\308ebc [2010-10-29 18:05:24 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Dane aplikacji\SMKSJWE [2011-02-24 21:53:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ania\Dane aplikacji\OpenCandy :Commands [clearallrestorepoints] [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z tego usuwania. 2. Otwórz menedżer rozszerzeń Firefox i odinstaluj Hotspot Shield Toolbar + Winamp Toolbar. 3. Wykonaj nowe logi z OTL oraz AD-Remover. Dołącz także log powstały z usuwania OTL w punkcie 1. . Odnośnik do komentarza
ania92bis Opublikowano 30 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2011 Usunęłam Winamp Toolbar, ale miałam problem ze znalezieniem Hotspot Shield Toolbar. A tutaj nowa dostawa logów: log powstały z usuwania OTL: All processes killed ========== OTL ========== HKU\S-1-5-21-1844237615-1177238915-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully! Prefs.js: "AOL Web Search" removed from browser.search.defaultenginename Prefs.js: "Hotspot Shield Customized Web Search" removed from browser.search.defaultthis.engineName Prefs.js: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110224194650156&tb_oid=24-02-2011&tb_mrud=24-02-2011&query=" removed from browser.search.defaulturl Prefs.js: "http://search.conduit.com/?ctid=CT1561552&SearchSource=13" removed from browser.startup.homepage Prefs.js: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20110224194650156&tb_oid=24-02-2011&tb_mrud=24-02-2011&query=" removed from keyword.URL Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{37B85A29-692B-4205-9CAD-2626E4993404} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\ deleted successfully. Registry value HKEY_USERS\S-1-5-21-1844237615-1177238915-1801674531-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{37B85A29-692B-4205-9CAD-2626E4993404} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\ not found. Starting removal of ActiveX control {D27CDB6E-AE6D-11CF-96B8-444553540000} C:\WINDOWS\Downloaded Program Files\swflash.inf moved successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D27CDB6E-AE6D-11CF-96B8-444553540000}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D27CDB6E-AE6D-11CF-96B8-444553540000}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{D27CDB6E-AE6D-11CF-96B8-444553540000}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D27CDB6E-AE6D-11CF-96B8-444553540000}\ not found. C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\Firefox\Profiles\ttr74es4.default\searchplugins\aol-web-search.xml moved successfully. C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\Firefox\Profiles\ttr74es4.default\searchplugins\conduit.xml moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\308eb\SMESys folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\308eb\Quarantine Items folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\308eb\BackUp folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\308eb folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\308ebc folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\SMKSJWE folder moved successfully. C:\Documents and Settings\Ania\Dane aplikacji\OpenCandy\OpenCandy_EF097B2A9E9146C2BC0504A8538F7192 folder moved successfully. C:\Documents and Settings\Ania\Dane aplikacji\OpenCandy folder moved successfully. ========== COMMANDS ========== Restore points cleared and new OTL Restore Point set! [EMPTYFLASH] User: Administrator User: Administrator.53CCD542F731494 User: All Users User: Ania ->Flash cache emptied: 4318 bytes User: anna lompa ->Flash cache emptied: 904 bytes User: Default User User: Gość User: LocalService User: NetworkService User: UpdatusUser Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 111759 bytes User: Administrator.53CCD542F731494 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->FireFox cache emptied: 3465364 bytes User: All Users User: Ania ->Temp folder emptied: 1225 bytes ->Temporary Internet Files folder emptied: 81902 bytes ->FireFox cache emptied: 111915663 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: anna lompa ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 78991 bytes ->FireFox cache emptied: 99421761 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: Gość ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 78991 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32835 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2114584 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 207,00 mb OTL by OldTimer - Version 3.2.23.0 log created on 05312011_020047 Files\Folders moved on Reboot... Registry entries deleted on Reboot... OTL.Txt1.txt Extras1.txt Ad-Report-SCAN.txt Odnośnik do komentarza
picasso Opublikowano 30 Maja 2011 Zgłoś Udostępnij Opublikowano 30 Maja 2011 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\0347511a-3b02-4f61-acf4-333f00fa9cb5] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\290b57c2-8247-4208-9914-1ff4572e7045] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\2ac3bf7c-aed4-48d4-b73e-7522a7ee99ec] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\362e26ea-e0f9-4f35-a5c9-40b380b56d54] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\39b386ee-69d0-4529-b52d-82b5af9aacce] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\8b6bf0e3-6c78-4800-8d27-7858bbfff636] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\91f761b3-71c8-4893-8e6d-def955cd3481] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\a2d34782-b9ef-43eb-b170-f42f8d5b2adc] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\a5b32307-13c9-463e-a92e-1f58a8d98bb0] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\cf7386c4-6bd7-4d5a-8316-e523f64bb724] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\d510fe29-a2b6-4d19-8ad9-9b0f49ab32f6] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a8c2644d-bf72-4a89-a88c-d85f565f2f46}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks] "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=- Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Uruchom AD-Remover w trybie usuwania. 3. Zaprezentuj tylko finałowy log z AD-Remover. . Odnośnik do komentarza
ania92bis Opublikowano 30 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2011 log z z AD-Remover: ======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 ======= Updated by TeamXscript on 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com website: http://www.teamxscript.org C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 03:21:22 on 31/05/2011, Safeboot mode Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) Ania@53CCD542F731494 ( ) ============== ACTION(S) ============== Folder deleted: C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\FireFox\Profiles\ttr74es4.default\conduit Folder deleted: C:\Documents and Settings\Ania\Ustawienia lokalne\Dane aplikacji\Conduit Folder deleted: C:\Program Files\Conduit Folder deleted: C:\Documents and Settings\Ania\Ustawienia lokalne\Dane aplikacji\OpenCandy (!) -- Temporary files deleted. -- File opened: C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\FireFox\Profiles\ttr74es4.default\Prefs.js -- Line deleted: user_pref("CT1561552.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... Line deleted: user_pref("CT1561552.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT156... Line deleted: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr... Line deleted: user_pref("CommunityToolbar.ToolbarsList", "CT1561552"); Line deleted: user_pref("CommunityToolbar.ToolbarsList2", "CT1561552"); Line deleted: user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT1561552"); -- File closed -- Key deleted: HKLM\Software\Classes\Toolbar.CT1561552 Key deleted: HKLM\Software\Classes\Toolbar.CT2417076 Key deleted: HKLM\Software\Conduit Key deleted: HKCU\Software\Conduit ============== ADDITIONNAL SCAN ============== **** Mozilla Firefox Version [3.6.17 (pl)] **** Plugins\npdnu.dll (AOL LLC) Plugins\npdnupdater2.dll (AOL LLC) Plugins\npwachk.dll (Nullsoft, Inc.) Searchplugins\allegro-pl.xml (hxxp://www.allegro.pl/search.php?string={searchTerms}&sourceid=Mozilla-search) Searchplugins\fbc-pl.xml (hxxp://fbc.pionier.net.pl/owoc/results) Searchplugins\merlin-pl.xml (hxxp://www.merlin.com.pl/frontend/search?sourceid=Mozilla-search&fraza={searchTerms}&skad=crhhxmkohb) Searchplugins\pwn-pl.xml (hxxp://encyklopedia.pwn.pl/szukaj.php?co={searchTerms}) Searchplugins\wikipedia-pl.xml (hxxp://pl.wikipedia.org/wiki/Specjalna:Szukaj) Searchplugins\wp-pl.xml (hxxp://szukaj.wp.pl/szukaj.html?z=T&r=T&szukaj={searchTerms}) -- C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\FireFox\Profiles\ttr74es4.default -- Extensions\IplextoALL@ALLPlayer.org (Iplex to ALLPlayer) Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Ania\\Pulpit Prefs.js - browser.search.defaultenginename, Prefs.js - browser.search.defaulturl, Prefs.js - browser.search.selectedEngine, Google Prefs.js - browser.startup.homepage, hxxp://pl.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17 Prefs.js - privacy.popups.showBrowserMessage, false -- C:\Documents and Settings\anna lompa\Dane aplikacji\Mozilla\FireFox\Profiles\x71v7lrk.default -- Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\anna lompa\\Pulpit Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17 ======================================== **** Google Chrome Version [11.0.696.71] **** Extension\icmlaeflemplmjndnaapfdbbnpncnbda (C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx) (?) -- C:\Documents and Settings\Ania\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default -- Preferences - default_search_provider: "Google" (Enabled: true) (?) Plugin - "Picasa" (Enabled: true) Plugin - "Winamp Application Detector" (Enabled: true) ======================================== **** Internet Explorer Version [7.0.5730.13] **** HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 HKCU_Main|Start Page - hxxp://fr.msn.com/ HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Start Page - hxxp://fr.msn.com/ HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll) HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll) BHO\{DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - "IplexToALLPlayer" (C:\PROGRA~1\ALLPLA~1\Iplex\IPLEXT~1.DLL) ======================================== C:\Program Files\Ad-Remover\Quarantine: 16 File(s) C:\Program Files\Ad-Remover\Backup: 16 File(s) C:\Ad-Report-CLEAN[1].txt - 31/05/2011 03:22:07 (1544 Byte(s)) C:\Ad-Report-SCAN[1].txt - 31/05/2011 02:39:28 (7023 Byte(s)) C:\Ad-Report-SCAN[2].txt - 31/05/2011 02:42:46 (7088 Byte(s)) End at: 03:22:37, 31/05/2011 ============== E.O.F ============== Odnośnik do komentarza
picasso Opublikowano 30 Maja 2011 Zgłoś Udostępnij Opublikowano 30 Maja 2011 Jest dobrze. Przechodzimy do kolejnego etapu: 1. Posprzątaj po używanych narzędziach: Odinstaluj w prawidłowy sposób ComboFix. W Start > Uruchom > wklej komendę "c:\documents and settings\Ania\Pulpit\ComboFix.exe" /uninstall W OTL użyj funkcję Sprzątanie, co zlikwiduje kwarantannę OTL oraz narzędzia OTL i Avenger. Odinstaluj AD-Remover. Jeśli ten proces nie zlikwiduje folderu C:\Program Files\Ad-Remover, skasuj ręcznie przez SHIFT+DEL 2. Dla pewności wykonaj skanowanie alternatywnym narzędziem Kaspersky Virus Removal Tool. Zgłoś się tu z raportem. Jeśli wyniki ze skanera będą pozytywne, przejdziemy już do fazy aktualizacji. . Odnośnik do komentarza
ania92bis Opublikowano 30 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2011 Troszke to trwało ale mam raport: Automatyczne skanowanie: błąd (zdarzeń: 2, obiektów: 0, czas: Nieznany) 2011-05-31 05:18:16 Zagrożenie: Trojan-Dropper.Win32.Drooptroop.kko C:\Documents and Settings\All Users\Dokumenty\Server\hlp.dat 2011-05-31 05:16:43 Zadanie zostało uruchomione Automatyczne skanowanie: zakończono 2 min temu (zdarzeń: 4, obiektów: 167052, czas: 01:09:42) 2011-05-31 06:36:40 Zadanie zostało zakończone 2011-05-31 05:31:26 Usunięty: Trojan-Dropper.Win32.Drooptroop.kko C:\Documents and Settings\All Users\Dokumenty\Server\hlp.dat 2011-05-31 05:28:33 Zagrożenie: Trojan-Dropper.Win32.Drooptroop.kko C:\Documents and Settings\All Users\Dokumenty\Server\hlp.dat 2011-05-31 05:26:58 Zadanie zostało uruchomione Odnośnik do komentarza
picasso Opublikowano 30 Maja 2011 Zgłoś Udostępnij Opublikowano 30 Maja 2011 Ten plik to jest składnik infekcji Bamital. Jeszcze sprawdź co jest w folderze C:\Documents and Settings\All Users\Dokumenty\Server, czy nie ma tam czegoś więcej, a folder w całości usuń. Folder o nazwie "Server" nie za dobrze brzmi w kontekście "Dokumentów". Kaspersky Virus Removal Tool możesz odinstalować. Czas na zabezpieczenia i aktualizacje: 1. System ma krytyczny poziom aktualizacji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 7.0.5730.13) Obowiązkowa aktualizacja: Service Pack 3 + Internet Explorer 8. Po załadowaniu bazowych składników udaj się na Windows Update i zainstaluj wszystkie krytyczne łatki. 2. Aktualizacja oprogramowania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Driver Cleaner" = Driver Cleaner 3"Gadu-Gadu 10" = Gadu-Gadu 10"gry Toolbar" = gry Toolbar"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1844237615-1177238915-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome Zainstaluj najnowsze wersje przeglądarek, Adobe Flash Player i Adobe Reader: INSTRUKCJE. Sugeruję też rozważenie zastępstwa dla GG10 lżejszym i bezreklamowym programem z obsługą sieci Gadu. W temacie Darmowe komunikatory popatrz na opisy WTW i Mirandy, a ja polecam ten pierwszy. Wątek poboczny: Driver Cleaner 3 to przestarzała aplikacja, aktualnie do takich akcji używa się darmowego Driver Sweeper. I nie wiem jak to się stało, że nie zauważyłam wpisu gry Toolbar na liście .... Wylot z dysku. 3. Dodatkowe zabezpieczenia: Do Avasta można dorzucić pełnowartościową zaporę np. Online Armor (instalator ma wersję darmową). Zabezpieczenie przed infekcją z urządzeń przenośnych: opcja Computer Vaccination w Panda USB Vaccine. Dodatek antyreklamowy do Firefox: Adblock Plus. 4. Na koniec, w związku z licznymi procesami (de)instalacyjnymi, jeszcze raz wyczyść lokalizacje tymczasowe (TFC - Temp Cleaner) oraz wyczyść foldery Przywracania systemu (INSTRUKCJE). Zgłoś się tu po wykonaniu wszystkich zadań. Podsumuj co się dzieje i czy coś jeszcze należy naprawiać. . Odnośnik do komentarza
ania92bis Opublikowano 31 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2011 Podsumowanie: -W folderze C:\Documents and Settings\All Users\Dokumenty\Server już nic nie było, usunęłam go w całości. -Odinstalowałam Kaspersky Virus Removal Tool -wykonałam wszystkie zalecenia, chociaż nie jestem pewna co do tego czy prawidłowo wyczyściłam foldery Przywracania systemu -jest problem z usunięciem gry Toolbar, wyskakuje komunikat że nie można otworzyć pliku Aktualnie nie ma żadnych problemów z komputerem, chyba nigdy wcześniej nie chodził tak dobrze:), nawet nie ma problemu z grafiką co wcześniej objawiało się migającym czarnym ekranem i pikselami na kursorze myszki. Chciałam pani bardzo, bardzo serdecznie podziękować za pomoc i za poświęcony czas!!! Jestem pod wrażeniem pani ogromnej wiedzy! Odnośnik do komentarza
picasso Opublikowano 31 Maja 2011 Zgłoś Udostępnij Opublikowano 31 Maja 2011 jest problem z usunięciem gry Toolbar, wyskakuje komunikat że nie można otworzyć pliku Widocznie to jakiś szczątek. Usuń go: Start > Uruchom > regedit i skasuj z prawokliku klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gry Toolbar Wpis zniknie z listy Dodaj / Usuń programy. chociaż nie jestem pewna co do tego czy prawidłowo wyczyściłam foldery Przywracania systemu Operacja jest prosta: należy wyłączyć Przywracanie systemu, a po chwili ponownie włączyć. To automatycznie resetuje foldery System Volume Information, kasując z nich stare punkty Przywracania + tworząc nowy z aktualnego obrazu systemu. . Odnośnik do komentarza
ania92bis Opublikowano 31 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2011 Czyli dobrze wyczyściłam foldery Przywracania systemu, miałam pewne wątpliwości co do tego bo wydawało mi się to zbyt proste:D Gra Toolbar usunięta! Odnośnik do komentarza
picasso Opublikowano 31 Maja 2011 Zgłoś Udostępnij Opublikowano 31 Maja 2011 Proste rzeczy zawsze są na końcu. ania92bis, nie pozostało nic innego jak zamknąć temat. Jest całkowicie ukończony. Oczywiście w razie jakiś problemów wiadomo gdzie masz się zgłosić. Odnośnik do komentarza
Rekomendowane odpowiedzi