Problem z uruchomieniem Centrum zabezpieczeń systemu Windows

[Gość demote23]

Witam

Problem jak w temacie i jak w tym wątku

Dodatkowo co jakiś czas uruchamia mi się samoczynnie Internet Explorer i jakieś niewidoczne utwory muzyczne. Czyli infekcja:/

Problem pojawił się po ściągnięciu przeze mnie i przeskanowaniu komputera programem Slow PC Fighter. Program usunięty, ale infekcja jest. Było na tym forum już parę takich problemów skutecznie rozwiązanych, dlatego ja także zwracam się z prośbą o pomoc. Przekazuję wymagane logi.

OTL.Txt

Extras.Txt

[picasso]

Problem pojawił się po ściągnięciu przeze mnie i przeskanowaniu komputera programem Slow PC Fighter.

 

Skąd ten program pobierałeś?

 

Prócz infekcji, śmietnik w systemie i ogłuszająca liczba sponsoringowych pasków narzędziowych, w tym wiele z nich wygląda na nieprawidłowo usunięte. Wnioskuję, że instalujesz programy nawet się nie interesując co one wprowadzają w system .....

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
Mp3Rocket Toolbar Helper
 
:OTL
IE - HKLM\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\tbXfi1.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} -  File not found
IE - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\URLSearchHook: {09900DE8-1DCA-443F-9243-26FF581438AF} -  File not found
IE - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} -  File not found
IE - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\URLSearchHook: {83821C2B-32A8-4DD7-B6D4-44309A78E668} -  File not found
O2:64bit: - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -  File not found
O2 - BHO: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\tbXfi1.dll (Conduit Ltd.)
O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} -  File not found
O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} -  File not found
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} -  File not found
O2 - BHO: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} -  File not found
O2 - BHO: (MailRuBHO Class) - {8984B388-A5BB-4DF7-B274-77B879E179DB} -  File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -  File not found
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} -  File not found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\tbXfi1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} -  File not found
O3 - HKLM\..\Toolbar: (ŃďóŁˆÃ­Äę@Mail.Ru) - {09900DE8-1DCA-443F-9243-26FF581438AF} -  File not found
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} -  File not found
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKLM\..\Toolbar: (Acala DVD DB Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} -  File not found
O3 - HKLM\..\Toolbar: (Mp3Rocket Toolbar) - {4C350B19-6CA1-4569-B14C-296D8D65300B} -  File not found
O3 - HKLM\..\Toolbar: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} -  File not found
O3 - HKLM\..\Toolbar: (@msdxmLC.dll,-1@1033,&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} -  File not found
O3 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\Toolbar\WebBrowser: (XfireXO Toolbar) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - C:\Program Files (x86)\XfireXO\tbXfi1.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\Toolbar\WebBrowser: (ŃďóŁˆÃ­Äę@Mail.Ru) - {09900DE8-1DCA-443F-9243-26FF581438AF} -  File not found
O3:64bit: - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\Toolbar\WebBrowser: (Acala DVD DB Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} -  File not found
O3 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\Toolbar\WebBrowser: (Mp3Rocket Toolbar) - {4C350B19-6CA1-4569-B14C-296D8D65300B} -  File not found
O3 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005\..\Toolbar\WebBrowser: (Free Lunch Design Toolbar) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} -  File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [Corel Graphics Suite 1117]  File not found
O4 - HKLM..\Run: [dvd43]  File not found
O4 - HKLM..\Run: [iSUSScheduler]  File not found
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005..\Run: [ALLUpdate]  File not found
O4 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005..\Run: [EA Core]  File not found
O4 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005..\Run: [Gadu-Gadu 10]  File not found
O4 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005..\Run: [iPLA!]  File not found
O4 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005..\Run: [iSUSPM Startup]  File not found
O4 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005..\Run: [RGSC]  File not found
O4 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005..\Run: [Vidalia]  File not found
O4 - HKU\S-1-5-21-2313667466-1624180839-4179940602-1005..\Run: [Wisdom-soft AutoScreenRecorder 3.1 Free]  File not found
 
:Files
C:\Windows\SysWow64\psisrndrb.dll
C:\Windows\tasks\Dccnhk.job
C:\Users\Arek.Arek-Komputer\AppData\Local\updater.exe
C:\Users\Arek.Arek-Komputer\AppData\Local\bonus.exe
C:\Users\Arek.Arek-Komputer\AppData\Local\setup.exe
C:\Program Files (x86)\MP3 Rocket Toolbar
C:\Program Files (x86)\XfireXO
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Acala DVD DB Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Free_Lunch_Design Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HyperCam Toolbar]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Secondary Start Pages"=-
"Search Bar"=-
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany, po restarcie otrzymasz log z wynikami usuwania.

 

2. Po usunięciu infekcji w punkcie 1 można zabrać się za włączanie funkcji wyłączonych przez malware:

 

• Centrum zabezpieczeń: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w Centrum i Typ startowy przestaw na Automatycznie (opóźnione uruchomienie) + usługę zastartuj przyciskiem
  
• Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików".
  

3. Przejdź do Panelu sterowania do modułu deinstalacji programów i usuń: Ask Toolbar, AstroburnBar Toolbar, Softonic Deutsch FF Toolbar.

 

4. Wygeneruj nowe logi: log z OTL opcją Skanuj (nie potrzebuję już tak grubego loga, zaznacz opcję Pomiń pliki Microsoftu) + AD-Remover trybu skanowania. Dołącz także log z wynikami usuwania powstały w punkcie 1.

 

 

 

 

.

[Gość demote23]

Ogromne dzięki za pomoc, wszystko poszło jak po maśle i system wreszcie nabrał oddechu. Komputer jest używany także przez młodsze dziecko, które skutecznie zaśmieciło ten system, co trafnie ukazała diagnoza.

Co do programu, ściągnąłem go ze stronki spamfighter.com

Przesyłam logi.

 

Jeśli chodzi o ostatni załącznik, to gdy chciałem wybrać loga z jego lokalizacji w folderze _OTL, to występował błąd odnośnie braku uprawnień przy załączaniu, dlatego przekopiowałem zawartość do nowo utworzonego pliku na pulpicie, który został przyjęty.

OTL.Txt

Ad-Report-SCAN1.txt

08012011_194506.txt

[picasso]

Jeśli chodzi o ostatni załącznik, to gdy chciałem wybrać loga z jego lokalizacji w folderze _OTL, to występował błąd odnośnie braku uprawnień przy załączaniu, dlatego przekopiowałem zawartość do nowo utworzonego pliku na pulpicie, który został przyjęty.

 

W Załącznikach dopuszczam tylko rozszerzenie *.TXT a nie *.LOG. Po zmianie nazwy plik się dołączy.

 

 

Mamy tu do usuwania jeszcze mnóstwo odpadków po paskach.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files (x86)\Conduit
C:\Users\Arek.Arek-Komputer\AppData\LocalLow\Conduit
C:\Users\Arek.Arek-Komputer\AppData\LocalLow\PriceGong
C:\Users\Arek.Arek-Komputer\AppData\LocalLow\Toolbar4
C:\ProgramData\Trymedia
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9d81af43-de53-48d0-a199-42c2a226b24c}"=-
"{CA3EB689-8F09-4026-AA10-B9534C691CE0}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{21FA44EF-376D-4D53-9B0F-8A89D3229068}"=-
"{9D81AF43-DE53-48D0-A199-42C2A226B24C}"=-
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="res://ieframe.dll/tabswelcome.htm"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
"Version"=dword:00000003
"UpgradeTime"=hex:62,68,b7,99,52,49,cc,01
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{01F09AFB-2E0F-4b02-8703-3CB63A3C0C68}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\1aacb430-de80-4bd3-bfcc-5cfe41fc36f2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\7940a96b-6b09-4a83-a507-a0587515b620]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\bf095eea-180e-4e7c-9f2f-ec6e09d62ff0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\bfcdfd87-6bae-4826-b22b-d1fffe9ed29f]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\d418e048-79da-4a3e-9012-7aacf791fa7e]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E84D42CA-64EB-11DE-A65F-8C3656D89593}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{F42C7B47-5234-4BF5-8882-DAAC0D64870E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{F42C7B47-5234-4BF5-8882-DAAC0D64870E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{F7BEBBB1-7E6B-4561-9444-6F4866D60C7D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Conduit.Engine]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\DiscoveryHelper.iMesh6Discovery]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\DiscoveryHelper.iMesh6Discovery.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Toolbar.CT1289565]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Toolbar.CT1708250]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Toolbar.CT2206084]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Toolbar.CT2304157]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Conduit]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Trymedia Systems]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\AnvSoft\OpenCandy]
[-HKEY_CURRENT_USER\Software\Conduit]
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Do oceny: log z wynikami usuwania z punktu 1 + nowy AD-Remover trybu skanowania.

 

 

 

 

.

[Gość demote23]

Oto logi.

Ad-Report-SCAN2.txt

08022011_094109.txt

[picasso]

AD-Remover wygląda ładnie, wszystkie śmieci widoczne tam uprzednio się usunęły. Przed przejściem dalej proszę zapakuj folder D:\_OTL (OTL uruchamiany był z dysku D) do ZIP, shostuj gdzieś ukradkiem i wyślij mi link do tej paczki w sposób niepubliczny na PW. Ja wyciągnę stamtąd pliki malware i podrzucę do bazy programu MBAM. Po wykonaniu tego:

 

1. Odinstaluj AD-Remover.

 

2. W OTL użyj opcję Sprzątanie, która zlikwiduje z dysku kwarantannę OTL oraz sam program jako taki.

 

3. Wykonaj aktualizacje. Obecnie w systemie masz zainstalowane:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{23170F69-40C1-2702-0465-000001000000}" = 7-Zip 4.65 (x64 edition)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 26
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

• Aktualizacja zintegrowanej przeglądarki systemowej: Internet Explorer 9. Ważna (system korzysta z tego silnika), bez związku że do surfowania są używane przeglądarki alternatywne.
  
• Odinstaluj starszą Java i zainstaluj najnowszą Java SE 7 (JRE). Chodzi o wersję 32-bit, bo taka tu jest obecnie (Download JRE > wybór jednego z instalatorów o nazwie "Windows x86...").
  
• Sprawdź posiadaną wersję Flash otwierając stronę Find Flash Player version w przeglądarce Internet Explorer. Aktualna to Adobe Flash Player 10.3.181.34 (tę stronę pobierania też należy otworzyć w Internet Explorer, by został podany pasujący do przeglądarki instalator).
  
• Zaktualizuj też 7-zip.
  

4. Jest zbyt mało wolnego miejsca na dysku:

 

Drive C: | 39,82 Gb Total Space | 7,68 Gb Free Space | 19,28% Space Free | Partition Type: NTFS

• W związku z kolejnymi procesami (de)instalacyjnymi w punkcie 3 wyczyść po raz kolejny (robiłam to w pierwszym skrypcie OTL) lokalizacje tymczasowe. Skorzystaj z TFC - Temp Cleaner.
  
• Wyczyść foldery Przywracania systemu: INSTRUKCJE. To zarówno jest obowiązkowym krokiem sprzątającym po infekcji, jak i ma benefit w bieżącej redukcji zajętego miejsca na dysku.
  
• Wyczyść zawartość katalogu, gdzie są pobierane aktualizacje (o ile coś tam jest): C:\Windows\SoftwareDistribution\Download.
  
• Jeśli SP1 był doinstalowany (a nie zintegrowany od razu z systemem), możliwe usunięcie kopii zapasowych stworzonych jego instalacją: INSTRUKCJE.
  
• Dalsza ogólna diagnostyka za pomocą darmowego programu SpaceSniffer (wywołany przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space).
  

 

 

 

.

Edytowane 14 Października 2011 przez picasso
3.09.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso