Podejrzenie infekcji

[Mysza]

Witam,

 

podejrzenie zainfekowania dotyczy komputera Znajomych, w którym to w sierpniu była infekcja i problemy sprzętowe, zakończone formatem i wymianą płyty głównej http://www.fixitpc.p...__fromsearch__1

 

po poprzednim postawieniu systemu nie miałam z nim styczności - zmienił się w międzyczasie dostawca internetu, pewnie przybyło trochę programów i mnóstwo Toolbarów, które teraz usunęłam,

 

dokładnie nie znam objawów, były jakieś problemy przy otwieraniu plików na pendrive, "mulenie" komputera, był problem z działaniem klawiatury podłączonej przez USB i chyba z otwieraniem plików, ponoć objawy przypominają stan z przed poprzedniej infekcji, być może któreś z Młodzieży przeniosło coś z pendrive,

 

Raporty:

OTL

http://www.wklej.org/id/645049/

Extras

http://www.wklej.org/id/645051/

Gmer wstępny

http://www.wklej.org/id/645052/

jeszcze raz, chociaż nie stwierdziłam zainstalowanych programów emulujących napędy, to jednak gmer pokazuje w wynikach SPTD,

użyłam SPTDinst, ale gmer po ponownym uruchomieniu nadal coś znajduje,

 

nowy gmer wstępny

http://www.wklej.org/id/645146/

 

Gmer pełny - nadal w trakcie - na razie z problemami, po drodze dwa restarty

 

jeszcze raport z Malwarebytes

http://www.wklej.org/id/645113/

 

jeszcze raport po podłączeniu pendrive - ponoć jest sytuacji automatycznego tworzenia się skrótów do katalogów

http://www.wklej.org/id/645147/

Edytowane 10 Grudnia 2011 przez mycha69

[Landuss]

W logach właściwie nie widać aktywnej infekcji, ale tworzenie się skrótów na pendrive to skutek pewnego rodzaju infekcji z urządzenia przenośnego. Prosze podpiąć to urządzenie i uruchomić USBFix z opcji Listing i pokazać wynikowy raport.

 

Tymczasem teraz należy sprzątać po śmieciarskich toolbarach bo jeszcze ich tu trochę jest.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com"
IE - HKU\S-1-5-21-1123561945-884357618-1177238915-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "IMVU Inc Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2612669&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=100478&babsrc=HP_ss&mntrId=545d299800000000000000138fc5a384"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100478&babsrc=adbartrp&mntrId=545d299800000000000000138fc5a384&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com"
[2011-12-05 16:07:44 | 000,000,000 | ---D | M] (IMVU Inc Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\extensions\{90b49673-5506-483e-b92b-ca0265bd9ca8}
[2011-11-19 14:13:55 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}
[2011-10-18 07:20:58 | 000,002,578 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\askcom.xml
[2011-08-29 16:47:04 | 000,000,919 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\conduit.xml
[2011-10-14 17:39:56 | 000,002,207 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\MyStart Search.xml
[2011-08-29 17:28:15 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\SweetIM Search.xml
[2011-08-29 17:26:06 | 000,003,910 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\sweetim.xml
[2011-09-10 20:22:33 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\web-search.xml
[2011-12-05 17:39:26 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
CHR - Extension: IMVU Inc = C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\bcfjehbfanfhgoehogmbiebedkidedjb\2.3.0.13_0\
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wejdź w panel usuwania programów i odinstaluj zbędne sponsoringi:

 

SweetIM Toolbar for Internet Explorer 4.1 / Babylon toolbar on IE / Conduit Apps Toolbar / Conduit Engine / IMVU Inc Toolbar / IncrediMail MediaBar 2 Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

[Mysza]

Uruchomienie USBFix po wywołaniu opcji Listing z podpiętym pendrive kończy się błędem

 

ad. 1 i ad 2 zrobione, przy czym odinstalowanie toolbarów zaczęłam już robić po zrobieniu raportu OTL

 

wszystkie czynności trwają tu wieki, wyskakuje czasem komunikat o problemach z explorer.exe,

oraz

przy okazji tych czynności sama włączyła się opcja pokazania ukrytych folderów

 

ad 3.

OTL

http://www.wklej.org/id/645196/

Extras

http://www.wklej.org/id/645197/

Ad-remower

http://www.wklej.org/id/645199/

 

 

z pełnym gmerem nadal mam problem - chciałam w trybie awaryjnym to zrobić, ale zdaje się, że przez to, iż klawiatura jest podłączona przez USB klawisz F8 nie działa

Edytowane 10 Grudnia 2011 przez mycha69

[Landuss]

W takim razie jeśli z USBFix jest problem to zrobimy to przy pomocy OTL. Pendrive ma być cały czas podpięty.

 

1. Uruchom OTL i wszystkie opcje przestaw na Brak/Żadne zaś w oknie Własne opcje skanowania/Skrypt wklep:

 

DIR /A F:\ /C

 

Kliknij w Skanuj (nie w Wykonaj skrypt).

 

2. Uruchom z opcji Clean narzędzie Ad-Remover

 

3. Otwórz Google Chrome, przejdź do opcji i usuń stamtąd wyszukiwarkę MyStart Search zastępując ją wyszukiwarką Google:

 

**** Google Chrome Version [15.0.874.121] ****

 

Preferences - default_search_provider: "MyStart Search" (Enabled: true) (hxxp://mystart.incredimail.com/mb68/?loc=GC_Default_Search&search={searchTerms}&u=92541677910267641)

 

4. Pokazujesz nowy log z Ad-Remover z opcji Scan oraz log z OTL po wklejeniu dodatkowego warunku.

 

wszystkie czynności trwają tu wieki, wyskakuje czasem komunikat o problemach z explorer.exe

 

Jaki błąd?

[Mysza]

ad 1, 2, 3 - zrobione

 

Ad-Remover

http://www.wklej.org/id/645683/

 

OTL

http://www.wklej.org/id/645686/

 

explorer.exe - wyskakuje komunikat, że wystąpił problem z aplikacją i zostanie ona zamknięta, po czym otwarte strony/programy zostają zamknięte i wszystkie ikony z pulpitu znikają i za chwilę pojawiają się ponownie,

 

powtarzają się też sytuacje na stronie szkoły po wylogowaniu się z dziennika internetowego, pojawia się okienko "wyślij raport o błędach...", otwarte strony znikają, po czym za chwilę się otwierają z powrotem z inf. , że karta została odzyskana - (edit) dzieje się tak, gdy na pytanie, czy wyświetlić tylko zawartość strony dostarczoną w sposób bezpieczny pada odpowiedź "tak", jak się da "nie" to strona normalnie się zamyka

 

po całym postawieniu komputera od zera w sierpniu wszystko chodziło w miarę szybko - teraz strasznie długo się otwierają zarówno foldery jak i strony internetowe, sama czekałam z dobrą minutę na uruchomienie przeglądarki,

 

jeszcze mam pytanie dot. pamięci w telefonach komórkowych i MP4 - są one też podłączane do komputera - czy te urządzenia też można jakoś zabezpieczyć/sprawdzić ? Panda USB Vaccine chyba nie zadziała ochronnie na telefonie analogicznie jak na pendrivie ?

Edytowane 11 Grudnia 2011 przez mycha69

[Anonim3]

mycha69 -

chciałam w trybie awaryjnym to zrobić, ale zdaje się, że przez to, iż klawiatura jest podłączona przez USB klawisz F8 nie działa

wejdź do biosu - wybierz z menu "Advanced" - "USB Configuration" i "Legacy USB Support" ustaw na "enabled". Ustawienie "disabled" jest przyczyną braku możliwości działania klawiatury w trybie przed wystartowaniem okienek.

[Landuss]

Podepnij urządzenie przenośne, a następnie wklej do notatnika taki tekst:

 

F:
del /s F:\*.lnk
attrib /d /s -s -h F:\*
del /s F:\autorun.inf
RD /S /Q F:\RECYCLER
pause

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik

 

Po tej czynności pokazujesz log z OTL na dodatkowym warunku ustawiony tak jak poprzednim razem w punkcie 1.

 

W kwestii pozostałych problemów to zobacz czy w trybie awaryjnym też istnieją.

 

jeszcze mam pytanie dot. pamięci w telefonach komórkowych i MP4 - są one też podłączane do komputera - czy te urządzenia też można jakoś zabezpieczyć/sprawdzić ? Panda USB Vaccine chyba nie zadziała ochronnie na telefonie analogicznie jak na pendrivie ?

 

Powinna zadziałać.

[Mysza]

Ad-Remover - opcja scan - poprzednio źle zrobiłam,

http://www.wklej.org/id/647081/

 

OTL

http://www.wklej.org/id/647085/

 

 

@marekW

dzięki, przestawienie opcji w BIOS faktycznie pozwoliło mi wejść w tryb awaryjny

 

w trybie awaryjnym uruchomiłam Gmera, pojawił się na koniec komunikat, że nie znaleziono modyfikacji systemu,

ale ekran programu tak się wyświetlał, że nie dałam rady zapisać nic w notatniku,

spróbowałam też ponownie zrobić Gmer w trybie normalnym, ale skończyło się niebieskim ekranem - być może to za duże obciążenie dla tego zestawu

Edytowane 13 Grudnia 2011 przez mycha69

[Anonim8]

Dorzucę 3 grosze:

jeśli Windows jest postawiony na tym starym dysku....pamiętasz? To ja bym go wymienił.

Testowo wykonaj skan MHDD. Przedstaw wyniki.

Jaki zasilacz wstawili w serwisie? Jeśli w ogóle wstawili ?

Edytowane 16 Stycznia 2012 przez picasso
16.01.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso