3MOON Opublikowano 19 Maja 2012 Zgłoś Udostępnij Opublikowano 19 Maja 2012 Witam System to Win XP Home Edition Oem Problemem jest ogólna infekcja. Skanowałem system Avastem przed systemem niestety nie zapisywałem na bieżąco wyników. Ciekawe jest tylko to, że usunął dość sporo wpisów z katalogu, w którym znajdowały się, przynajmniej tak mi się wydaje informacje o przywracaniu systemu. Kojarzy mi się katalog restore. Przeskanowałem też system SpyBotem, który usunął ponad 90 wpisów i MBAMem - ten z kolei usunął ok 40 wpisów. My Global search bar nie dało się usunąć w bardziej naturalny sposób. Wyskakiwał jakiś błąd. To samo się tyczy bear share. Jeśli to ważne to proszę nie zwracać zbytniej uwagi na daty systemu bo chyba pada bateryjka biosu, który się ciągle resetuje. Poniżej potrzebne logi: OTL.Txt Extras.Txt GMER.txt mbam-log-2005-01-01 (00-56-18).txt Odnośnik do komentarza
picasso Opublikowano 20 Maja 2012 Zgłoś Udostępnij Opublikowano 20 Maja 2012 Brak oznak czynnej infekcji, w logu z OTL notowalne tylko drobne wpisy puste i resztki sponsorów. Nie ma wyników z Avast i Spybota = nie można ocenić klasy wpisów. Wyniki z MBAM = nic szczególnego, adware a nie trojany, obiekty MyWebSearch | RewardsArcade | WhenU wprowadzone za pomocą instalatora sponsorowanego którejś aplikacji. Samego Spybota nieszczególnie polecam, program się wypalił. Poza tym, wykonał niepożądaną modyfikację pliku HOSTS, który mieli kilkanaście tysięcy wpisów: O1 HOSTS File: ([2012-05-17 21:02:03 | 000,443,797 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hostsO1 - Hosts: 127.0.0.1 localhostO1 - Hosts: 127.0.0.1 www.007guard.comO1 - Hosts: 127.0.0.1 007guard.comO1 - Hosts: 127.0.0.1 008i.com(...)O1 - Hosts: 15252 more lines... To ma skutki uboczne w obciążaniu procesu svchost.exe hostującego usługę Klient DNS. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2009-10-17 16:05:01 | 000,000,000 | ---D | C] -- C:\Program Files\DAEMON Tools Toolbar [2008-11-01 19:49:32 | 000,288,525 | R--- | C] () -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak [2008-11-01 19:49:32 | 000,002,596 | ---- | C] () -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak [2008-11-01 19:49:32 | 000,001,734 | ---- | C] () -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak [2008-11-28 22:31:34 | 000,288,525 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20120517-220203.backup [2008-11-28 22:30:03 | 000,000,742 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20081128-223134.backup [2008-11-01 19:59:15 | 000,068,296 | ---- | M] (G DATA Software) -- C:\WINDOWS\System32\drivers\GRD.sys [2008-11-01 19:49:24 | 000,050,888 | ---- | M] (G DATA Software AG) -- C:\WINDOWS\System32\drivers\MiniIcpt.sys [2008-11-01 19:49:14 | 000,050,888 | ---- | M] (G DATA Software AG) -- C:\WINDOWS\System32\drivers\GDTdiIcpt.sys IE - HKU\S-1-5-21-220523388-1450960922-725345543-1004\..\URLSearchHook: {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - No CLSID value found O2 - BHO: (no name) - {F6104497-54FD-4688-9162-5115CC8AB0FB} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-1450960922-725345543-1004\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-1450960922-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-1450960922-725345543-1004\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-1450960922-725345543-1004\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html File not found O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} "http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab" (Reg Error: Key error.) O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} "http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab" (Reg Error: Key error.) O16 - DPF: {54D53429-945C-4188-B460-C81356541882} "http://photosmart.hpphoto.com/Download/HPeServicesLocalPrint.CAB" (Reg Error: Key error.) O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~2\MediaBar\DataMngr\datamngr.dll) - File not found O20 - Winlogon\Notify\winosz32: DllName - (winosz32.dll) - File not found SRV - File not found [On_Demand | Stopped] -- C:\Program Files\iPod\bin\iPodService.exe -- (iPod Service) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\peelka\USTAWI~1\Temp\sony_ssm.sys -- (sony_ssm.sys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] :Commands [emptytemp] Klik w Wykonaj skrypt. 2. W menedżerze dodatków Firefox oraz menedżerze rozszerzeń Google Chrome odinstaluj RewardsArcade. 3. Do sprzątnięcia przynajmniej części wpisów adware / odpadków użyj AdwCleaner z opcji Delete. 4. Usuń szczątki po Symantec narzędziem Norton Removal Tool. 5. Odinstaluj Spybota. Zresetuj plik HOSTS do postaci domyślnej via automat Fix-it z artykułu: KB972034. 6. Wygeneruj nowy log z OTL opcją Skanuj (już bez Extras), ale zaznacz Pomiń pliki Microsoftu. Dołącz logi wytworzone z akcji w punktach 1 + 3. . Odnośnik do komentarza
3MOON Opublikowano 20 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2012 Dzięki za odpowiedż Wszystko mam nadzieje zrobione pomyślnie poniżej logi A tak na marginesie to skoro SpyBot się wypalił to czym go zastąpić by skorzystać z podobnej i DARMOWEJ funkcjonalności?. http://www.wklej.org/id/756622/ AdwCleanerS1.txt OTL1.txt Odnośnik do komentarza
picasso Opublikowano 21 Maja 2012 Zgłoś Udostępnij Opublikowano 21 Maja 2012 Jeszcze drobne poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 :Files C:\Documents and Settings\peelka\Ustawienia lokalne\Dane aplikacji\RewardsArcade C:\Documents and Settings\peelka\Dane aplikacji\BearShare C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml C:\WINDOWS\System32\drivers\etc\hosts.old :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BearShare] [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "crossriderapp498@crossrider.com"=- Klik w Wykonaj skrypt. 2. Wystarczy do oceny tylko log z wynikami przetwarzania skryptu. A tak na marginesie to skoro SpyBot się wypalił to czym go zastąpić by skorzystać z podobnej i DARMOWEJ funkcjonalności? Malwarebytes Anti-Malware. Poza tym, w dzisiejszych czasach zacierają się granice specjalizacji / "tematyki" i antywirusy dedykują pojęcia "spyware". Avast z rezydentem + MBAM na żądanie = wystarczy. . Odnośnik do komentarza
3MOON Opublikowano 21 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2012 Ok dzięki Ale MBAM w wersji, króra stale chroni system jest płatny. Czyba, że źle zrozumiałem i chodzi o to by od czasu do czasu uruchomić skany samemu... 12312004_230614.txt Odnośnik do komentarza
picasso Opublikowano 21 Maja 2012 Zgłoś Udostępnij Opublikowano 21 Maja 2012 Tradycyjnie na zakończenie: 1. Porządki: w OTL Sprzątanie + Uninstall w AdwCleaner. 2. Czyszczenie folderów Przywracania systemu: KLIK. 3. Obowiązkowe aktualizacje do wykonania: KLIK. Kwalifikacje na liście posiadają: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{14F5121B-E4D9-4236-BB73-364CC5C0CFC8}" = OpenOffice.org 2.1"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 25"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java SE Runtime Environment 6 Update 1"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Ale MBAM w wersji, króra stale chroni system jest płatny. Czyba, że źle zrozumiałem i chodzi o to by od czasu do czasu uruchomić skany samemu... Tak, i nie mówiłam tu o rezydencie tylko o skanowaniu na żądanie (wersja darmowa). Łączenie większej ilości rezydentów mija się z celem, Avast ma rozbudowane osłony. Rezydent w Spybocie to starawa konstrukcja, jest bardzo ograniczony a rozszerzenie przeglądarki tylko dla IE (nie adresuje alternatyw), modyfikacja pliku HOSTS jak mówiłam niepożądana. Spybot to przeciętny program jadący na starej opinii, słabo przystający do bieżących infekcji, nie ma też ani odpowiedniego poziomu ingerencji (brak sterownika) ani techniki zabezpieczającej program. . Odnośnik do komentarza
student Opublikowano 21 Maja 2012 Zgłoś Udostępnij Opublikowano 21 Maja 2012 Ok dzięki ... i chodzi o to by od czasu do czasu uruchomić skany samemu... skan samemu przeprowadzasz aby sprawdzić stan systemu czy jest czysty i wolny od złego oprogramowania Odnośnik do komentarza
3MOON Opublikowano 22 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2012 Ok jak zwykle wielkie dzięki za pomoc. Temacik do ciachnięcia. PS kolego student jestem na tym i poprzednim forum z picasso już od ponad 7 lat. Istotny jest fakt, że ilość moich postów wcale nie świadczy o mojej inteligencji... Odnośnik do komentarza
Rekomendowane odpowiedzi