maryoosh Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Witam, problem w systemie Windows XP, bardzo prosze o pomoc, w zalaczeniu pliki extras i otl. Z góry dziekuje i pozdrawiam. Mariusz Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Zasady działu do wglądu, obowiązkowym logiem jest tu także GMER. Prócz UKASH, są tu również szczątki starszej niedokładnie wyczyszczonej infekcji. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 60667 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:60667 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [11A.exe] C:\Program Files\LP\AFB4\11A.exe File not found O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe File not found O4 - HKLM..\Run: [hdgsnibnkejgbmx] C:\Documents and Settings\All Users\Dane aplikacji\hdgsnibn.exe () O4 - HKCU..\Run: [hdgsnibnkejgbmx] C:\Documents and Settings\All Users\Dane aplikacji\hdgsnibn.exe () O4 - HKCU..\Run: [] File not found O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - File not found [2012-06-27 12:45:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\sgyaxmksfzgnlrx [2012-06-27 12:45:48 | 000,000,052 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\uwclumdjrnssxbl [2012-06-27 12:45:40 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\npagtbsm.exe [2012-06-27 12:45:40 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\evejscgr.exe [2012-06-27 12:45:40 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\ddpalcbk.exe [2012-03-29 16:01:55 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\crt.dat [2012-03-29 16:01:51 | 000,295,918 | ---- | C] () -- C:\WINDOWS\System32\shimg.dll [2007-10-29 14:00:00 | 000,000,036 | ---- | C] () -- C:\Documents and Settings\Mariusz\uidsave.dat [2011-11-28 11:21:02 | 000,000,005 | -H-- | C] () -- C:\Documents and Settings\Mariusz\.zs [2012-06-27 15:50:04 | 000,000,000 | ---D | C] -- C:\sh4ldr [2012-06-27 15:50:04 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk = File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Image Zone - szybkie uruchamianie.lnk = File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wdcsam.sys -- (WDC_SAM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Senfilt.sys -- (SenFiltService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AEAudio.sys -- (AEAudio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zresetowany i odblokowany, automatycznie otworzy się log z wynikami usuwania. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. Przez Dodaj / Usuń programy odinstaluj dziwaczny SpeedyPC Pro. W menedżerze dodatków Firefox wymontuj uTorrentBar Community Toolbar + ConduitEngine. 4. Zastosuj AdwCleaner z opcji Delete. 5. Wykonaj nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Dołącz log z wynikami usuwania pozyskany w punkcie 1 oraz ten z AdwCleaner. . Odnośnik do komentarza
maryoosh Opublikowano 27 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Bardzo dziekuje, system szczesliwie ruszyl. Wszystko zrobilem wg zaleceń, z tym, ze nie wiem co to jest ConduitEngine Pliki w zalaczeniu, z tym, ze z wyniku AdwCleanera usunalem kilka pierwszych linijek (one tylko identyfikowaly komputer/firme), niechcialbym aby kazdy odwiedzajacy forum mial do dostep do tych informacji. Jeszcze raz bardzo dziekuje za pomoc i pozdrawiam, Mariusz OTL.Txt AdwCleanerS1.txt gmerek.txt 06272012_213755.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Zadania pomyślnie wykonane, a liczba przeczyszczonych plików tymczasowych porażająca (Total Files Cleaned = 28Â 019,00 mb). Wszystko zrobilem wg zaleceń, z tym, ze nie wiem co to jest ConduitEngine To para do paska uTorrent. Rozszerzenie było uprzednio widzialne w Firefox: ========== FireFox ========== FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 I nadal to notuję w logu. W związku z tym, że nie widzisz tego, ręcznie doczyszczę. Kolejna porcja zadań: 1. Drobny skrypt poprawkowy do OTL. Wklej do okna i Wykonaj skrypt. Tym razem bez restartu. :OTL FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties" FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll File not found [2012-06-27 14:18:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mariusz\Dane aplikacji\SpeedyPC Software [2012-06-27 14:18:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mariusz\Dane aplikacji\DriverCure [2012-06-27 14:18:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\SpeedyPC Software 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware i przedstaw wynikowy raport, o ile coś zostanie znalezione. . Odnośnik do komentarza
maryoosh Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Witam, ponownie - zrobilem wszystko wg zalecen. W zlaczeniu plik z pelnego skanowania (wykryte trzy pliki). Acha, i raport PO naprawie (powyzej byl raport tuz po pelnym skanowaniu): Malwarebytes Anti-Malware (Okres testowy) 1.61.0.1400 www.malwarebytes.org Wersja bazy: v2012.06.28.04 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Mariusz :: RATIONAL [administrator] Ochrona: Wyłączona 2012-06-28 08:40:05 mbam-log-2012-06-28 (08-40-05).txt Typ skanowania: Pełne skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 857803 Upłynęło: 4 godzin(y), 24 minut(y), 14 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 3 C:\Program Files\Apache Software Foundation\Apache2.2\bin\ab.exe (Trojan.Swrort) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Program Files\LP\AFB4\3F09.tmp (Trojan.Dropper.PE4) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Mariusz\Pulpit\Rationalis\apex_video_converter_pro_7.64.exe (Trojan.StartPage) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. (zakończone) BTW Czy sensowny jest zakup tego produktu malware bytes? Jest lepszy/gorszy od kasperskiego? Ewentualnie jakies inne sensowniejsze propozycje? Nie chcialbym ponownie wpakowac sie na cos w rodzaju Weeslofa. Pozdrawiam, Mariusz Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 maryoosh, do uzupełnienia informacji, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam. 1. Wyniki ze skanera: przez SHIFT+DEL skasuj cały katalog C:\Program Files\LP (stworzony przez infekcję). Dwa pozostałe wyniki nie są dla mnie pewne co to było. 2. Wykonaj aktualizacje: KLIK. Tutaj wyciąg z listy zainstalowanych czym należy się zająć: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java 6 Update 2"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Gadu-Gadu" = Gadu-Gadu 7.7"Microsoft SQL Server 10" = Microsoft SQL Server 2008"Microsoft SQL Server 2005" = Microsoft SQL Server 2005"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome - Service Packi: KB913089 (Microsoft SQL Server 2005) + KB968382 (Microsoft SQL Server 2008). Zajmij się też aktualizacją pozostałych "serwerowych" aplikacji. - GG7 zakreślam, bo to niepełnosprawny słabo zabezpieczony wariant (brak szyfrowania). Wertuj artykuł Darmowe komunikatory. Proponowana alternatywa: WTW. 3. Prewencyjna wymiana haseł logowania w serwisach. BTW Czy sensowny jest zakup tego produktu malware bytes? Jest lepszy/gorszy od kasperskiego? Ewentualnie jakies inne sensowniejsze propozycje? Nie chcialbym ponownie wpakowac sie na cos w rodzaju Weeslofa. MBAM nie zastąpi pakietu KIS, jest to nieco inny rodzaj zadaniowy. On stanowi bardziej uzupełnienie do Kasperskiego. W związku z rozbudowanym rezydentem KIS pozostań przy wersji darmowej, która oferuje skan na żądanie. Trudno coś tu proponować w zamian za KIS, bo obserwacje na forum są niepomyślne, różne antywirusy i skutki opłakane. Nie wiem w czym rzecz, czy nieuwaga użytkownika / jakieś manipulacje w osłonach antywirusowych, czy po prostu antywirusy nie czują tego. . Odnośnik do komentarza
maryoosh Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Jesli chodzi o edytowanie wyslanych juz postow, to niestety nie znalazlem tam mozliwosci dolepienia dodatkowego zalacznika, wygladalo jakby mozna bylo jedynie zmieniac tresc, Jesli chodzi o KIS to ma jedna wade, strasznie zamula system, dlatego pytalem o alternatywe. Jeszcze raz wielkie dzieki za pomoc i pozdrawiam, Mariusz Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 (edytowane) Jesli chodzi o edytowanie wyslanych juz postow, to niestety nie znalazlem tam mozliwosci dolepienia dodatkowego zalacznika, wygladalo jakby mozna bylo jedynie zmieniac tresc, Edytuj > Użyj pełnego Edytora .... Jesli chodzi o KIS to ma jedna wade, strasznie zamula system, dlatego pytalem o alternatywe. Tu jest obecny KIS 2011. Czy testowałeś trial nowszej edycji KIS 2012, jak ta leży w systemie? . Edytowane 9 Lipca 2012 przez picasso 9.07.2012 - Brak dodatkowych komentarzy, temat rozwiązany, zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi