Malware, ten sam co wszyscy dziś

[puszczyk]

Nie ma co opisywać działania malware, ta sama próba wymuszenia pieniędzy. Prosiłbym o pomoc.

 

PS. Komputer na którym wykonałem LOGi nie jest mój, ale biore pełną odpowiedzialność, za wszystko co mi poradzicie zrobić

OTL.Txt

Extras.Txt

[picasso]

Czy to na pewno logi z właściwego konta? Tryb normalny (a nie awaryjny) sugerujący złe konto + brak jawnego wpisu startowego infekcji. Logi muszą być zrobione z poziomu konta, które ma problem. Rejestry kont się różnią = logi są inne.

[puszczyk]

Logi są z właściwego konta.

Wirus zaczął działać, miałem puszczać format dysku, jednak coś mnie tknęło i spróbowałem uruchomić narzędzie do naprawy/przywracania systemu. Komputer uruchomił się poprawnie, i wtedy zrobiłem logi by móc go spokojnie z systemu usunąć. Nie chce uruchamiać ponownie systemu, bo możliwe że wtedy nastąpi aktywacja.

[picasso]

Nie chce uruchamiać ponownie systemu, bo możliwe że wtedy nastąpi aktywacja.

 

Tylko ja Ci nie usunę rzeczy nieistniejącej. Po infekcji widać tylko ten folder i to nie jest obiekt z którego infekcja startuje tylko poboczny element tworzony przez infekcję:

 

[2012-07-05 23:59:38 | 000,000,000 | ---D | C] -- C:\Users\oem\AppData\Roaming\hellomoto

 

Nie ma w logu nic innego związanego z tą infekcją. Tak więc:

 

Wirus zaczął działać, miałem puszczać format dysku, jednak coś mnie tknęło i spróbowałem uruchomić narzędzie do naprawy/przywracania systemu.

 

To było Przywracanie systemu? Jeśli tak, to nie ma tu czego szukać.

 

To co natomiast aktualnie jest widzialne w logu to: w Firefox rozszerzenie malware opisane jako "z" oraz różne paski adware. Na razie nie zadaję czyszczenia, dopóki nie określisz wyraźniej zastosowanej opcji.

 

.

[puszczyk]

A gdy uruchomię ponownie komputer, wirus aktywuje się, jak przejść do trybu normalnego komputera?

Po aktywacji malware wszystko było blokowane. Wtedy logi mogę wykonać tylko z trybu awaryjnego.

[picasso]

puszczyk, nie rozumiem o co Ci chodzi. Ja tu nie widzę nic co może odtwarzać infekcję (trzymam się wypowiedzi, że to właściwe konto). A nawet gdyby teoretycznie komputer został zablokowany, logi robione z Trybu awaryjnego i tyle, przejście w Tryb normalny w ogóle niekonieczne do tej operacji.

[puszczyk]

Ja tu nie widzę nic co może odtwarzać infekcję

 

Trzymam za słowo Zaraz zrobię restart systemu, i sprzątanie OTL'em .

[picasso]

i sprzątanie OTL'em

 

Ale ... OTL tu będzie jeszcze potrzebny. Przecież mówiłam:

 

To co natomiast aktualnie jest widzialne w logu to: w Firefox rozszerzenie malware opisane jako "z" oraz różne paski adware. Na razie nie zadaję czyszczenia, dopóki nie określisz wyraźniej zastosowanej opcji.

 

 

[puszczyk]

dopóki nie określisz wyraźniej zastosowanej opcji.

 

A czy mógłbym prosić troszkę jaśniej, żebym już nie zawracał głowy, bo widzę, że roboty dzisiaj masz sporo.

[picasso]

Ja Cię po prostu zapytałam czy "narzędzie do naprawy/przywracania systemu" oznaczało czyste Przywracanie systemu. Dobra, porzućmy gierki słowne. Podaję te zaległe instrukcje:

 

1. Deinstalacja adware:

- Przez Panel sterowania: Ask Toolbar, Ask Toolbar Updater, Contextual Tool Extrafind, StartSearch Toolbar 1.3, uTorrentBar Toolbar, VshareComplete, Yontoo oraz vShare.tv plugin 1.3 (tak, ta wtyczka video wpuściła w system adware).

- W menedżerze dodatków Firefox: Ask Toolbar, denvernuggets Community Toolbar, uTorrentBar Community Toolbar, VshareComplete, Yontoo

 

2. W programie AdwCleaner użyj opcję Delete. Powstanie log na dysku C.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\oem\AppData\Roaming\hellomoto
C:\Windows\SysWow64\6a476ebc.exe
C:\Program Files (x86)\mozilla firefox\extensions\{10048254-c292-9aa7-b049-8517a1a0ff84}
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C6FB3823-AEC2-4DA4-BFAB-EE6CDC11AEB8}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9817DD8F-42E3-412D-9A05-0BB96247DF83}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C6FB3823-AEC2-4DA4-BFAB-EE6CDC11AEB8}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. W folderze C:\_OTL powstanie log z wynikami usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania z punktówc 2 i 3.

 

 

 

 

.

[puszczyk]

Wykonałem wszystko.

AdwCleanerS1.txt

OTL.Txt

07062012_142324.txt

[picasso]

O ile akcje automatyczne wykonane, to z ręcznymi nie do końca. Czy Ty na pewno deinstalowałeś adware z poziomu menedżera dodatków Firefox? Nadal widzę śmieci.

 

1. Poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-3670738381-407962572-4229071764-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O3 - HKU\S-1-5-21-3670738381-407962572-4229071764-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
[2011-11-19 00:22:36 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Users\oem\AppData\Roaming\mozilla\Firefox\Profiles\rpf9dozm.default\extensions\{3697b17c-b572-4862-a5e6-7f922c0f3403}
[2012-07-06 13:40:37 | 000,000,000 | ---D | M] (denvernuggets Community Toolbar) -- C:\Users\oem\AppData\Roaming\mozilla\Firefox\Profiles\rpf9dozm.default\extensions\{b76a5f6d-7914-4886-b441-ce2ef9219e69}
[2012-05-30 21:51:06 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\oem\AppData\Roaming\mozilla\Firefox\Profiles\rpf9dozm.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}

 

Klik w Wykonaj skrypt. Tym razem bez restartu. Logów też już nie sprawdzam.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Jeśli nic, to już pruj do:

 

5. Wykonaj istotne aktualizacje / sprawdzan wersji: KLIK. Tu z Twojej listy zainstalowanych wyciąg:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

 

PS. I Gadu-Gadu 10 można zamienićczymś ludzkim i mniej zasobożernym ... Do wglądu Darmowe komunikatory i opisy: WYW, Miranda. Kadu, AQQ.

 

.