palik Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Witam serdecznie, podobnie jak dużo osób tutaj mój komputer padł ofiarą wirusa rządającego pieniędzy. Załączam logi i liczę na pomoc. SYSTEM: Windows Vista Basic 32bit Service Pack 2 Jakieś 3 miesiące temu użyłem ComboFix, ale nie wiem czy w takim odstępie czasu na coś może to wpłynąć. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Są tu także ślady innych infekcji oraz adware.... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [wwancfg] C:\Users\Palik\AppData\Local\Microsoft\Windows\3007\wwancfg.exe () O4 - HKU\S-1-5-21-334412001-3445786627-2903519504-1000..\Run: [Audio Device] C:\Users\Palik\AppData\Roaming\ahekoha.exe (Company) O7 - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O37 - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\...com [@ = ComFile] -- Reg Error: Key error. File not found IE - HKLM\..\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}: "URL" = "http://search.shareazaweb.com/web?src=ieb&systemid=3&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=419&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\..\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}: "URL" = "http://search.shareazaweb.com/web?src=ieb&systemid=3&q={searchTerms}" IE - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=419&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6OyGO2gZCR&i=26" FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb139/?loc=IB_DS&a=6OyGO2gZCR&&i=26&search=" O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [unknown (-1) | Stopped] -- -- (mlxuxnk) SRV - File not found [unknown (-1) | Stopped] -- -- (lmtoylhj) SRV - File not found [unknown (-1) | Stopped] -- -- (heuawd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\cm112.sys -- (USBADVAU) DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (mlxuxnk) DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (lmtoylhj) DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (heuawd) :Files C:\Users\Palik\AppData\Local\Microsoft\Windows\3007 C:\Users\Palik\AppData\Roaming\hellomoto C:\Users\Palik\AppData\Roaming\dclogs C:\Users\Palik\AppData\Roaming\OpenCandy C:\Users\Palik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Palik\Desktop\Live Security Platinum.lnk C:\ProgramData\F4D55F17000170E5000B6B65570F1C8B C:\ProgramData\Premium C:\user.js C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml C:\Users\Palik\AppData\Roaming\Mozilla\Firefox\Profiles\6zzpnp0x.default\searchplugins\MyStart Search.xml C:\Users\Palik\AppData\Roaming\Mozilla\Firefox\Profiles\6zzpnp0x.default\searchplugins\Search_Results.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{336D0C35-8A85-403a-B9D2-65C292C39087}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Otwórz Google Chrome i w wejdź do menedżera wyszukiwarek, aktualnie jako domyślna ustawiony śmieć: ========== Chrome ========== CHR - default_search_provider: MyStart Search (Enabled)CHR - default_search_provider: search_url = "http://mystart.incredibar.com/mb139/?loc=IB_DS&search={searchTerms}&a=6OyGO2gZCR&i=26"CHR - default_search_provider: suggest_url = Przestaw domyślną wyszukiwarkę na cokolwiek innego (np. Google), zaś MyStart Search usuń z listy. 3. Wykonaj ogólną deinstalację adware: - Przez Panel sterowania: Incredibar Toolbar on IE, MediaBar, Optimizer Pro v3.0, Web Assistant 2.0.0.439. - W menedżerze dodatków Firefox: incredibar.com, Searchqu Toolbar, Web Assistant. - W menedżerze rozszerzeń Google Chrome: Web Assistant. 4. Uruchom AdwCleaner i zastosuj Delete. Wynikowoa powstanie log na dysku C. 5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4. . Odnośnik do komentarza
palik Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Rozumiem, że wszystko mam wykonać w trybie awaryjnym? EDIT: Na poleceniu [emptytemp] dość długo pracuje. Rozumiem, że to raczej normalny obiaw. Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 palik, nie, tylko uruchomienie skryptu w Trybie awaryjnym. Po restarcie komputer będzie odblokowany i wtedy z poziomu Trybu normalnego działasz. Czyszczenie Temp może bardzo długo trwać, nie przerywać dopóki się zdaje, że OTL pracuje. Odnośnik do komentarza
palik Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Chyba się udało. Wszystko wg instrukcji. W załączniku 3 pliki log. Dodatkowo dowiedziałem się że avast! blokuje OTL na starcie, dzięki czemu nie pojawia się notatnik z wynikami. EDIT [13:35] Explorer zaliczył crash: Podpis problemu: Nazwa zdarzenia problemu: APPCRASH Nazwa aplikacji: Explorer.EXE Wersja aplikacji: 6.0.6002.18005 Sygnatura czasowa aplikacji: 49e01da5 Nazwa modułu z błędem: TosBtShell.dll_unloaded Wersja modułu z błędem: 0.0.0.0 Sygnatura czasowa modułu z błędem: 4317fd14 Kod wyjątku: c0000005 Przesunięcie wyjątku: 06f74680 Wersja systemu operacyjnego: 6.0.6002.2.2.0.768.2 Identyfikator ustawień regionalnych: 1045 Dodatkowe informacje 1: fd00 Dodatkowe informacje 2: ea6f5fe8924aaa756324d57f87834160 Dodatkowe informacje 3: fd00 Dodatkowe informacje 4: ea6f5fe8924aaa756324d57f87834160 OTL.Txt OTL_z-usuwania.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Wszystko zrobione. 1. Mini poprawka na szczątki paskowe. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (MediaBar) - {EE9A4208-64EC-11DE-8440-204256D89593} - C:\PROGRA~1\SHAREA~1\MediaBar\ToolBar\ShareazaMediabarDx.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {EE9A4208-64EC-11DE-8440-204256D89593} - C:\PROGRA~1\SHAREA~1\MediaBar\ToolBar\ShareazaMediabarDx.dll File not found O20 - AppInit_DLLs: (C:\PROGRA~1\SHAREA~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files\Shareaza Applications\MediaBar\Datamngr\datamngr.dll (Discordia, LTD) O20 - AppInit_DLLs: (C:\PROGRA~1\SHAREA~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files\Shareaza Applications\MediaBar\Datamngr\IEBHO.dll (Discordia, LTD) Klik w Wykonaj skrypt. Tym razem nie będzie restartu, a loga nie musisz prezentować. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Explorer zaliczył crash: Ale w jakich okolicznościach? Na błędzie "Nazwa modułu z błędem: TosBtShell.dll_unloaded", czyli biblioteka rozszerzenia powłoki dla BlueTooth. . Odnośnik do komentarza
palik Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Zazwyczaj dziejie się to przy operacjach "kopiuj", "wytnij". Jednak "Nazwa modułu...." zmienia się i nie zawsze dotyczy Toshiba BlueTooth. Jak znów wyskoczy wkleję tu szczegóły. Jak dobrze pamiętam w 90% dotyczy to bibliotek dll. [EDIT, 23:02] Załączam log z Malwarebytes. mbam-log-2012-07-08 (22-59-39).txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 1. Żaden z wyników MBAM nie wydaje się kluczowy. Kolejno: Malware.Trace to owszem ślad po infekcji, ale już tylko ślad. Kasuj. Wyniki z Thinstall to fałszywe alarmy. Sprawę omawiałam na forum w tym temacie: KLIK. Wyniki określone jako PUM* to tylko adnotacja o wyłączonych alertach Centrum zabezpieczeń. Ten typ objaśniałam z kolei tu: KLIK. Malware.Packer.GenX na bibliotece językowej Alcohola zdaje się być fałszywym alarmem. Affiliate.Downloader chyba też, choć podejrzane, że plik ma podwójne rozszerzenie *.rar.exe. A to co jest wykryte w katalogach Autodesk to chyba jakieś cracki, za takie rzeczy nie podłożę głowy na pniu. 2. Na zakończenie wykonaj istotne aktualizacje / sprawdzanie wersji: KLIK. Tutaj próbka wykazu wersji z logów Twojego systemu: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"FileZilla Client" = FileZilla Client 3.5.2"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)"Spik" = Spik ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-334412001-3445786627-2903519504-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Tlen.pl" = Tlen.pl W ramach dywagacji pobocznych punktuję tu combo Spik i Tlen.pl ze względu na kalekość obu rozwiązań, a oba komunikatory porzucone przez firmy macierzyste i nierozwijane. Proponuję wymianę jednym a dobrym i nowoczesnym. Do wglądu moje opracowanie Darmowe komunikatory. Pod uwagę opisy aplikacji: WTW, Kadu, Miranda i AQQ. Wszystkie inne z obsługą Gadu = kiepsko i nie można ich brać na serio. Pogrubiony jest polecany przeze mnie, ale odpada, jeśli konto Jabber serwera Spika ma być logowane, serwer Spika to dinozaur, a WTW nie obsługuje takich archaizmów, tylko nowoczesne serwery XMPP pozwala zalogować. Do Jabber Spik nadają się za to pozostałe wyliczone tu komunikatory lub inne opisane w sekcji klientów Jaber / XMPP. Zazwyczaj dziejie się to przy operacjach "kopiuj", "wytnij". Jednak "Nazwa modułu...." zmienia się i nie zawsze dotyczy Toshiba BlueTooth. Jak znów wyskoczy wkleję tu szczegóły. Jak dobrze pamiętam w 90% dotyczy to bibliotek dll. Objawy sugerują wadliwe rozszerzenia powłoki. Wykonaj test za pomocą aplikacji ShellExView. W programie zaznacz z wciśniętym CTRL zbiorowo wszystkie różowe pozycje (niedomyślne rozszerzenia) i wyłącz, następnie zresetuj system i podaj czy widzisz jakąś poprawę. . Odnośnik do komentarza
palik Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Wszystko jakby wróciło do normy. Oprócz faktu iż nie ma możliwości uruchomienia usługi "Centrum zabezpieczeń". Pojawia się komunikat "Nie można uruchomić Centrum zabezpieczeń" Odnośnie komunikatorów, Tlen używany tylko chyba z przyzwyczajenia. Kadu używam pod Linuxem i nie mogę się do niego przekonać. Spróbuję WTW - screen'y wyglądają przyjaźnie. Nie wiem, czy nie przydałoby się zmienić antywirusa. Tylko czy jakaś racjonalna alternatywa dla Avast! istnieje? Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Wszystko jakby wróciło do normy. Mówisz o operacji z ShellExView? Jeśli to pomogło, teraz należy zacząć się "cofać wstecz" włączając partiami (np. wg producenta) uprzednio wyłączone rozszerzenia + restart, i tak aż wychwycisz który obiekt tworzy kolizję. Ten na trwałe zostaw wyłączony. Oprócz faktu iż nie ma możliwości uruchomienia usługi "Centrum zabezpieczeń". Pojawia się komunikat "Nie można uruchomić Centrum zabezpieczeń" Dodaj log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Nie wiem, czy nie przydałoby się zmienić antywirusa. Tylko czy jakaś racjonalna alternatywa dla Avast! istnieje? Nie sądzę, by istniała taka potrzeba. "Na pocieszenie": w innych tematach różne antywirusy w tle, tak darmowe jak i komercyjne, a system został zainfekowany UKAS-em. . Odnośnik do komentarza
palik Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Tak, ShellExView. Jak na razie chyba pozostanę przy większości wyłączonej, gdyż np. z BlueTooth nie korzystam w ogóle inne natomiast to zazwyczaj jakiś toolbar lub helper. Chyba, że jest taka konieczność na znalezienie kolizji i usunięcie danej aplikacji/procesu. [EDIT] + log FSS Centrum Zabezpieczeń miałem wyłączone w Usługach. services.msc i ponowne uruchomienie pomogło. Nie wiem czy to odpowiedni sposób tylko. P.S. Czy da się uniknąć informacji o wyłączonej kontroli rodzicielskiej? FSS.txt Odnośnik do komentarza
Rekomendowane odpowiedzi