kolejny dzien, kolejny UKASH

[lew]

Także standardowo ostatnimi dniami, tym razem ofiarą padł komputer ojca.

Nie dotykałem go nigdy wcześniej, więc nawet nie wiem ile tam syfu może być.

Oczywiście poszedł combofix, bo "tak w internecie pisali", więc wrzucam loga.

 

OTL sie wywalił z errorem

"Win32 Error. Code: 23 Błąd danych (CRC)."

 

Stąd pewnie nie wygenerował pliku extras.txt. Ale to moje zgadywanie, bo go po prostu nie ma, skan też chyba nie poszedł do końca.

 

Proszę uprzejmie pomoc w tym co robić dalej.

pozdrawiam

lew

ComboFix.txt

OTL.Txt

[picasso]

OTL sie wywalił z errorem

"Win32 Error. Code: 23 Błąd danych (CRC)."

 

Stąd pewnie nie wygenerował pliku extras.txt. Ale to moje zgadywanie, bo go po prostu nie ma, skan też chyba nie poszedł do końca.

 

Tak, to wygląda na przyczynę braku Extras.

 

 

---

Przechodząc do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [WinSyncMetastore] C:\Users\Jerzy Leszczyński\AppData\Local\Microsoft\Windows\4924\WinSyncMetastore.exe ()
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109805&babsrc=SP_ss&mntrId=e8cf9390000000000000001644ed164c"
IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076"
FF - prefs.js..browser.search.defaultthis.engineName: "gry Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "gry Customized Web Search"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=2&q="
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\JERZYL~1\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Files
C:\Users\Jerzy Leszczyński\AppData\Local\Microsoft\Windows\4924
C:\Users\Jerzy Leszczyński\AppData\Roaming\hellomoto
C:\Users\Jerzy Leszczyński\AppData\Roaming\Mozilla\Firefox\Profiles\e5tkbkkw.default\searchplugins\conduit.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Uruchom Firefox i w menedżerze dodatków odinstaluj adware Mario Forever Community Toolbar + gry Community Toolbar.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (sprawdź czy da radę tym razem zrobić Extras. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[lew]

Wykonane jak zalecono,

komputer już się nie blokuje (dołączam log z pkt 1 )

 

Natomiast gry Community Toolbar usunął się normalnie, lecz Mario Forever Community Toolbar pomimo klikania usuń pozostaje przy każdym restarcie FF jako "wyłączony", ale nie usunięty.

 

Skanowanie OTL ciągle kończy się tym samym errorem co poprzednio

"Win32 Error. Code: 23 Błąd danych (CRC)."

 

i extras.txt się nie generuje. Dołączam log.

 

Czy powinien mnie martwić wynik?

OTL 2 - log z punktu 1.txt

OTL 3.Txt

[picasso]

Skanowanie OTL ciągle kończy się tym samym errorem co poprzednio

"Win32 Error. Code: 23 Błąd danych (CRC)."

 

Nie znam przyczyn tego błędu. Trudno mi tu wysunąć jakąś koncepcję.

 

 

Mario Forever Community Toolbar pomimo klikania usuń pozostaje przy każdym restarcie FF jako "wyłączony", ale nie usunięty.

 

Usunę go ręcznie.

 

 

1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: {8532a8b7-c06a-41bb-936a-8ce73e4711ed}:3.2.5.2
[2012-07-09 23:19:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jerzy Leszczyński\AppData\Roaming\mozilla\Firefox\Profiles\e5tkbkkw.default\extensions\{707db484-2428-402d-afb5-d85b387544c7}
[2012-07-09 23:19:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jerzy Leszczyński\AppData\Roaming\mozilla\Firefox\Profiles\e5tkbkkw.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed}

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Uruchom Firefox i potwierdź zanik dodatku w menedżerze.

 

2. Wykonaj prawidłową deinstalację ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej:

 

%userprofile%\Desktop\ComboFix.exe /uninstall

 

Przez SHIFT+DEL skasuj katalog C:\Windows\erdnt (kopia rejestru zrobiona przez ComboFix).

 

3. Gdy powyższa komenda ukończy, w OTL uruchom Sprzątanie, które dokasuje kwarantannę z trojanem oraz sam OTL jako taki.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

 

.

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso