bartoszpawlowski Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Hej, dziś rano złapałem ten syf, próbowałem już generatora haseł i tego drugiego programu Combo Fix (ponoć warto o tym wspomnieć), teraz proszę Was o pomoc. Jak się tego pozbyć? Działa mi tryb awaryjny. W załączniku log OTL i Extras - średnio wiem o co z tym wszystkim chodzi, ale zrobiłem to co robią wszyscy, może mi ktoś wyjaśni Pozdrawiam Bartek Pawłowski otl.txt extras.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Co to za podbijanie? Posty typu "ktoś pomoże" do kosza. Proszę przeczytać zasady działu jak jest traktowane takie zachowanie: KLIK. To nic nie pomoże, to wręcz zaszkodzi. Poza tym, tu wielu prosi o pomoc i założyli tematy wcześniej niż Ty, mają priorytet. Założyłeś temat o 12 w nocy, o prawie 8 rano podbicie. Należy okazać cierpliwość. próbowałem już generatora haseł i tego drugiego programu Combo Fix (ponoć warto o tym wspomnieć) Jakie "ponoć". To jest obowiązek, jak i również i pokazanie loga który utworzył: KLIK. W kwestii używania ComboFix: KLIK. Zwłaszcza, gdy "średnio się orientujesz" w logach OTL (to co dopiero ocena loga z ComboFix). Przechodzą do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe () O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{B7B664DF-3AF9-4C8E-8148-F42BB7831D27}: "URL" = "http://www.ask.com/web?o=15710&l=dis&q={searchTerms}" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Files C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225 C:\Users\Bartek\AppData\Roaming\hellomoto C:\Users\Bartek\AppData\Roaming\Mozilla\Firefox\Profiles\a4m52e0v.default\searchplugins\daemon-search.xml C:\Users\Bartek\AppData\Local\Temp*.html :Services Catchme :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony wtedy przez ComboFix (nie uruchamiaj narzędzia ponownie!). . Odnośnik do komentarza
bartoszpawlowski Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Kurcze, przepraszam - pierwszy raz jestem na Waszym forum, myślałem, że mogę dopytać czy ktoś mi pomoże. Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Czy wykonałeś operacje? I co z danymi: 2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony wtedy przez ComboFix (nie uruchamiaj narzędzia ponownie!). Odnośnik do komentarza
bartoszpawlowski Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Czy wykonałeś operacje? I co z danymi: Przepraszam, w chwilę po naszej poprzedniej wymianie zdań wezwali mnie z rana do pracy, właśnie wróciłem, uruchomiłem forum i działam, jak tylko będą wyniki dam znać. Odnośnik do komentarza
bartoszpawlowski Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Wszystko zrobione to co napisałeś, system się włączył, Ukasha nie ma jak narazie. Załączam to co powinienem. Czy trzeba coś jeszcze zrobić? Dziękuję tak czy inaczej za dotychczasową pomoc. OTL log po usuwaniu.txt OTL drugi log po usuwaniu.txt log Combofix.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Zadania wykonane. Finiszujemy: 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions Ze środka skasuj z prawokliku wartość m3ffxtbr@mywebsearch.com. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: D:\Płyty\201102\ComboFix.exe /uninstall Lokalizacja "płyty" sugeruje, że narzędzie w zamiarze miało być "zachowane" na dłużej. Nic z tego. ComboFix wygasa po 10 dniach (to procedura wewnętrzna zapobiegająca stosowaniu przestarzałej wersji), zaś samo narzędzie jak mówiłam to nie jest na "domowy użytek". 3. Gdy powyższa komenda ukończy, w OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. Przez SHIFT+DEL skasuj katalog C:\Windows\erdnt. 4. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 5. Wykonaj podstawy aktualizacyjne: KLIK. Tutaj wykaz z listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak pakietu SP3"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin ----> wtyczka FF już jest najnowsza (11.3.300.265), ale sprawdź w/w dla IE"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome . Odnośnik do komentarza
bartoszpawlowski Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 1. zrobione 2. Combofix nie chciał się odinstalować, nie mam już w tej lokalizacji pliku combofix.exe. Z tego co pamiętam, to następnego dnia po jego ściągnięciu już go nie było... Nie chciałem go też zostawiać na później, ale w tej lokalizacji po prostu mi się zapisują pliki. 3. zrobione 4. skanowanie wykryło dwie rzeczy, obie skasowałem, log w załączniku mbam-log-2012-07-15 (21-27-37).txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 To co wykrył MBAM to odpadki adware MyWebsearch. Usuń. Następnie: Combofix nie chciał się odinstalować, nie mam już w tej lokalizacji pliku combofix.exe. Z tego co pamiętam, to następnego dnia po jego ściągnięciu już go nie było... Należało zastopować i się zgłosić z pytaniem co dalej, bo tu trzeba było pobrać od nowa ComboFix (w dowolne miejsce) i skierować komendę deinstalacji na to nowe miejsce. Przeszedłeś dalej i punkt numer 3 anulował zadanie, tzn. usunął fragmenty ComboFix, ale to nie jest do końca prawidłowe jego usuwanie (choć owszem likwiduje komponenty). I w związku z tym, że ominąłeś procedurę deinstalacji ComboFix należy ręcznie wyczyścić foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi