Komputer został zablokowany

[agulinka]

Witam,

 

Proszę o pomoc- mój komputer został zainfekowany przez trojana. Przywróciłam system do daty sprzed infekcji a także przeskanowałam cały system antywirusem. Załączam logi z OTL.

Extras.Txt

OTL.Txt

[picasso]

Mimo Przywrócenia systemu jest tu co czyścić: różne odpadki po infekcjach (a winę ponosi m.in. kompletnie nieaktualizowany Windows) oraz adware. Ogólnie mówiąc: brud.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=iron&s={searchTerms}&f=4"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014
FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=060612_8_&babsrc=KW_ss&mntrId=505f1d1e0000000000000022437a5b71&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112037&tt=060612_8_&babsrc=HP_ss&mntrId=505f1d1e0000000000000022437a5b71"
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\nhkzlvuo.dll -- (tcvap)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Internet Explorer\nhkzlvuo.dll -- (ndtngtmg)
NetSvcs: tcvap - File not found
NetSvcs: ndtngtmg - File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio)
 
:Files
C:\Documents and Settings\xxx\Dane aplikacji\hellomoto
C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\xxx\Dane aplikacji\Babylon
C:\Documents and Settings\xxx\Dane aplikacji\facemoods.com
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\fxcbdj3q.default\searchplugins\daemon-search.xml
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\fxcbdj3q.default\searchplugins\sweetim.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
C:\WINDOWS\System32\custmon32.dll
E:\AUTORUN.INF
G:\autorun.inf
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"=-
"KernelFaultCheck"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Deinstalacje adware:

- Przez Panel sterowania odinstaluj: 2YourFace 1.0, DAEMON Tools Toolbar, DealPly, Internet Explorer Toolbar 4.6 by SweetPacks.

- Otwórz Firefox i w Dodatkach odinstaluj: 2YourFace, DealPly, DAEMON Tools Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[agulinka]

Postąpiłam według instrukcji.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Nie dołączyłeś loga z wynikami usuwania, ale to możemy sobie darować. Zadania wykonane.

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

4. Wykonaj aktualizacje: KLIK. Z Twojej listy zainstalowanych, widać krytyczny poziom aktualizacji Windows (brak SP3 + IE8 + łat następujących) i przestarzałe wersje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3

 

 

PS. Gadu-Gadu 10, pamięciożerne i reklamodawcze, warto wymienić przyjemniejszą altenatywą z obsługą sieci Gadu: AQQ, Kadu, WTW, Miranda. Opisy w artykule Darmowe komunikatory.

 

.

[agulinka]

Wysyłam raport z malwarebytes.

mbam-log-2012-07-18 (19-57-58).txt

[picasso]

Wynik z zakresu infekcji z nośników USB to PUM.Hijack.System.Hidden (konfiguracja uniemożliwiająca przestawienie widoczności ukrytych plików) i należy to naprawić w MBAM. Natomiast wyniki PUM.Disabled.SecurityCenter to tylko adnotacje, że powiadomienia Centrum zabezpieczeń są wyłączone.

 

Zabierz się za ważne aktualizacje. Potwierdź wykonanie operacji i daj sygnał do zamknięcia tematu.

 

 

.

[agulinka]

ok, dziękuję za pomoc