Adalbert Opublikowano 15 Września 2012 Zgłoś Udostępnij Opublikowano 15 Września 2012 Zacząłem sprzątać zapuszczony komputer w domu, było sporo toolbarów, kilka poinstalowanych antywirusów, ale żaden aktywny no i strony dziwnie działały (przekierowywanie stron google), bądź nie działały (jak np. youtube.com, który po zmienieniu z http na https jednak ruszył). Odinstalowałem co wiedziałem i umiałem, ale na pewno to nie wszystko. W logach widzę dalej pozostałości po odinstalowanych programach (toolbarach), czy modyfikacje (nie moje) pliku host (przekierowania na 94.228.209.236), ale wolę by ktoś profesjonalniej rzucił na to okiem i napisał co i jak. Dodatkowo mam kilka plików, których nie dam rady usunąć (chyba błędy w nazwach), ale to późniejsza kwestia, najpierw chcę się pozbyć wszelkiego syfu. Z góry dziękuję za pomoc. checkup.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Września 2012 Zgłoś Udostępnij Opublikowano 15 Września 2012 Zabrakło obowiązkowego raportu z GMER. 1. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 2. Otwórz Firefox i w Dodatkach odinstaluj: DealPly, SFT_Polska_ Community Toolbar, SweetIM Toolbar for Firefox, uTorrentBar Community Toolbar. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..network.proxy.type: 4 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.paxyd.com/" IE - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.paxyd.com/" IE - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\URLSearchHook: {8f3c1d75-d467-43c2-9a36-655366b76f5f} - SOFTWARE\Classes\CLSID\{8f3c1d75-d467-43c2-9a36-655366b76f5f}\InprocServer32 File not found O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {DB9D7A78-A76C-4BF2-97C6-258925EE1542} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {E8DE9422-3B2C-4243-BF6F-235DA84D8EF8} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (SFT_Polska_ Toolbar) - {8F3C1D75-D467-43C2-9A36-655366B76F5F} - C:\Program Files\Softonic-Polska_\prxtbSof0.dll File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found O34 - HKLM BootExecute: (aswBoot.exe /A:"*" /L:"Polish") :Files C:\Documents and Settings\All Users\Dane aplikacji\9a0b91 C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\ISXLLAMS C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\Woliccy\Dane aplikacji\Babylon C:\Documents and Settings\Woliccy\Dane aplikacji\Internet Security Suite C:\Documents and Settings\Woliccy\Dane aplikacji\PriceGong C:\Documents and Settings\Woliccy\Dane aplikacji\Thinstall C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\askcom.xml C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\conduit.xml C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\SweetIM Search.xml C:\Documents and Settings\Woliccy\Dane aplikacji\Mozilla\Firefox\Profiles\9wcx3r3r.default\searchplugins\sweetim.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\All Users\Dane aplikacji\9a0b91\IS9a0_2121.exe"=- "C:\Documents and Settings\Woliccy\Moje dokumenty\Pobieranie\facebook-pic00005267.exe"=- "C:\Documents and Settings\Woliccy\Pulpit\pobrane\facebook-pic00023434023402.exe"=- "C:\Documents and Settings\Woliccy\Pulpit\pobrane\SweetImSetup.exe"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- "ProxyEnable"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Services MBAMSwissArmy cpuz132 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i zaległy GMER. Dołącz log z usuwania AdwCleaner z punktu 4. . Odnośnik do komentarza
Adalbert Opublikowano 17 Września 2012 Autor Zgłoś Udostępnij Opublikowano 17 Września 2012 1. wykonane 2. odinstalowane (i trochę porządku w dodatkach zrobiłem) 3. niestety wykonywanie skryptu zaciąło mi (odczekałem kilka minut) się na pozycji: O3 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (SFT_Polska_ Toolbar) - {8F3C1D75-D467-43C2-9A36-655366B76F5F} - C:\Program Files\Softonic-Polska_\prxtbSof0.dll File not found więc ubiłem proces OTL, uruchomiłem ponownie komputer, ponownie wykonałem skrypt (tym razem bez problematycznego wpisu) i wykonywanie znowu zacięło mi się, tym razem na: O34 - HKLM BootExecute: (aswBoot.exe /A:"*" /L:"Polish") ponownie ubiłem proces, uruchomiłem ponownie komputer, wkleiłem skrypt od części :Files w dół i szczęśliwie zakończył swoje działanie OTL (log z ostatniego usuwania w załączniku 09172012_192626.txt) 4. wykonane 5. wykonałem logi OTL i GMERa Dodam jeszcze, że folder "Moje dokumenty" na pulpicie nazywa się "Moje doku,, menty" oraz nie mogę usunąć 2 plików: C:\pobrane\Menu weselne rozłogi.doc C:\pobrane\zakłądki.html oba pliki mają chyba spację za rozszerzeniem. Analogiczne pliki znajdują się w folderze "Pobieranie" również bezpośrednio na dysku C (sam przerzuciłem tu foldery, by łatwiejsza ścieżka była). Planuję zainstalować SpywareBlaster i przeskanować SUPERAntiSpyware. Warto? No i przy okazji czyszczenia odinstalowałem paczki kodeków i zastanawiam się jaki sensowny program do odtwarzania multimediów wrzucić, by zbytnio nie ścmiecić. VLC? Media Player Classic HomeCinema? No i jeszcze jedno pytani, w Dodaj/usuń programy mam jeszcze Data Access Objects (DAO) 3.5. Nie wiem co to jest - usunąć? GMER.txt 09172012_192626.txt AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Log z GMER zrobiłeś w nieodpowiednim środowisku, przy czynnym sterowniku SPTD od emulacji napędów wirtualnych. Zostaw już to jednak. DRV - [2010-04-30 14:51:14 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Tylko poprawki zostały: 1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" O7 - HKU\S-1-5-21-583907252-1364589140-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 1 :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem bez restartu. 2. Do oceny wystarczy tylko log z wynikami usuwania OTL. Dodam jeszcze, że folder "Moje dokumenty" na pulpicie nazywa się "Moje doku,, menty" Czy to na pewno specjalny systemowy folder "Moje dokumenty" czy może jakiś dodatkowy twór w postaci zwyczajnego folderu? nie mogę usunąć 2 plików:C:\pobrane\Menu weselne rozłogi.doc C:\pobrane\zakłądki.html oba pliki mają chyba spację za rozszerzeniem. Analogiczne pliki znajdują się w folderze "Pobieranie" również bezpośrednio na dysku C (sam przerzuciłem tu foldery, by łatwiejsza ścieżka była). Spróbuj je skasować programem Delete FXP Files. Planuję zainstalować SpywareBlaster i przeskanować SUPERAntiSpyware. Warto? Ten pierwszy jest przestarzałą aplikacją. Tym drugim owszem możesz przeskanować, choć ja preferuję Malwarebytes' Anti-Malware (ale są już znaki jego pobytu na dysku). No i jeszcze jedno pytani, w Dodaj/usuń programy mam jeszcze Data Access Objects (DAO) 3.5. Nie wiem co to jest - usunąć? To silnik bazodanowy MS, używany m.in. przez Access (KLIK / KLIK)). Masz zainstalowany pakiet Office 2007. . Odnośnik do komentarza
Adalbert Opublikowano 2 Października 2012 Autor Zgłoś Udostępnij Opublikowano 2 Października 2012 Skrypt wykonany, log w załączniku. Dla pewności dodaję OTL i Extras. Folder Moje dokumenty (z błędem w nazwie) chyba był tym systemowym (skrótem), bo znikał i pojawiał się przy zaptaszkowywaniu PPM-Właściwości-Pulpit-Dostosuj pulpit...-Moje dokumenty, ale wystarczyło ręcznie zmienić nazwę i tak zostało, nie wiem czy to był przypadek, czy skutek jakiejś wcześniejszej infekcji, na razie jest ok. Pliki udało mi się skasować tym programem, zmieściłem się w 5 plikowym ograniczeniu wersji demo. Dziękuję Ci picasso, byłaś bardzo pomocna. 10022012_182757.txt Odnośnik do komentarza
picasso Opublikowano 3 Października 2012 Zgłoś Udostępnij Opublikowano 3 Października 2012 Nowe skany OTL nie były mi potrzebne (usuwam) dla potwierdzenia tak nikłych modyfikacji. Akcje wykonane jak w zamiarze i możemy kończyć: 1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, Delete FXP Files rzecz jasna możesz odinstalować. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj IE i wtyczkę Adobe Flash w Firefox: KLIK. Wersje aktualnie widziane w logach: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () . Odnośnik do komentarza
Adalbert Opublikowano 4 Października 2012 Autor Zgłoś Udostępnij Opublikowano 4 Października 2012 Sprzątanie i aktualizacje udane, jeszcze raz dziękuję za pomoc, temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi