Kamil12 Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Witam. Tak jak w temacie mialem zablokowany komputer przez to dziadostwo. Ucze sie informatyki, wiec pierwsze co zrobilem uruchomilem tryb awaryjny i combofix. Udalo sie nie ma juz blokady, ale chcialbym aby ktos sprawdzil loga z combofixa i powiedzial czy mam cos zrobic-poprawic. Zalaczam loga i prosze o odpowiedz. ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Ucze sie informatyki, wiec pierwsze co zrobilem uruchomilem tryb awaryjny i combofix. Na temat użytkowania ComboFix: KLIK. Sprawę dało się rozwiązać bez ComboFix. I poproszę o obowiązkowe w tym dziale logi z OTL. Na dysku powinien być jeszcze jeden plik po tej infekcji (msconfig.ini), którego ComboFix nie kasował, a jego log też go nie pokazuje (logi ComboFix są filtrowane wg nieco innych parametrów niż np. logi OTL). . Odnośnik do komentarza
Kamil12 Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 To ten plik mscconfig.ini tez wrzucic? Odnośnik do komentarza
picasso Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Kamil12, poprosiłam o logi z OTL. Logi te mają inny charakter niż raport z ComboFix i widać tam więcej danych. Odnośnik do komentarza
Kamil12 Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 Proszę bardzo. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Wspominany przeze mnie plik jest na dysku: [2012-09-26 17:43:34 | 000,000,045 | ---- | C] () -- C:\Documents and Settings\Kamil\Dane aplikacji\msconfig.ini Na dodatek, ComboFix wcale nie usunął prawidłowo głównego wpisu infekcji (tylko plik wywalał, ale nie skorygował rejestru): O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Kamil\Dane aplikacji\msconfig.dat) - File not found Poza tym, do wyczyszczenia inne obiekty infekcji, adware (śmieci wprowadzone przez wtyczkę vShare = tak, vShare robi bajzel w systemie) oraz wpisy puste. Czyli akcja: 1. Przez Panel sterowania odinstaluj vShare.tv plugin 1.3. 2. Zamknij Firefox (nie może być uruchomiony w procesach). Zresetuj radykalnie plik preferencji (w którym zresztą są martwe preferencje ze starszych wersji FF) poprzez wyizolowanie na Pulpit poniższego pliku: C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\e8lv1jmm.default\prefs.js 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Kamil\Dane aplikacji\msconfig.ini C:\Documents and Settings\Kamil\Dane aplikacji\wyUpdate AU C:\Documents and Settings\Kamil\wc C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\e8lv1jmm.default\searchplugins\startsear.xml C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{57A2BF33-284A-4BDD-8619-B95ED32C85CC}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{57A2BF33-284A-4BDD-8619-B95ED32C85CC}" :OTL IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=66e9b992-3a37-11e1-887a-00138f4003a1&q={searchTerms}" IE - HKCU\..\SearchScopes\{0BC50E57-6E9F-4F2C-A93E-1F8889C2A8DC}: "URL" = "http://search.avg.com/route/?d=4da45d6c&v=6.103.18.1&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={5F025306-8725-4447-BD87-99A0CF61A499}&mid=400444565b1d47d6a00bd15ac9a4ea52-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&pr=fr&d=2012-09-27 15:38:38&v=13.1.0.1&sap=dsp&q={searchTerms}" FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\Program Files\TVUPlayer\npTVUAx.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKCU..\Run: [blazeServoTool] "C:\Program Files\BlazeVideo\BlazeDTV 6.0\MediaDetector.exe" File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva389.sys -- (XDva389) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\ctdvda2k.sys -- (ctdvda2k) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1.PRV\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
Kamil12 Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 Proszę log z OTL. A ten plik pref.js kasowć czy cos innego z nim robić? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Plik prefs.js będzie do usunięcia. Jego przeniesienie na Pulpit zamiast natychmiastowej kasacji to tylko asekuracja. Zadania pomyślnie wykonane, zmierzamy ku końcowi: 1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. Klik w Wykonaj skrypt. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: G:\Download\ComboFix.exe /uninstall Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 3. Na wszelki wypadek zrób skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Kamil12 Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 Jeszcze cos takiego wykryło. mbam-log-2012-09-27 (17-27-06).txt Odnośnik do komentarza
picasso Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 1. Wyniki MBAM: to są szczątki po vShare. Do usunięcia. 2. Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish"{E33DB440-A008-4928-8A4E-5FC5ADDED608}" = OpenOffice.org 2.4"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> wersja nieznana, do sprawdzenia"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowsza"Adobe Shockwave Player" = Adobe Shockwave Player PS. Gadu-Gadu 10 też sugeruję wymienić lżejszym dla systemu programem z obsługą sieci Gadu. Propozycje: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Kamil12 Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 Super, bardzo fajna i szybka pomoc. Wielkie dzięki. Odnośnik do komentarza
Rekomendowane odpowiedzi