lucasville Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Witam. Ja trochę z nietypowym tematem: otóż nie zauważyłem nic niepokojącego na moim komputerze, ale jeżeli jest taka możliwość to zwracam się z prośbą o przejrzenie logów i zobaczenie czy nie ma dziur w systemie. Widzę, że wirus policyjny ładnie zainfekował komputery i chcę być na niego przygotowany. Swoją drogą jutro/dzisiaj rano założę osobny wątek zapewne, bo kolega spotkał się właśnie z takim wirusem i będę rozwiązywać problem na jego kompie, ale widzę, że bez skryptu do OTL się nie obędzie. Z pozdrowieniami - lv OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Co do raportów, to wyczyść system z adware i szczątkowych wpisów: 1. Przez Panel sterowania odinstaluj adware vShare.tv plugin 1.3. W Google Chrome w Rozszerzeniach powtórz usuwanie vshare plugin + z listy stron startowych usuń startsear.ch. Tak, to nie pomyłka, ta wtyczka video to skończony śmieć, jej instalacja agresywnie zmienia konfiguracje przeglądarek. Jej komponenty usuwają AdwCleaner i MBAM. 2. Wyczyść Firefox z tego co zrobiło vShare (zaśmiecone preferencje wyszukiwania) oraz z naleciałości po upgradach: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3149286427-2457004418-3353868676-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-3149286427-2457004418-3353868676-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" O4 - HKLM..\Run: [] File not found O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} "http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab" (Reg Error: Key error.) DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS -- (SASKUTIL) DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS -- (SASDIFSV) 2012-08-10 17:12:56 | 000,000,000 | ---D | M] -- C:\Users\Barney\AppData\Roaming\SendSpace :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log AdwCleaner. i zobaczenie czy nie ma dziur w systemie. Do tego służy Secunia PSI a nie logi z OTL. Na podstawie OTL ja tylko mogę w limitowany sposób stwierdzić co jest zainstalowane, czyli tu widzę pożądany status Windows, oznaki pakietu SP1 w Office 2010, aktualne Adobe / Java / Silverlight oraz przeglądarki Opera + Firefox, natomiast nie Google Chrome, wykryta wersja: CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\22.0.1229.94\ppGoogleNaClPluginChrome.dll . Odnośnik do komentarza
lucasville Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Już po usuwaniu śmieci. Czekam na dalsze polecenia. Z tym vshare to jest mały ból, gdyż jest mi on czasem niezbędny do transmisji w Internecie, gdy nie ma innego źródła. Ale póki co odinstalowałem i zobaczymy jak będzie. OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Zrobione. Kosmetyka: 1. W Google Chrome zostały odpadkowe wtyczki vShare: ========== Chrome ========== CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Barney\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dllCHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll Ich usunięcie wymaga już edycji pliku Preferences. Zamknij przeglądarkę (nie może być uruchomiona w procesach, bo Preferences ulegnie uszkodzeniu lub wyzerowaniu) i otwórz w Notatniku plik: C:\Users\Barney\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj ustęp pluginów i usuń stamtąd bloki wtyczek vShare. Dla porównanmia tu punkt 3 jak to się robi: KLIK. 2. Korekta domyślnych wyszukiwarek Internet Explorer po używaniu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Porządki: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, wyczyść foldery Przywracania systemu 4. Aktualizacje omawialiśmy. Widzę, że już zaktualizowałeś Google Chrome. Drobna uwaga dodatkowa, wprawdzie Adobe Flash jest najnowszy w Firefox i Google Chrome, ale Google Chrome może używać alternatywną wtyczkę i to właśnie owa alternatywa jest stara: FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll () CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\23.0.1271.64\gcswf32.dll CHR - plugin: Shockwave Flash (Disabled) = C:\Users\Barney\AppData\Local\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll W aktualnym układzie Google Chrome korzysta z własnego wbudowanego Flash gcswf32.dll (ma priorytet) a nie ze starej wtyczki Firefoxa. Ale tę starą wywal. Z tym vshare to jest mały ból, gdyż jest mi on czasem niezbędny do transmisji w Internecie, gdy nie ma innego źródła. Ale póki co odinstalowałem i zobaczymy jak będzie. Przy instalacji tego szajsu powinien być ekran z biorącą pod włos domyślnie zaznaczoną opcją "Recommended", co należy właśnie odznaczyć, by dostać się do konfiguracji instalacji śmietnika i wtedy poodznaczać wszystko. Jeśli tego nie ma w instalatorze, to może zwiększyli bezczelność. Twoja decyzja, ale ja wystawiam środkowy palec takim zagrywkom i już wolę czegoś nie oglądnąć dla zasady. Producent podejrzany, skoro takie śmietnisko jest jego celem, nie wiadomo jakie dane o aktywności są zbierane. Rozglądnij się na forum co się dzieje z powodu vShare i LiveVDO ("Browsers protector" blokujący konfigurację przeglądarek, przejęte wyszukiwania kluczowe...). . Odnośnik do komentarza
lucasville Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 (edytowane) 1, 2, 3 - zrobione. Aktualizacje już postarałem się porobić. Secunia to fajne oprogramowanie. Jakiś czas temu szukałem czegoś takiego to natrafiłem tylko na FileHippo Update checker. I z niego głównie korzystałem - minus taki, że wszystko trzeba ręcznie pobierać i aktualizować. Ad 4. FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll () CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll (...) Ale tę starą wywal. Niestety tej starej wtyczki nie mogę odnaleźć. Jest tylko ta na zielono napisana. Co do vshare'a i livevdo to przeważnie osoby prywatne transmitują tam rozgrywki sportowe. Czasami jest ustream, czasami są inne źródła. Nie wiem czy nawet nieświadomie nie puszczają transmisji przez te śmieci. EDIT: Pomoc w odsyfieniu komputera (komp już nie chodzi tak szybko jak kiedyś) bez reinstalacji to tutaj czy w dziale http://www.fixitpc.p...um/8-windows-7/ ? Edytowane 16 Listopada 2012 przez lucasville Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Secunia to fajne oprogramowanie. Jakiś czas temu szukałem czegoś takiego to natrafiłem tylko na FileHippo Update checker. I z niego głównie korzystałem - minus taki, że wszystko trzeba ręcznie pobierać i aktualizować. Secunia ma specjalizację pod kątem zabezpieczeń, FileHippo nie. Niestety tej starej wtyczki nie mogę odnaleźć. Jest tylko ta na zielono napisana. Czyli czeka Cię dodatkowa edycja pliku Preferences i usunięcie z niego bloku relatywnego do wtyczki NPSWF32_11_2_202_235.dll. Co do vshare'a i livevdo to przeważnie osoby prywatne transmitują tam rozgrywki sportowe. Czasami jest ustream, czasami są inne źródła. Nie wiem czy nawet nieświadomie nie puszczają transmisji przez te śmieci. To nie zmienia mojego stanowiska. Pomoc w odsyfieniu komputera (komp już nie chodzi tak szybko jak kiedyś) bez reinstalacji to tutaj czy w dziale To zależy czy system zainfekowany / zaśmiecony adware czy nie. Wstępnie: dział Windows 7, w razie czego przeniosę tu. . Odnośnik do komentarza
lucasville Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Blok do wtyczki NPSWF32_11_2_202_235.dll usunięty. Dziękuję serdecznie za pomoc. Chylę czoło. Odnośnie odsyfienia to chodzi o ten sam komputer, którego dotyczy ten wątek, więc pewnie zaczniemy i skończymy w dziale Windows 7. Odnośnik do komentarza
Rekomendowane odpowiedzi