lucasville Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 (edytowane) Witam. Zgodnie z treścią poprzedniego "mojego" tematu, zamieszczam logi z komputera kolegi. Problem występuje jak w temacie. Bardzo proszę o skrypt usuwający wirusa. Aktualizacje takich aplikacji jak Java, Adobe (Reader i Flash), przeglądarki itp. wykonam po usunięciu wirusa. Wyczyszczę też punkty przywracania systemu oraz pociągnę system Malwarebytes Anti-Malwarem. Pytanie czy coś jeszcze poza tymi czynnościami trzeba wykonać? EDIT: GMER się wyłączył podczas próby skanowania. Tryb awaryjny nie chce się włączyć. Pod trybem awaryjnym jest to samo: program qd8dj4cg.exe przestał działać. EDIT 2: Wgrałem logi ze skróconego skanowania GMER. OTL.Txt Extras.Txt GMER podstawowy.txt Edytowane 16 Listopada 2012 przez lucasville Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Tu nie tylko infekcja, adware też jest. Przy okazji będę usuwać szczątki po odinstalowanych AVG / Spybot. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Maciek\AppData\Roaming\Ulnayn C:\Users\Maciek\AppData\Roaming\Utgu C:\Users\Maciek\AppData\Roaming\Uwhi C:\Users\Maciek\AppData\Roaming\Uxhaef C:\Users\Maciek\AppData\Roaming\Ysifho C:\Users\Maciek\AppData\Local\Temp*.html C:\Users\Maciek\AppData\Local\AVG Secure Search C:\Users\Maciek\AppData\Local\Avg2013 C:\Users\Maciek\AppData\Local\MFAData C:\Users\Maciek\AppData\Roaming\TuneUp Software C:\Program Files\Mozilla Firefox\searchplugins\avg-secure-search.xml C:\Program Files\Common Files\AVG Secure Search C:\Program Files\AVG Secure Search C:\Program Files\AVG C:\Program Files\Spybot - Search & Destroy C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\AVG2013 C:\ProgramData\MFAData C:\ProgramData\AVG Secure Search C:\ProgramData\Common Files C:\$AVG netsh advfirewall reset /C :OTL IE - HKU\S-1-5-21-322354907-2643511753-1237650681-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\support@predictad.com: C:\Program Files\AutocompletePro\support@predictad.com [2012-11-04 23:54:11 | 000,000,000 | ---D | M] O3 - HKU\S-1-5-21-322354907-2643511753-1237650681-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKU\S-1-5-21-322354907-2643511753-1237650681-1000..\Run: [ipveyxca] C:\Users\Maciek\AppData\Roaming\Uwhi\riud.exe () O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przez Panel sterowania odinstaluj adware AutocompletePro. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Na wszelki wypadek sprawdź jeszcze co widzi Kaspersky TDSSKiller. . Odnośnik do komentarza
lucasville Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Dziękuję za podjęcie tematu. Polecenia wykonane. Kolejne logi w załączeniu. TDSSKiller wykrył: 11:12:54.0661 3720 Detected object count: 1 11:12:54.0661 3720 Actual detected object count: 1 11:13:00.0214 3720 sptd ( LockedFile.Multi.Generic ) - skipped by user 11:13:00.0214 3720 sptd ( LockedFile.Multi.Generic ) - User select action: Skip OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Wszystko wykonane. W TDSSKiller nic ciekawego (wykrył tylko czynny SPTD od emulacji). Notabene: nie wykonałeś obowiązkowego ogłoszenia przed uruchomieniem GMER: KLIK. Zostawmy to już. Kończymy: 1. Drobna poprawka na domyślne wyszukiwarki IE po użyciu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{D2E9D577-9091-46CF-9502-2F487D424DDE}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{D2E9D577-9091-46CF-9502-2F487D424DDE}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\MozillaPlugins\@facebook.com/FBPlugin,version=1.0.3] Klik w Wykonaj skrypt. Tym razem śmignie bez restartu. 2. "Stare dane programu Firefox" usuń, w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 3. Sam wytyczasz kolejne działania: Aktualizacje takich aplikacji jak Java, Adobe (Reader i Flash), przeglądarki itp. wykonam po usunięciu wirusa. Wyczyszczę też punkty przywracania systemu oraz pociągnę system Malwarebytes Anti-Malwarem. . Odnośnik do komentarza
lucasville Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 (...) W TDSSKiller nic ciekawego (wykrył tylko czynny SPTD od emulacji). Notabene: nie wykonałeś obowiązkowego ogłoszenia przed uruchomieniem GMER: KLIK. (...) Starałem się to zrobić, przejrzałem zainstalowane aplikacje, ale nic emulującego napędy nie znalazłem. Dodatkowo kolega nie wiedział nawet czy ma takie oprogramowanie. Stąd myślałem, że tego syfu nie ma. "Stare dane programu Firefox" usuń" - chodzi o wyczyszczenie historii przeglądania w Firefoxie czy gdzieś fizycznie stare dane są i trzeba je usunąć? Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Starałem się to zrobić, przejrzałem zainstalowane aplikacje, ale nic emulującego napędy nie znalazłem. Sterownik SPTD zawsze pozostaje po deinstalacji programów emulujących i trzeba sprawdzać to z osobna nie sugerując się brakiem programów na liście zainstalowanych. "Stare dane programu Firefox" usuń" - chodzi o wyczyszczenie historii przeglądania w Firefoxie czy gdzieś fizycznie stare dane są i trzeba je usunąć? Ekhm! Robiłeś reset Firefox, a konsekwencją jest stworzenie na Pulpicie folderu o nazwie "Stare dane programu Firefox". Cytuję z raportu: [2012-11-16 10:51:54 | 000,000,000 | ---D | C] -- C:\Users\Maciek\Desktop\Stare dane programu Firefox Ten odpadkowy folder przez SHIFT+DEL skasuj. . Odnośnik do komentarza
lucasville Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Mały "nieporządek" panuje na pulpicie i nawet nie zauważyłem utworzonego folderu. Mea Culpa. :-) Sterownik w takim razie zaraz usunę. Dziękuję serdecznie za pomoc. Odezwę się jeszcze w "swoim" temacie. Odnośnik do komentarza
Rekomendowane odpowiedzi