Weelsof - log z combofixa

[bula0101]

Witam.

Miałem na komputerze weelsofa i prosił bym o pomoc w przejrzeniu logów po czyszczeniu combofixem czy wszystko ok.

Windows 7 32 bitowy.

Z góry dziękuję.

log combofix.txt

[picasso]

Na temat używania ComboFix: KLIK. Zasady działu jakie raporty są tu obowiązkowe: KLIK. Proszę dołączyć raporty z OTL.

[bula0101]

Oto raport z OTL

OTL.Txt

Extras.Txt

[picasso]

O ile ComboFix usuwał infekcję (choć nie wszystko), to ruszał też adware w mało elegancki sposób (to się deinstaluje a nie na chama ComboFixem). System zresztą nadal zabrudzony adware i trzeba będzie czyścić.

 

 

1. Przez Panel sterowania odinstaluj zbędny Akamai NetSession Interface Service.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Łukasz\AppData\Roaming\hellomoto
C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1&systemid=410&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1&systemid=410&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = "http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\Łukasz\AppData\Local\RewardsArcade\498\Firefox [2012-02-11 16:39:39 | 000,000,000 | ---D | M]
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\UKASZ~1\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Google Chrome: wejdź do ustawień. W sekcji "Po uruchomieniu" usuń z listy stron startowych www.searchqu.com. W zarządzaniu wyszukiwarkami przestaw domyślną z Search Results na Google, po tym Search Results usuń z listy. W Rozszerzeniach odinstaluj RewardsArcade.

 

4. Firefox: wyczyść poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[bula0101]

AdwCleaner i OTL

AdwCleanerS1.txt

OTL2.Txt

[picasso]

Zastrzeżenia:

 

1. Kierowałam wyraźnie do opisu AdwCleaner na forum, w którym są jedyne autoryzowane linki podające najnowszą wersję plus ostrzeżenie, by nie pobierać programu z innych (m.in. Instalek). A tu co? Przestarzała wersja z Instalek użyta:

 

# AdwCleaner v2.005 - Logfile created 10/11/2012 at 22:59:31

# Running from : C:\Users\Łukasz\Downloads\AdwCleaner_www.INSTALKI.pl.exe

 

Najnowsza wersja to 2.008 i ma to znaczenie (nowe definicje adware i poprawki). Użycie starej wersji 2.005 miało też skutki uboczne, wersja ta ma błąd i rozwaliła domyślny Bing w Internet Explorer. Dołożona robota, trzeba będzie ręcznie poprawiać. Na teraz: pobierz najnowszy AdwCleaner, uruchom i podaj log.

 

2. Nie ma znaków, by została wykonana deinstalacja Akamai NetSession Interface. Do wykonania.

 

3. Nie zwróciłam na to wcześniej uwagi, masz złą datę systemową, cofnięcie o ponad miesiąc wstecz i skoryguj to.

 

OTL logfile created on: 2012-10-11 23:04:36 - Run 3

 

 

 

.

[bula0101]

ok poprawione już

OTL3.Txt

AdwCleanerS2.txt

[picasso]

Korekty i kończymy:

 

1. Już zmęczenie daje mi się we znaki. Nie zauważyłam jednego pliku infekcji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Łukasz\AppData\Roaming\msconfig.dat

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Korekta po akcji AdwCleaner plus usunięcie szczątka Akamai. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Łukasz\Downloads\ComboFix.exe /uninstall

 

4. Gdy komenda deinstalacji ComboFix ukończy, wyczyść pozostałe: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższe foldery.

 

C:\Users\Łukasz\Desktop\Stare dane programu Firefox

C:\Windows\erdnt

 

(wprawdzie ich nie ma w najnowszym OTL widocznych, ale to kwestia tego, że data systemowa była cofnięta i skan na 30 dni ze skorygowaną datą tego nie obejmuje po prostu)

 

5. Zaktualizuj Windows i wymienione poniżej oprogramowanie: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Opera 11.50.1074" = Opera 11.50
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 10.0.648.205
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
CHR - plugin: Shockwave Flash (Enabled) = C:\Users\\u0141ukasz\AppData\Local\Google\Chrome\Application\10.0.648.205\gcswf32.dll

 

W podsumowaniu: wszystkie zakreślone Adobe / Java / Silverlight odinstaluj i zastąp najnowszymi wersjami, zaktualizuj Google Chrome i Operę, zainstaluj SP1 i resztę łatek dla Windows 7.

 

 

Uwagi dodatkowe na temat innych zainstalowanych aplikacji:

- Gadu-Gadu 10: program zasobożerny i dręczący reklamami. Polecam alternatywne programy z obsługą sieci Gadu: WTW, AQQ, Kadu, Miranda. Opisy: KLIK.

- Sunrise Seven: pod żadnym pozorem nie stosuj w tym programie opcji czyszczenia FileRepository. Tego nie powinno w ogóle być w programie. Czyszczenie FileRepository ma poważne skutki uboczne z konsekwencją w niemożności podpinania nowych urządzeń oraz błędach Windows Update. Łatwo użyć, trudno naprawić (wymagana pełna konstrukcja katalogu FileRepozitory).

 

 

 

.

[bula0101]

Dzięki wielkie, na dziś starczy. Jakby co jutro sie odezwe

Edytowane 22 Listopada 2012 przez picasso
Dwa dni i cisza, uznaję, że temat zakończony. Zamykam. //picasso