Wygrałem iPhona czyli wyskakujący komunikat

[kk52]

witam. za każdym razem gdy włączam laptop i zaczynam surfować po necie pojawia się okienko z komunikatem, iż wygrałem iphona. poniżej log z combofix

log.txt

[picasso]

Na temat używania ComboFix: KLIK. Zasady działu i zestaw obowiązkowych tu logów: KLIK. Proszę dołączyć obowiązkowe OTL.

 

 

 

.

[kk52]

Witam. System to WIN7 64x. Poniżej pliki ze skanu OTL.

OTL.Txt

Extras.Txt

[picasso]

1. Przez Panel sterowania odinstaluj adware LiveVDO plugin 1.3, vShare Plugin, vShare.tv plugin 1.3, VshareComplete oraz szczątek Windows Media Player Firefox Plugin (nie ma tu już Firefoxa). W Google Chrome w Rozszerzeniach powórz deinstalację vshare plugin.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9850C178-2FA1-476F-A1C8-360ACB771F66}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}"
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033"
IE - HKLM\..\SearchScopes\{CFEC080B-B58B-4A4A-A2D2-5F30F7DF9C54}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}"
IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{253CDA4E-CA47-4C62-AC3D-EA5EF02ABE3B}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}"
IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}"
IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033"
IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{EF1165E0-1177-489F-972E-516754C7698D}: "URL" = "http://isearch.avg.com/search?cid={CC63FCFD-465B-45A2-B553-741BFD2FF35A}&mid=3f03e4115cad47d185ec2104e4820def-595b8648206447dd3c5702013b9abc54632c0906&lang=en&ds=ft011&pr=sa&d=2012-03-10 10:53:43&v=10.0.0.7&sap=dsp&q={searchTerms}"
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll File not found
O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Files
C:\Program Files (x86)\mozilla firefox
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[kk52]

postąpiłem zgodnie z wytycznymi. poniżej wklejam log z otl oraz z Adw

podczas skanu za pomoca OTL pojawiło się okienko z informacją, że wygrałem tym razem ipada 3.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Omyłkowo ominęłam jeden wpis (KLIK).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [XNotes] C:\Program Files (x86)\XNotes\XNotes.exe (                                                                               )
 
:Files
C:\Program Files (x86)\XNotes
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{66D5ACE4-81D4-450E-A6BD-DEAE90E79A40}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{287FB231-C35D-483D-ACA1-05C3CC7E0E34}"
 
[HKEY_USERS\S-1-5-21-405775882-2050120228-1168674902-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{287FB231-C35D-483D-ACA1-05C3CC7E0E34}"
 
[HKEY_USERS\S-1-5-21-405775882-2050120228-1168674902-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{287FB231-C35D-483D-ACA1-05C3CC7E0E34}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. W Google Chrome nadal odpadkowa wtyczka vShare:

 

========== Chrome  ==========
 
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll

 

To już wymaga bezpośredniej edycji kodu. Skopiuj na Pulpit ten plik:

 

C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Umieść na jakimś hostingu i podaj link. Ja plik zedytuję i odeślę do podmiany.

 

4. Dopiero po akcji edycji Preferences poproszę o nowy skan z OTL. Natomiast dodaj mi inny skan, na duplikaty plików uruchamiających przeglądarki. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind

chrome.exe
iexplore.exe

 

 

.

[kk52]

Tutaj wymagany plik preferences LINK: http://www.sendspace.pl/file/8538c88d5b0f4ac63b842c2

za moment podeślę skan z SystemLook x64

 

Poniżej skan z SystemLook x64

SystemLook.txt

[picasso]

Skan w SystemLook w porządku. W związku z tym:

 

1. Przesyłam zedytowany plik Google Chrome zapakowany do ZIP: KLIK. Zamknij Google Chrome (nie może być w procesach!). Wymień pliki Preferences. Uruchom Google Chrome, by sprawdzić czy nie wyrzuca żadnego błędu startowego.

 

2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

I wypowiedz się wyraźnie czy nadal dręczą Cię te komunikaty "Wygrałeś...".

 

 

 

.

[kk52]

Plik preferences podmieniłem przy zamkniętym chrome. Chrome działa poprawnie

Poniżej okrojony wg. instrukcji skan OTL

Po ponownym uruchomieniu komputera i następnie przeglądarki komunikat nie wyskakuje tak jak to miało miejsce wcześniej. Wygląda na to że problem rozwiązany Mam jeszcze pytanie: czy tego rodzaju oprogramowanie mogło zeskanować moje hasła np do konta internetowego? Czy zapobiegawczo zmienić wszystkie hasła?

 

PS. Chciałbym serdecznie podziękować za pomoc

OTL.Txt

[picasso]

Edycja wdrożona poprawnie. Możemy kończyć:

 

1. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Marek\Desktop\ComboFix.exe /uninstall

 

Gdy komenda ukończy działanie: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 26
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera)

 

W podsumowaniu: odinstaluj wszystkie wyliczone stare Adobe / Java i zastąp najnowszymi, zaktualizuj Internet Explorer i OpenOffice.org.

 

Przy okazji: widzę zainstalowane koszmarne Gadu-Gadu 10. Zainteresuj się lżejszymi dla zasobów systemu alternatywami z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

Mam jeszcze pytanie: czy tego rodzaju oprogramowanie mogło zeskanować moje hasła np do konta internetowego? Czy zapobiegawczo zmienić wszystkie hasła?

 

Nie sądzę, to były obiekty adware. Niemniej na wszelki wypadek zawsze można zmienić hasła. To niczemu nie zaszkodzi.

 

 

 

.