Nie loguje do banku, blokuje McAfee,...

[oltomek]

Witam,

dostałem komputer do przeglądnięcia, od osoby całkowicie nie zorientowanej w temacie, i w dodatku z dzieckiem które ma nieoganiczony dostęp do niego.

Podobno nie loguje się do banku (sprawdziłem, po wpisaniu hasła przeglądarka stoi w miejscu), podobno na allegro nie wyświetlają się zdjęcia (nie sprawdzałem). Ogólnie to jak popatrzyłem co tam jest poinstalowane...

Odinstalowałem Kilka Toolbarów (min Claro), nie mogę odinstalować KMPlayer Toolbar.

Był zainstalowany pakiet McAfee, ale chcąc go uruchomić wyświetla się tylko białe pole (być może uszkodzony)

 

Dodatkowo zauważyłem, że ma poinstalowane różne ActiveX Live Mesh w kilku językach, pakiety językowe, NET Framework też w kilku językach, stopniowo to usuwam, ale wszystko bardzo powoli się odinstalowywuje. Usunąłem wszystkie pliki tymczasowe i zacząłem sprawdzać Malwarebytes AM ale przerwałem, i zrobiłem skan OLT.

 

Proszę o pomoc.

Extras.Txt

OTL.Txt

[jessica]

Na Forum trafiłeś w bardzo złym momencie: @Picasso i @Landuss są na urlopach, a tu nie ma innych wyznaczonych osób do pomagania podczas ich nieobecności.

Nie wiem, kiedy tu się zjawią,

 

W logach widzę tylko resztki infekcji WEELSOF, oraz śmieci, o których już wspomniałeś.

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\ProgramData\lsass.exe

C:\PROGRAMDATA\PC PERFORMER MANAGER

 

:OTL

O4 - HKLM..\Run: [] File not found

O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.

O3 - HKLM\..\Toolbar: (KMPlayer Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (KMPlayer Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121028195922.dll File not found

O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121028195922.dll File not found

[2012-11-09 12:35:01 | 000,006,560 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml

[2012-11-09 12:34:47 | 000,000,000 | ---D | M] (PC Performer Manager) -- C:\PROGRAMDATA\PC PERFORMER MANAGER\2.4.897.175\{61D8B74E-8D89-46FF-AFA6-33382C54AC73}\FIREFOXEXTENSION

[2012-11-09 12:35:10 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions\ffxtlbr@babylon.com

[2012-11-19 12:43:59 | 000,000,000 | ---D | M] ("KMPlayer Toolbar") -- C:\Users\Wiktor\AppData\Roaming\mozilla\Firefox\Profiles\lolcavrv.default\extensions\toolbar@ask.com

[2013-01-03 12:47:42 | 000,002,576 | ---- | M] () -- C:\Users\Wiktor\AppData\Roaming\mozilla\firefox\profiles\lolcavrv.default\searchplugins\askcom.xml

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "Claro Search"

FF - prefs.js..browser.startup.homepage: "http://www.claro-search.com/?affID=114506&tl=gcn33200&tt=4512_6&babsrc=HP_clro&mntrId=dc8f0683000000000000a64bf5c5ac2d"

FF - prefs.js..extensions.enabledAddons: {dfefbe51-ca52-484b-adf0-6b158b05262d}:2.4.897.175

FF - prefs.js..extensions.enabledAddons: toolbar@ask.com:3.17.1.100013

FF - prefs.js..keyword.URL: "^http://www\\.claro-search\\.com/\\?affID=114506.*&q="

IE - HKU\S-1-5-21-654122644-1790804934-807427125-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

MOD - [2012-11-02 20:00:42 | 002,400,800 | ---- | M] () -- C:\ProgramData\PC Performer Manager\2.4.897.175\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe

MOD - [2012-11-02 19:59:20 | 002,139,168 | ---- | M] () -- C:\ProgramData\PC Performer Manager\2.4.897.175\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.dll

 

:Reg

[-HKEY_USERS\S-1-5-21-654122644-1790804934-807427125-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"bProtectorDefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2) Użyj Adw-Cleaner >https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__57664#entry57664

Kliknij w nim Usuń Pokaż raport z niego C:\AdwCleaner[s1].txt.

.

[bandrzal]

Uruchom systemlockx64

 

:refind

ScriptSn.20121028195922.dll

 

Kliknij w Lock pokaż log

[oltomek]

Dzięki za pomoc.

Zrobiłem najpierw z pierwszego posta i daje zalączniki oraz z drugiego również.

 

McAfee nadal nie chce sie uruchomić nie wiem czy nie muszę go przeinstalować. Niby jego procesy działają, ale otwiera się białe okno obrysem przypominające to jego okno dialogowe ale po prostu biały kwadrat na środku ekranu.

OTL.Txt

OTL_po_Skrypcie.txt

AdwCleanerS1.txt

SystemLook.txt

[jessica]

Zrób jeszcze raz nowy log z OTL, bo niby zostało usunięte Skryptem, ale nowy log tego nie potwierdza.

.

 

@bandrzal -podałeś złą komendę do SystemLook, więc nic nie mogło być odkryte.

[bandrzal]

Już poprawiam

Uruchom systemlockx64

 

:regfind

ScriptSn.20121028195922.dll

 

Kliknij w Lock pokaż log

[oltomek]

Ponownie daje pliki. Nie wiem czy mam nic nie robic w międzyczasie na komputerze ? bo staram sie w międzyczasie usuwać niepotrzebne wg mnie programy.

OTL.Txt

SystemLook.txt

[jessica]

W nowym logu nie ma już infekcji.

Ten plik szukany przez SystemLook, jak widać wyraźnie w logu, - należy do McAfee.

 

Zrób sobie log z >SecurityCheck

Zainstaluj aktualizacje do programow wskazanych jako out of date.

Niektóre aktualizacje >https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415#entry42415

 

Teraz możesz już spokojnie, bez nerwów, czekać, aż @Picasso lub @Landuss, powróci z urlopu, i oceni aktualną sytuację.

Może będą jeszcze jakieś kosmetyczne zalecenia.

.

[oltomek]

Ciekawe, nie działają niektóre guziki/przyciski w IE.

Chcąc dodać dostawcę wyszukiwania Google, klikanie linku Dodaj do programu IE nie działa,

Wyświetlając Informacje o przeglądarce, pojawia się okno IE9, Wersja: tutaj jest pusto Sila szyfrowania: pusto itd. Przycisk OK nie działa, można to okienko zamknąc X

[jessica]

Być może to efekt braku wartości w kluczach, widziany w logu OTL:

IE:64bit: - HKLM\..\SearchScopes,DefaultScope =

IE - HKLM\..\SearchScopes,DefaultScope =

IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope =

IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope =

IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope =

IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope =

IE - HKU\S-1-5-21-654122644-1790804934-807427125-1000\..\SearchScopes,DefaultScope =

Ale na pewno nie wszystkie wymienione przez Ciebie problemy.

To już zmodyfikuje @Picasso, albo @Landuss, po ostatecznej ocenie sytuacji.

.

.

[oltomek]

To McAfee blokował IE9, zarówno jesli chodzi o wyświetlanie nr wersji, przysków, zdjęć na Allegro i logowania do banku. Nie wytrzymałem i usunałem go, programem do deinstalacji ze strony McAfee bo nawet program odinstalowywujący sie nie uruchamiał, tylko białe pole. Teraz wszystko jest, muszę jutro pobrać z konta właścicielki wersje instalacyjną i wgrać na nowo. Zobaczymy co bedzie dalej. Na razie dziękuję za to co do tej pory.