Infekcja komputera

[drugster]

Witaj Picasso

 

Po dłuższej przerwie, dyżurny laik komputerowy powraca z problemem na innej platformie, niestety, z mocno zaniedbanym sprzętem.

Postaram się zwięźle opisac objawy:

Obecnie piszę z konta administratora, ponieważ anomalie uzewnętrzniają sie wyłącznie na koncie gościa.Praca na tym profilu jest mocno ograniczona, wszystkie przeglądarki internetowe nagle zaczęły odmawiać posłuszenstwa-czyszczą samoistnie historie, zamykają się po wpisaniu jakiejkolwiek frazy związanej z wirusami czy naprawą systemu( nawet po wygooglaniu Twojej strony -fixitpc.pl przegladarki same się zamykają sic!). Posiadam nieaktualny już pakiet Eset Smart Security, lecz kiedy chcę go uruchomić w celu przeskanowania systemu, równiez sie zamyka. Zastosowanie którychkolwiek programów, rekomendowanych przez Ciebie ze zbioru narzędzi usuwających, również jest bezowocne, nie można dojść technicznie do procedury pobrania.

Udało mi się jedynie pobrać dr. Web Cure it! i przeskanować system, ale nie potrafię znaleźć wyniku. Pamiętam, że program zneutralizował 3 zagrożenia( może powinienem był je usunąc w opcjach?)

 

PODKREŚLAM , że wszystkie powyżej wymienione czynności odbywały sie na koncie gościa.

 

Dlatego zmuszony byłem wykonać zestaw obowiązkowych raportów z konta administratora, który załączam zgodnie z zasadami.

Bedę niezmiernie wdzięczny za pochylenie nad moim problemem.

 

Na koniec pragnę nadmienić, że zdaję sobie sprawe ile brudu i nieczystości zawładnęło miom systemem, więc jeżeli wszystko pójdzie dobrze, to finalizując problem prosiłbym Cię o pomoc w ostrym, chirurgicznym wycięciu wszelkiego zbędnego oprogramowania

 

Pozdrawiam serdecznie.

Extras.Txt

OTL.Txt

[Anonim8]

Obecnie piszę z konta administratora, ponieważ anomalie uzewnętrzniają sie wyłącznie na koncie gościa

 

Wejdź w tryb awaryjny zaloguj sie na swoje zainfekowane konto i spróbuj wykonać logi z OTL

 

w razie czego post do kasacji

[drugster]

Udało się.

Załączam wedle zalecenia.

OTL.Txt

Extras.Txt

[picasso]

Pierwsze logi pochodzą z konta administracyjnego Maciej:

 

Computer Name: MACIEJ-LAP | User Name: Maciej | Logged in as Administrator.

 

Kolejne logi pochodzą z konta administracyjnego EDYTKA:

 

Computer Name: MACIEJ-LAP | User Name: EDYTKA | Logged in as Administrator.

 

W logu są tylko dwa foldery kont: C:\Users\EDYTKA + C:\Users\Maciej. Czy EDYTKA to ów "Gość"? Jeśli tak, jest możliwe, że OTL prosząc o "uruchomienie jako Administrator" zmienia kontekst zalogowanego konta.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-3931405596-1883944862-4277761864-1003..\Run: [Java] C:\Users\EDYTKA\AppData\Roaming\Microsoft\jushed.exe ()
O4 - HKU\S-1-5-21-3931405596-1883944862-4277761864-1003..\Run: [Pilgtjk] C:\Users\EDYTKA\AppData\Roaming\wuapiy.exe File not found
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=6209e195-398a-11e1-b34c-88ae1d7dfd50&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{A0BFF935-FEEB-4D6F-B782-4D6E687183C3}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=6209e195-398a-11e1-b34c-88ae1d7dfd50&q={searchTerms}"
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
 
:Files
C:\Program Files (x86)\mozilla firefox\extensions\{b4db225a-8b08-85a0-b2f1-aaa4b9a791fe}
C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
 
:Reg
[HKEY_USERS\S-1-5-21-3931405596-1883944862-4277761864-1003\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Wyjdź z Trybu awaryjnego.

 

2. Przez Panel sterowania odinstaluj adware Browsers Protector, Contextual Tool Extrafind, Download Updater (AOL Inc.), LiveVDO plugin 1.3, StartSearch Toolbar 1.3, Winamp Toolbar, Wincore MediaBar.

 

3. Google Chrome: w Rozszerzeniach odinstaluj LiveVDO plugin, StartSearch Video plug-in.

 

4. Firefox: Wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[drugster]

Faktycznie, przepraszam za niejasność. Rozchodzi się o konto-Edytka.

 

Teraz pytanie:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

Rozumiem ,że mam odpalić OTL w trybie awaryjnym na koncie-Edytka, ale czy mogę wkleić ten skrypt zapisany w jakimś arkuszu na jej koncie ? Czy nie będzie anomalii?( nie mam dostępu do tej strony na tamtym koncie)

[picasso]

Tak, akcja na koncie EDYTKA w Trybie awaryjnym. Treść skryptu możesz zapisać w Notatniku, by móc stamtąd przekleić do okna OTL.

[drugster]

Rzeczywiście, musi już byc lepiej, skoro piszę z konta-EDYTKA

 

Co do poszczególnych dyspozycji:

 

1.Zrobione

2.Zrobione

3.

Google Chrome: w Rozszerzeniach odinstaluj LiveVDO plugin, StartSearch Video plug-in

 

Chrome mówi , że nie mam żadnych rozszerzeń

 

4. Zrobione

5. Zrobione

6. Zrobione, załączam

 

 

Wyodrębnił się plik -stare dane programu Firefox.

Do usunięcia?

OTL.Txt

AdwCleanerS1.txt

[picasso]

1. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"!{8dcb7100-df86-4384-8842-8fa844297b3f}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"!{8dcb7100-df86-4384-8842-8fa844297b3f}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{4994233A-EF3D-422C-AC79-2385B68B9B79}]
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. W Google Chrome nadal zestaw śmieciarskich wtyczek:

 

========== Chrome  ==========
 
CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Users\EDYTKA\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\chvsharetvplg.dll
CHR - plugin: downloadUpdater (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npdnu.dll
CHR - plugin: downloadUpdater2 (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npdnupdater2.dll
CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Tego nie da się usunąć metodami "prostymi" i na pewno nie przez OTL. Wymagana edycja kodu pliku preferencji Google Chrome. Skopiuj na Pulpit plik:

 

C:\Users\EDYTKA\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Plik zedytuję i odeślę do podstawienia.

 

 

Wyodrębnił się plik -stare dane programu Firefox.

Do usunięcia?

 

Tak, ten folder możesz usunąć. I ten też: C:\Users\EDYTKA\Doctor Web.

 

 

 

.

[drugster]

1.Poprawki wprowadzone.

 

2. Oto link do pliku:

 

http://hostuje.net/f...3639a9b76fbb8b2

 

 

 

Mam jeszcze jedną prośbę. Skoro raporty z OTL są przypisane do jednego konta, to czy mogłabyś rzucić okiem na logi do mojego konta -MACIEJ ? Są załączone w pierwszym poście. Chodzi mi o jakąś poważniejszą usterkę, a biorąc pod uwagę ostatni szturm interesantów na forum, nie chcę drobnicą zajmować Ci czasu.

[picasso]

Skoro raporty z OTL są przypisane do jednego konta, to czy mogłabyś rzucić okiem na logi do mojego konta -MACIEJ ?

 

To już dawno zrobione, a wpisy wspólne dla obu kont zaadresowane w usuwaniu. Na koncie Maciej powtórz jednak reset Firefox (mimo że AdwCleaner już robił prace w prefs.js Firefoxa na Macieju).

 

 

1. Przesyłam zedytowany plik Google Chrome zapakowany do ZIP: KLIK. Zamknij przeglądarkę (nie może być uruchomiona podczas zamiany plików!) i podmień pliki. Po podmianie uruchom Google Chrome i sprawdź czy przyjął plik, tzn. nie wyrzuca żadnych błędów przy starcie.

 

2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

.

[drugster]

1. Pliki podmieniłem, ale przyznaję ,że nie wiem czy skutecznie, gdyż robię to pierwszy raz.

Zastosowałem metodę-przeciągnij i upuść.

Pewnie wszystko wyjdzie w logu , który załączam.

 

Reset Firefoxa również zrobiony.

Edytowane 12 Stycznia 2013 przez picasso
Wadliwy załącznik usunięty. //picasso

[picasso]

Ale log źle zrobiłeś, pokaze tylko szukanie zmodyfikowanych plików, co właśnie miało być odznaczone. Jeszcze raz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

[drugster]

Przepraszam, teraz powinno być dobrze.

OTL.Txt

[picasso]

Zadanie pomyślnie wykonane. Czyli kończymy:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starą Java i zastąp najnowszą, o ile potrzebna, oraz Adobe Reader 9.5.2 MUI: KLIK. Aktualnie w logu widać wersję:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 37
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.2 MUI

 

PS. I jest tu jeszcze koszmar Gadu-Gadu 10. Zamienniki: WTW, Kadu, Miranda, AQQ (KLIK).

 

 

.

[drugster]

Wszystkie zadania wykonane pomyślnie.

Jeszcze muszę przetestować alternatywne komunikatory.

 

 

Po przeskanowaniu systemu Malwarebytes Anti-Malware , wykrył on pewne zagrożenia które usunął.

Załączyłem log.

 

Jeżeli wszystko sprawnie wygląda to temat można zamknąć.

Dziękuje za pomoc. Z pewnością się odwdzięczę

mbam-log-2013-01-16 (21-01-42).txt

[picasso]

Wyniki MBAM usunięte słusznie, choć to już były rzeczy podrzędne: pierwszy to instalator wtyczki vShare (siedlisko adware), drugi owszem wygląda na jakiś osierocony plik trojanopodobny (nazwa sugeruje "DAEMON Tools Lite", ale już lokalizacja nie).

 

Tak, to wszystko. Temat zamykam.

 

 

 

.