Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan Adclicker

Kuba

Przez Kuba
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Log z OTL zrobiony na złym ustawieniu, opcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. Nie podałeś w czym został wykryty trojan = przeklej precyzyjną ścieżkę dostępu ze skanera. A w logach owszem widzę infekcje i adware.

 

1. Odinstaluj adware:

- Przez Panel sterowania: ADDICT-THING, BabylonObjectInstaller, BFlix Gadget, BrowserCompanion, GinyasBrowserCompanion, Incredibar Toolbar on IE, OptimizerPro Updater, Web Assistant 2.0.0.485, Web Optimizer.

- W Google Chrome w Rozszerzeniach: ADDICT-THING, Ginyas Browser Companion, Web Assistant. Dodatkowo w Google Chrome w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Search the web (Babylon)

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112060&tt=2912_1&babsrc=SP_ss&mntrId=f24f50bf000000000000b4749f82e25d"
IE - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6R8zEYJHtW&i=26"
O2:64bit: - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll File not found
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll File not found
O3:64bit: - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll File not found
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll File not found
O4 - HKLM..\Run: [igfxtray Module] C:\Users\Alanek-Ziomek\AppData\Local\Temp\masas.exe (Rusky)
O4 - HKLM..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey File not found
O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [GameXN GO] "C:\ProgramData\GameXN\GameXNGO.exe" /startup File not found
O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [igfxtray Module] C:\Windows\igfxtray.exe (tvojrap)
O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [isass Module] C:\Users\heniu\AppData\Local\Temp\zabijak.exe (rodina)
O7 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\Users\heniu\Desktop\Disk Antivirus Professional.lnk
C:\Users\heniu\AppData\Roaming\OpenCandy
C:\Users\Alanek-Ziomek\AppData\Roaming\dll-files.com
C:\Program Files (x86)\mozilla firefox
netsh advfirewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

3. Uruchom Autoruns i w karcie Scheduled Tasks wyszukaj i usuń (o ile będą) wszystkie zadania związane z GinyasBrowserCompanion + OptimizerPro + OpenCandy.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Autoruns (format zapisu: TXT) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Niestety wpisy infekcji, mimo że zadane do usuwania, nadal są. Powtórka + korekty:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [igfxtray Module] C:\Users\heniu\AppData\Local\Temp\masas.exe (Rusky)
O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [igfxtray Module] C:\Windows\igfxtray.exe (tvojrap)
O18:64bit: - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll File not found
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll File not found
[2013/02/28 21:03:37 | 000,000,000 | ---D | C] -- C:\Users\heniu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional
[2013/03/02 14:44:13 | 000,000,000 | ---D | C] -- C:\ProgramData\boost_interprocess
[2013/03/02 14:42:22 | 000,115,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\msinet.ocx
[2013/03/02 14:42:22 | 000,108,336 | ---- | M] (Microsoft Corporation) -- C:\Windows\mswinsck.ocx
[2012/05/19 09:00:14 | 000,000,021 | ---- | C] () -- C:\Users\heniu\AppData\Roaming\fexec.dat
[2012/03/11 13:44:13 | 000,093,672 | ---- | C] () -- C:\Users\heniu\AppData\Roaming\Uninstal.exe
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00


 


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{84CDA240-F72B-42D8-86D8-B69D65FC7167}"


 


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"


 


[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"


 


[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]


 


[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]


 


[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]


 


[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]


 


[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]


 


[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerProUpdater]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Odinstaluj jeszcze Advanced PC Tweaker v4.2.

 

4. Uruchom Autoruns i w karcie Scheduled Tasks usuń martwe zadania Advanced PC Tweaker, Fraps i MineCraft, w karcie Services postąp tak z usługą McAfee SiteAdvisor Service.

 

5. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie).

 

6. Zrób nowy log OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Zadania wykonane, ale stan Google Chrome bardzo się zmienił. Przedtem nie było widać śmieci, aktualny log pokazuje dziwną formę Google Chrome na koncie heniu (bardzo krótkie preferencje wyglądające na uszkodzone) i adware ADDICT-THING w nim. Proponuję przeinstalować Google Chrome (przy deinstalacji zatwierdź usuwanie danych użytkownika).

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zrób pełny skan za pomocą Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Wyniki ze skanera: usuń, to szczątki usuwanego tu adware / malware, wyjątkiem są tylko wpisy PUM.Disabled.SecurityCenter (informacja o wyłączonych powiadomieniach Centrum zabezpieczeń). Po usuwaniu przez SHIFT+DEL w całości dokończ foldery:

 

C:\ProgramData\ADDICT-THING

C:\ProgramData\Bcool

C:\ProgramData\OptimizerPro

 

2. Ponownie wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu obecnie Windows nie ma SP1+IE9 i posiadasz wersje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...