Slimak Opublikowano 18 Marca 2013 Zgłoś Udostępnij Opublikowano 18 Marca 2013 Witam, mało świadomy użytkownik (nie, tym razem nie chodzi o mnie) oglądał seriale online na jakichś podejrzanych portalach. Po pewnym czasie komputer zaczął zdradzać symptomy infekcji - nie wyłącza się poprawnie (czy też może startuje tak, jakby nie został poprawnie wyłączony), przy starcie czasami wyświetli się jakiś bluescreen, komp muli, ostatnio przeglądarka zaczęła traktować allegro.pl jako potencjalnie niebezpieczną i zainfekowaną stronę. Plz help, komplet logów w załączniku. Dane z SecuritCheck: Results of screen317's Security Check version 0.99.61 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Adobe Flash Player 11.6.602.180 Adobe Reader 10.1.6 Adobe Reader out of Date! Google Chrome 25.0.1364.152 Google Chrome 25.0.1364.172 ````````Process Check: objlist.exe by Laurent```````` AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
Landuss Opublikowano 19 Marca 2013 Zgłoś Udostępnij Opublikowano 19 Marca 2013 Infekcji nie notuję na tym systemie natomiast jest on mocno zaśmiecony różnymi syfami ala sponsoring i tym trzeba się zająć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/vlt/vlt_1332437041_493871" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "www.v9.com/vlt/vlt_1332437041_493871" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9851&q={searchTerms}" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.yhs.delta-search.com/?affID=119370&tt=210213_yh&babsrc=HP_ss&mntrId=20e4efb10000000000001c659db6b2c9" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/vlt/vlt_1332437041_493871" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yhs.delta-search.com/?affID=119370&tt=210213_yh&babsrc=HP_ss&mntrId=20e4efb10000000000001c659db6b2c9" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.yhs.delta-search.com/?q={searchTerms}&affID=119370&tt=210213_yh&babsrc=SP_ss&mntrId=20e4efb10000000000001c659db6b2c9" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{81A7F1FD-5B2E-4F1D-B8FC-0D79E772168D}: "URL" = "http://www.mysearchresults.com/search?&c=2652&t=03&q={searchTerms}" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9851&q={searchTerms}" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6PQnHHIkF6&i=26" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{F71BFC91-F373-4A0B-B8E1-D9740F72EF55}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll () O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll () O20 - AppInit_DLLs: (c:\progra~3\browse~2\261095~1.52\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () :Files C:\ProgramData\Wincert C:\ProgramData\BrowserProtect :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.03 / TheBflix / Babylon toolbar on IE / DefaultTab / Delta toolbar / Search-Results Toolbar / Incredibar Toolbar on IE and Chrome / Premiumplay Codec-C / uTorrentControl2 Toolbar / Windows iLivid Toolbar / Wxdfast Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo / uTorrentControl2 / Delta Toolbar / wxDfast extension 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Slimak Opublikowano 19 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2013 Ok, wykonano zgodnie z rekomendacją. Parę uwag: 1. Po zatwierdzeniu wykonania skryptu w OTL Windows wywalił następujący komunikat: Message: Windows - błąd aplikacji Instrukcja spod 0x0008e1d2 odwołuje się do pamięci pod adresem 0x00000000. Pamięć nie może być read. Kliknij przycisk OK, aby przerwać działanie aplikacji Komunikat zamknąłem, skrypt spokojnie się wykonał. 2. Firefoxa nie wyczyściłem, ponieważ nie ma go zainstalowanego na tym sprzęcie Po odinstalowaniu toolbarów (było trochę dziadostwa...), w opcjach Chrome'a rozszerzenia wspomnianych aplikacji nie pojawiały się już na liście (ergo nie zostały odmontowane). Sprzątnięto AdwCleanerem, pousuwałem REVO parę zbędnych aplikacji. Zamieszczam świeży log z OTLa. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 21 Marca 2013 Zgłoś Udostępnij Opublikowano 21 Marca 2013 Sytuacja znacznie się poprawiła. Wykonaj jeszcze jeden skrypt poprawkowy o takiej treści: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKLM..\Run: [uIExec] "C:\Program Files (x86)\Netia\Mobilny Internet\UIExec.exe" File not found :Commands [reboot] Wykonujesz skrypt i dajesz nowy log do oceny ze skanowania. Odnośnik do komentarza
Slimak Opublikowano 22 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2013 Wykonano. Załączam świeży log. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 24 Marca 2013 Zgłoś Udostępnij Opublikowano 24 Marca 2013 Tym razem już wygląda, ze jest czysto. Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL.2. Opróżnij przywracanie systemu: KLIK3. Skanowanie za pomocą Malwarebytes Anti-Malware Odnośnik do komentarza
Slimak Opublikowano 24 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2013 Wykonano. Znalazło się jeszcze kilku szpiegów. Podrzucam log z Malwarebytes. mbam-log-2013-03-24 (16-59-08).txt Odnośnik do komentarza
Landuss Opublikowano 24 Marca 2013 Zgłoś Udostępnij Opublikowano 24 Marca 2013 Usuń to wszystko co znalazł MBAM i to by było na tyle ode mnie. Odnośnik do komentarza
Slimak Opublikowano 24 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2013 Tak też uczyniłem. Dziękuję bardzo za pomoc , temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi