Prawdopodobnie zainfekowany laptop - oglądano seriale online :/

[Slimak]

Witam,

 

mało świadomy użytkownik (nie, tym razem nie chodzi o mnie) oglądał seriale online na jakichś podejrzanych portalach. Po pewnym czasie komputer zaczął zdradzać symptomy infekcji - nie wyłącza się poprawnie (czy też może startuje tak, jakby nie został poprawnie wyłączony), przy starcie czasami wyświetli się jakiś bluescreen, komp muli, ostatnio przeglądarka zaczęła traktować allegro.pl jako potencjalnie niebezpieczną i zainfekowaną stronę.

 

Plz help, komplet logów w załączniku.

 

Dane z SecuritCheck:

 

Results of screen317's Security Check version 0.99.61

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

avast! Antivirus

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Adobe Flash Player 11.6.602.180

Adobe Reader 10.1.6 Adobe Reader out of Date!

Google Chrome 25.0.1364.152

Google Chrome 25.0.1364.172

````````Process Check: objlist.exe by Laurent````````

AVAST Software Avast AvastSvc.exe

AVAST Software Avast AvastUI.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt

Gmer.txt

[Landuss]

Infekcji nie notuję na tym systemie natomiast jest on mocno zaśmiecony różnymi syfami ala sponsoring i tym trzeba się zająć.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/vlt/vlt_1332437041_493871"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "www.v9.com/vlt/vlt_1332437041_493871"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}"
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9851&q={searchTerms}"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.yhs.delta-search.com/?affID=119370&tt=210213_yh&babsrc=HP_ss&mntrId=20e4efb10000000000001c659db6b2c9"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/vlt/vlt_1332437041_493871"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yhs.delta-search.com/?affID=119370&tt=210213_yh&babsrc=HP_ss&mntrId=20e4efb10000000000001c659db6b2c9"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.yhs.delta-search.com/?q={searchTerms}&affID=119370&tt=210213_yh&babsrc=SP_ss&mntrId=20e4efb10000000000001c659db6b2c9"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{81A7F1FD-5B2E-4F1D-B8FC-0D79E772168D}: "URL" = "http://www.mysearchresults.com/search?&c=2652&t=03&q={searchTerms}"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9851&q={searchTerms}"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6PQnHHIkF6&i=26"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{F71BFC91-F373-4A0B-B8E1-D9740F72EF55}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll ()
O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll ()
O20 - AppInit_DLLs: (c:\progra~3\browse~2\261095~1.52\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
 
:Files
C:\ProgramData\Wincert
C:\ProgramData\BrowserProtect
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Yontoo 1.10.03 / TheBflix / Babylon toolbar on IE / DefaultTab / Delta toolbar / Search-Results Toolbar / Incredibar Toolbar on IE and Chrome / Premiumplay Codec-C / uTorrentControl2 Toolbar / Windows iLivid Toolbar / Wxdfast

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo / uTorrentControl2 / Delta Toolbar / wxDfast extension

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Slimak]

Ok, wykonano zgodnie z rekomendacją.

 

Parę uwag:

 

1. Po zatwierdzeniu wykonania skryptu w OTL Windows wywalił następujący komunikat:

 

Message: Windows - błąd aplikacji

Instrukcja spod 0x0008e1d2 odwołuje się do pamięci pod adresem

0x00000000. Pamięć nie może być read.

 

Kliknij przycisk OK, aby przerwać działanie aplikacji

 

Komunikat zamknąłem, skrypt spokojnie się wykonał.

 

2. Firefoxa nie wyczyściłem, ponieważ nie ma go zainstalowanego na tym sprzęcie

 

Po odinstalowaniu toolbarów (było trochę dziadostwa...), w opcjach Chrome'a rozszerzenia wspomnianych aplikacji nie pojawiały się już na liście (ergo nie zostały odmontowane).

 

Sprzątnięto AdwCleanerem, pousuwałem REVO parę zbędnych aplikacji. Zamieszczam świeży log z OTLa.

OTL.Txt

[Landuss]

Sytuacja znacznie się poprawiła. Wykonaj jeszcze jeden skrypt poprawkowy o takiej treści:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O4 - HKLM..\Run: [uIExec] "C:\Program Files (x86)\Netia\Mobilny Internet\UIExec.exe" File not found
 
:Commands
[reboot]

 

Wykonujesz skrypt i dajesz nowy log do oceny ze skanowania.

[Slimak]

Wykonano. Załączam świeży log.

OTL.Txt

[Landuss]

Tym razem już wygląda, ze jest czysto. Przejdź do czynności końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Skanowanie za pomocą Malwarebytes Anti-Malware
 

[Slimak]

Wykonano. Znalazło się jeszcze kilku szpiegów. Podrzucam log z Malwarebytes.

mbam-log-2013-03-24 (16-59-08).txt

[Landuss]

Usuń to wszystko co znalazł MBAM i to by było na tyle ode mnie.

[Slimak]

Tak też uczyniłem. Dziękuję bardzo za pomoc , temat do zamknięcia.