Wolna praca plus wszechobecny malware

[htw]

Witam,

 

jak zawsze życie organiczne bardzo bujne. Ręcznie wywaliłem co sie dało odpaliłem rzemieślniczo Malwarebytes, wywalił co trzeba, a teraz artystyczna końcówka dla mistrza

 

 

Malwarebytes log

http://wklej.org/id/1142536/

 

OTL

http://wklej.org/id/1142641/

 

EX

http://wklej.org/id/1142538/

 

FRST

http://wklej.org/id/1142542/

 

ADD

http://wklej.org/id/1142544/

 

 

 

sofcik zaktualizuje do końca po wszystkiemu.

 

 

mea culpa, do apologize, update gotowy.

[picasso]

Log z OTL nie wstawiony, kierunek na ogólną stronę.

 

Adware (nabyte przez downloadery portalowe) i ślady robaka Gamarue. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Martyna\LOCALS~1\Temp\ccaaqyfi.com 
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.a-searchpage.info/?pid=945&r=2013/06/03&hid=992944749&lg=EN&cc=PL&unqvl=18
SearchScopes: HKLM - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL =
SearchScopes: HKLM - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.a-searchpage.info/?l=1&q={searchTerms}&pid=945&r=2013/06/03&hid=992944749&lg=EN&cc=PL&unqvl=18
SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=c5afb2c3-6a79-44ee-8dde-c546af4b9de2&searchtype=ds&q={searchTerms}&installDate=17/09/2013
SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=c5afb2c3-6a79-44ee-8dde-c546af4b9de2&searchtype=ds&q={searchTerms}&installDate=17/09/2013
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&affID=119294&babsrc=SP_ss_Btisdt6&mntrId=34550C6076BCFF1D
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
BHO: CescrtHlpr Object - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.15.10\bh\BabylonToolbar.dll No File
BHO: No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File
BHO: No Name - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No File
BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Martyna\AppData\Roaming\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
Toolbar: HKLM - QuickShare Widget - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\System32\mscoree.dll (Microsoft Corporation)
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No File
Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
Toolbar: HKCU - No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\14.2.0\ViProtocol.dll No File
CHR HKLM\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files\BonanzaDeals\BonanzaDeals.crx
CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Martyna\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx
Task: {1110C132-1C56-4906-B5B5-782BECAE2E18} - \AdobeFlashPlayerUpdate No Task File
Task: {3EFDA6CD-576F-457F-A6D6-4630FCB7FB6F} - \AdobeFlashPlayerUpdate 2 No Task File
Task: {9B4A3780-14EC-4E29-B5A0-56950DA6CD2F} - System32\Tasks\GoforFilesUpdate => C:\Program Files\GoforFiles\GFFUpdater.exe
Task: {AE10381D-5523-4787-B412-ECDDD656867D} - System32\Tasks\{B2814A59-BC3A-4757-BCEC-69AA39FB5E4E} => Chrome.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?source=lightinstaller&page=tsProgressBar
S2 vToolbarUpdater14.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe [x]
R1 avgtp; C:\windows\system32\drivers\avgtpx86.sys [33112 2013-02-14] (AVG Technologies)
S3 nmwcd; system32\drivers\ccdcmb.sys [x]
S3 nmwcdc; system32\drivers\ccdcmbo.sys [x]
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [x]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [x]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [x]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [x]
S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [x]
C:\windows\system32\drivers\avgtpx86.sys
C:\MSI
C:\Users\Martyna\AppData\Local\{D24FF096-8AB7-41E3-BB29-299D9D88E89D}
C:\Users\Martyna\AppData\Local\BIT57E7.tmp
C:\Users\Martyna\AppData\Local\avgchrome
C:\Users\Martyna\AppData\Local\BonanzaDealsLive
C:\Users\Martyna\AppData\Local\Mozilla
C:\Users\Martyna\AppData\Roaming\Mozilla
C:\Users\Martyna\Downloads\VuuPC_Setup.exe
C:\Users\Martyna\Downloads\Niepotwierdzony*.crdownload
C:\ProgramData\~0
C:\ProgramData\BonanzaDealsLive
C:\ProgramData\contiNuetoSaVE
C:\ProgramData\coNtoinuieTosave
C:\ProgramData\McAfee
C:\ProgramData\Norton
C:\Program Files\Common Files\McAfee
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\BonanzaDealsLive
C:\Program Files\BonanzaDeals
C:\Program Files\mozilla firefox
C:\Program Files\Przyspiesz Komputer
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj: AVG Security Toolbar, Conduit Engine, FoxTab PDF Creator, QuickShare oraz Windows Media Player Firefox Plugin (Firefox nie istnieje jako zainstalowany).

 

3. Wyczyść Google Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń feed.snap.do
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci (o ile będą).
• Ustawienia > karta Rozszerzenia > odinstaluj SweetIM for Facebook
• Ustawienia > karta Historia > wyczyść

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition) + zaległy OTL (bez Extras). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[htw]

nowy FRST

http://wklej.org/id/1142684/

 

nowy OTL, zalegly na swoim mijescu.

http://wklej.org/id/1142687/

 

FIXLOG

http://wklej.org/id/1142689/

 

ADWCLEANER

http://wklej.org/id/1142696/

 

AVG Toolbar wyinstalowal ADW, recznie nie chciało w rozszerzeniach Chrome nie było sweethome.

[picasso]

1. Drobna korekta. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks" /v {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Search the Web" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Search the Web" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S4 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [x]
C:\Users\Martyna\AppData\Roaming\GoforFiles
C:\Users\Martyna\AppData\Roaming\maxup
C:\ProgramData\Uniblue
C:\Program Files\Windows Live Toolbar
C:\windows\system32\UnInstall.log

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. A po tym:

 

2. To już masz przetrenowane: usunięcie narzędzi, czyszczenie folderów Prywracania systemu i aktualizacje.

 

 

 

.

[htw]

wszystko elegancko, Przywracanie systemu wywalone, system zaktualizowany, software zew (Secunia) również. Do tego dołożyłem Adoblock plus Traficlight od Bitdefender na Chrome  i samego Bitdefender w wersji free, słyszałem , że leciutki i faktycznie. Dodałem na system również piaskownicę ( na treści wątpliwej reputacji) no i powinno być git. W zasadzie do pełni szczęścia firewall by sie przydał, ale może systemowy wystarczy.

 

Jak zawsze pełny profesjonalizm. Dzięki.

 

notabene jest dziwna rzecz, nie wiem za co jest odpowiedzialna partycja D: (myślalem na pocztku, że to część Revovery od Lenovo ale chyba nie .. ?) 

 

[picasso]

Nie mam pewności co to za partycja D, ale to może być partycja Lenovo. Przykładowy temat mówiący o 4 partycjach na Lenovo i ów dysk logiczny "Lenovo" pasuje do tutejszej charakterystyki: KLIK. I tu jeszcze dodatkowy obrazek z typowego układu Lenovo: KLIK

 

Z tym że w obu linkach ta partycja powinna mieć nazwę "Lenovo" i system plików NTFS, a tu system plików RAW raczej sugerujący uszkodzenie partycji...

 

 

 

.