Security Tool

[lilleczka]

dobra, musiałam sprawdzić jak to jest z tymi kontami - z normalnego mam 4 konta - Eliza, ziomek, Staszek i Gość - te dwa ostatnie praktycznie nieużywane

z awaryjnego też 4 konta ale tutaj zamiast Gość jest Administrator

 

żebym Ciebie dobrze zrozumiała - na awaryjnym wchodzę na te 3 konta (poza Administratorem) i na każdym robię OTL, GMER mogę zrobić np. na swoim

 

potem wracam na normalny i z korzystając z dowolnego konta przesyłam logi

 

to pytanie na jutrzejsze, o nie!, na dzisiejsze popołudnie - teraz odpuszczam - za 4 muszę wstać do pracy

 

 

serdeczne dzięki za dotychczasową pomoc!

 

pozdrawiam

[picasso]

żebym Ciebie dobrze zrozumiała - na awaryjnym wchodzę na te 3 konta (poza Administratorem) i na każdym robię OTL, GMER mogę zrobić np. na swoim

 

potem wracam na normalny i z korzystając z dowolnego konta przesyłam logi

 

Tak. Tylko jakoś nazwy plików logów tak oznacz, by od razu w nazwie było oznaczenie z jakiego konta są. Wprawdzie ja to będę widzieć w logach w nagłówkach, ale to dla jasności wyświetlania Załączników na forum.

[lilleczka]

witam ponownie

 

zgodnie ze wskazówkami wygenerowałam logi OTL na każdym koncie użytkownika, próba wykonania GMER zakończyła się totalnym zawieszeniem (dwukrotnie) i koniecznością odłączenia komputera od zasilania

 

dwa pytania:

czy przesłać wygenerowane logi? (a może z racji "twardego resetu" wygenerować je jeszcze raz?)

czy podjąć kolejną próbę wykonania GMER

[picasso]

czy przesłać wygenerowane logi? (a może z racji "twardego resetu" wygenerować je jeszcze raz?)

 

Prześlij to co masz, by były materiały do usuwania infekcji. Narazie opuść GMER.

[lilleczka]

w załączeniu przesyłam najświeższe logi z OTL z dwóch kont użytkowników, jeszcze cieplutkie

 

ale widzę, że gdzieś mi wcięło loga z mojego konta więc muszę go jeszcze raz zrobić

 

z GMER, zgodnie z sugestią się wstrzymałam

 

no i log z ostatniego konta

OTL Jul.Txt

OTL Stas.Txt

OTL Eli.Txt

[picasso]

Konta Eliza i Julek mają fałszywego antywirusa, ślady po infekcji z urządzenia USB oraz śmieci adware. Natomiast konto Stas (to jest właśnie to aaa, folder na dysku nie musi być taki sam jak nazwa wyświetlana) nie ma tej infekcji, ewentualnie do korekty mini wpisy "not found", ale to nie jest na teraz istotne. Najpierw należy odblokować konta zdejmując działanie pseudo-oprogramowania. Zabieramy się za usuwanie:

 

1. Startujesz do Trybu awaryjnego na każde z kont po kolei, na każdym uruchamiasz OTL i wybierasz opcję Wykonaj skrypt, której należy podać osobny pasujący do konta plik FIX.TXT. Do pobrania pliki FIX.TXT dostosowane do danych kont (oczywiście wybierz opcję zapisu plików na dysku):

 

Konto Julek: FIX.TXT

Konto Eliza: FIX.TXT

 

Wszystkie logi powstałe z usuwania zachowaj.

 

2. Startujesz do Trybu normalnego, w Dodaj/Usuń wykonujesz deinstalację: My Web Search (Popular Screensavers) + ShopperReports + Softonic-Eng7 Toolbar.

 

3. Z poziomu Trybu normalnego (to powinno być już bezproblemowe) wygeneruj po kolei logi z OTL dla każdego z kont, opcją Skanuj dla jasności.

 

 

 

.

[lilleczka]

witam

 

przy próbie wykonania skryptów w trybie awaryjnym (zresztą w normalnym też) w momencie pobierania pliku nie widać w ogóle plików txt a przy pasku "Plik typu" podrzuca tylko "Fix files"

 

dziwna rzecz - Security Tool się dzisiaj w ogóle nie uaktywnił, kiedy rozwijam listę programów z menu "Start" w ogóle go nie ma, mimo że wcześniej był

 

jestem w stanie bez problemów dostać się wszędzie, do wszystkich folderów i plików w swoim komputerze

nie wiem co się stało, ale w cuda nie wierzę więc wietrzę jakiś podstęp - pamiętajcie, że nie udało mi się wykonać skryptów

 

czy w tej sytuacji mam wykonać punkty 2 i 3 z instrukcji w poprzednim poście?

 

 

może jestem przewrażliwiona na punkcie słowa "Tool" ale na pasku mam nową (chyba nową??? bo nie kojarzę wcześniej) ikonkę wyświetlającą się jako "Exper Tool"

[picasso]

przy próbie wykonania skryptów w trybie awaryjnym (zresztą w normalnym też) w momencie pobierania pliku nie widać w ogóle plików txt a przy pasku "Plik typu" podrzuca tylko "Fix files"

 

Nie rozumiem... Pokaż na obrazku co Ty widzisz.

 

dziwna rzecz - Security Tool się dzisiaj w ogóle nie uaktywnił, kiedy rozwijam listę programów z menu "Start" w ogóle go nie ma, mimo że wcześniej był

 

Może dlatego, że na początku zostały usunięte główne wpisy, a to co jest na kontach użytkowników to wpisy typu "RunOnce".

 

czy w tej sytuacji mam wykonać punkty 2 i 3 z instrukcji w poprzednim poście?

 

Nie, proszę nadal o wykonanie skryptów dla każdego z kont. I dopiero na koniec deinstalacja. Skoro teraz w trybie normalnym można działać i fałszywy antywirus nie reaguje, to zamiast plików FIX.TXT będziesz wklejać skrypt bezpośrednio z posta do OTL. Czyli:

 

1. Dla konta Julek: uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:OTL 
IE - HKU\S-1-5-21-1659004503-562591055-839522115-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2405280"
IE - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL File not found
IE - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - Reg Error: Key error. File not found
FF - prefs.js..extensions.enabledItems: {9CE11043-9A15-4207-A565-0C94C42D590D}:2.0
O3 - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\Toolbar\WebBrowser: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found.
O3 - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - Reg Error: Value error. File not found
O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1005..\Run: [ares] C:\Program Files\Ares\Ares.exe File not found
O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1005..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe File not found
O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1005..\Run: [RGSC] D:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe File not found
O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1005..\RunOnce: [113499697] C:\Documents and Settings\Julek\Ustawienia lokalne\Dane aplikacji\113499697.exe ()
O15 - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..Trusted Domains: se-2011-download.com ([]http in Trusted sites)
O15 - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..Trusted Domains: se-2011-payment.com ([]http in Trusted sites)
O33 - MountPoints2\{861ae142-7e6b-11dc-bee4-000e50f46b27}\Shell\AutoRun\command - "" = G:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe -- File not found
O33 - MountPoints2\{861ae142-7e6b-11dc-bee4-000e50f46b27}\Shell\open\command - "" = G:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe -- File not found

 

Uruchom przez Wykonaj skrypt. Komputer będzie restartować, a na koniec dostaniesz log z usuwania.

 

2. Dla konta Eliza: uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:OTL
O3 - HKU\S-1-5-21-1659004503-562591055-839522115-1006\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - Reg Error: Value error. File not found
O4 - HKU\S-1-5-21-1659004503-562591055-839522115-1006..\RunOnce: [0598144] C:\Documents and Settings\Eliza\Ustawienia lokalne\Dane aplikacji\0598144.exe ()
O15 - HKU\S-1-5-21-1659004503-562591055-839522115-1006\..Trusted Domains: se-2011-download.com ([]http in Trusted sites)
O15 - HKU\S-1-5-21-1659004503-562591055-839522115-1006\..Trusted Domains: se-2011-payment.com ([]http in Trusted sites)
O33 - MountPoints2\{ca9bdf0a-fc29-11dc-bfd9-000e50f46b27}\Shell\Open(&0)\command - "" = Recycled\ctfmon.exe
[2010-11-02 21:52:38 | 000,000,821 | ---- | M] () -- C:\Documents and Settings\Eliza\Pulpit\Security Essentials 2011.lnk

 

Uruchom przez Wykonaj skrypt. Komputer będzie restartować, a na koniec dostaniesz log z usuwania.

 

3. Wykonujesz zalecane deinstalacje.

 

4. Wykonujesz dla każdego konta nowe logi OTL opcją Skanuj, oraz pokazujesz także logi powstałe z usuwania.

 

 

.

[lilleczka]

w załączeniu logi OTL po wykonaniu skryptów na każdym z kont

 

nie udało mi się usunąć "My Web Search (Popular screensavers)" - pojawił się komunikat, zrobiłam zrzut z ekranu ale nie wiem jak go tutaj pokazać...

OTL E skrypt.txt

log J skrypt.txt

[picasso]

Wedle spodziewań: fałszywy antywirus się nie ujawnia, bo klucze RunOnce zniknęły (stąd też i OTL nie usunął ich, bo ich po prostu już nie ma). Reszta zadań wykonana.

 

nie udało mi się usunąć "My Web Search (Popular screensavers)" - pojawił się komunikat, zrobiłam zrzut z ekranu ale nie wiem jak go tutaj pokazać...

 

Obrazek możesz wstawić na ImageShack i podać tu link. Jednakże przypuszczam, że niemożność deinstalacji to jest wynik już usunięcia pewnych komponentów MyWebSearch (czyli brak "deinstalatora"). Inne odinstalowałaś? Jeśli nie, zrób to. Poproszę teraz o:

 

1. Wykonaj pełny skan za pomocą Malwarebytes' Anti-Malware. Zrób te skany dla każdego z kont z osobna. MBAM powinien znaleźć szczątki tego adware MyWebSearch. Jeśli to się nie stanie, podam ręczny fiks jak wywalić wpis tego śmiecia z Dodaj/Usuń.

 

2. Pokazujesz: nowe logi OTL opcji Skanuj oraz wyniki skanowania MBAM.

 

 

 

EDIT:

 

Do użytkownika Karola. Proszę się tu nie dopisywać! Każdy użytkownik ma swój własny temat! Wydzielone tu:

 

https://www.fixitpc.pl/topic/2110-securitytool/

 

.

[lilleczka]

w załączeniu przesyłam z konta Eliza skan z MBAW, log z OTL-a wykonany po skanie i zrzut z ekranu po próbie usunięcia "My WEb..." - już umiem

 

czy po skanie MBAW powinnam kliknąć usuń zaznaczone?

 

za chwilę prześlę komplet z drugiego konta

 

i logi z konta Julek

mbam-log-2010-11-22 (20-20-12) E.txt

OTL.Txt

mbam-log-2010-11-22 (20-42-40) J.txt

OTL J.Txt

[picasso]

Log z konta Eliza wygląda już poprawnie i nic tu więcej nie będziemy z nim wykonywać. Jeśli wygenerujesz zestawy skanu MBAM + log OTL z drugiego konta, dołącz w powyższym poście, a ja tu odpowiednio zmodyfikuję swój post.

 

zrzut z ekranu po próbie usunięcia "My WEb..."

 

Przyczyna o jakiej już mówiłam: brak modułu deinstalacyjnego, ponieważ tego śmiecia już czymś wcześniej jakby usuwano (w logach były odnośniki "not found"). Problem niemożności deinstalacji sam się rozwiąże poprzez tę akcję:

 

czy po skanie MBAW powinnam kliknąć usuń zaznaczone?

 

Tak, wszystko usuń. W raporcie są szczątki po tych adware, które już tu widziałam (i wpis w Dodaj / Usuń także jest), oraz po trojanach i nawet uchował się jeszcze skrót tego pseudo-antywirusa.

 

 

 

.

[lilleczka]

ok, logi z drugiego konta dołączyłam do poprzedniego posta

 

czy jak pousuwam wszystko po skanowaniu MBAW przesłać ponownie logi z OTL?

 

dosyłam log ze skanowania MBAW po usunięciu śmieci na koncie Julek

za chwilę dołączę to samo z mojego konta

 

czy jak już mój komputer zostanie doprowadzony do stanu używalności polecisz mi jakiegoś dobrego AV? bo widzę, że sam się doprasza ochrony

 

no i log po usunięciu śmieci MBAW na koncie Eliza (ten oznaczony Eli)

mbam-log-2010-11-22 (20-58-58).txt

mbam-log-2010-11-22 (21-24-15) Eli.txt

[picasso]

W porządku. Pozostało do zrobienia:

 

 

CZEŚĆ SPRZĄTAJĄCA:

 

1. Z poziomu konta Julek ostatnia operacja w OTL. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1659004503-562591055-839522115-1005\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - Reg Error: Key error. File not found
O4 - HKLM..\RunOnceEx: []  File not found

 

Uruchom przez Wykonaj skrypt. Żadnych logów już nie musisz pokazywać. W OTL na koniec uruchom funkcję Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE

 

 

 

ZABEZPIECZENIA:

 

1. Podstawowy defekt systemu:

 

Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)

Obowiązkowa aktualizacja do statusu: Service Pack 3 + Internet Explorer 8.

 

2. Podobnie jest z dodatkowym oprogramowaniem:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03
"{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.1
"Gadu-Gadu" = Gadu-Gadu 7.7

• Ta archaiczna Java musi wylecieć na korzyść najnowszej wersji. Do wymiany i Adobe Reader. Wszystko tu: INSTRUKCJE.
  
• Gadu-Gadu 7.7 - nie obsługuje w pełni własnej sieci i nie ma szyfrowania. W temacie Darmowe komunikatory znajdziesz alternatywy (proponuję: WTW, Miranda, Kadu dla Windows lub - jeśli reklamy nie są problemem - AQQ).
  

3. Rozprawiając o software zabezpieczającym, może Cię zainteresuje pełny darmowy pakiet COMODO Internet Security.

 

 

 

 

.

[lilleczka]

witam ponownie

 

wykonałam wszystkie polecenia z poprzedniego postu

 

picasso - jesteś genialna!!!

ogromnie dziękuję za pomoc, jasne i czytelne instrukcje i za uratowanie mnie od tego paskudztwa

 

miałabym jeszcze jakieś pytania - w temacie zabezpieczenia komputera i dodatkowego oprogramowania - ale to chyba już nie w tym dziale, prawda?

 

jeszcze raz stokrotne dzięki!!!

[picasso]

miałabym jeszcze jakieś pytania - w temacie zabezpieczenia komputera i dodatkowego oprogramowania - ale to chyba już nie w tym dziale, prawda?

 

Jakie pytania? Jakaś grubsza dyskusja to owszem, w dziale Oprogramowanie zabezpieczające.

[lilleczka]

w zasadzie to jedno najbardziej dla mnie istotne - poleciłaś mi pakiet COMODO, trochę poczytałam i mi się podoba więc się zdecydowałam ale kiedy aktualizowałam Adobe Reader to on automatycznie ściągnął mi McFee i jestem w małej kropce

McFeeto tylko AV a COMODO to cały pakiet łącznie z zaporą, więc bardziej mi odpowiada

 

chciałabym się tylko upewnić, że mogę bez sentymentu odinstalować McFee i ściągnąć COMODO

 

ale oczywiście mogę przegalopować do drugiego działu

[picasso]

w zasadzie to jedno najbardziej dla mnie istotne - poleciłaś mi pakiet COMODO, trochę poczytałam i mi się podoba więc się zdecydowałam ale kiedy aktualizowałam Adobe Reader to on automatycznie ściągnął mi McFee i jestem w małej kropce

McFeeto tylko AV a COMODO to cały pakiet łącznie z zaporą, więc bardziej mi odpowiada

 

chciałabym się tylko upewnić, że mogę bez sentymentu odinstalować McFee i ściągnąć COMODO

 

McAfee to sponsor doczepiony do Adobe i zapomniałam Ci powiedzieć, byś tego nie instalowała. To jest zbędne, zresztą to nie jest żaden pełny antywirus tylko skrócony szybki skaner (więc nawet gdyby został dołożony COMODO nie powinno być konfliktu). Sumując: McAfee odinstalować, on nie jest Ci potrzebny, pełny pakiet COMODO doinstalować.

 

 

 

.

[lilleczka]

oki, rozumiem

 

dziękuję bardzo, bardzo, bardzo za pomoc

 

 

mam nadzieję, że nieprędko będziemy miały okazję do kontaktu - o rany! jak to brzmi! ale sama rozumiesz o co chodzi

 

pozdrawiam serdecznie

 

over...

Edytowane 24 Listopada 2010 przez picasso
Hahaha. Temat wygląda na ukończony, toteż go zamykam. Jeśli coś by się działo, poproś o otworzenie na PW. //picasso