mos Opublikowano 23 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 Witam. Proszę o pomoc w pozbyciu się złośliwca. Przygotowałem logi: OTL http://wklej.org/id/518070/ Extras http://wklej.org/id/518072/ Dziękuję za pomoc i życzę smacznego jajka :] Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2011 1. Wstępne usunięcie elementów infekcji oraz innych wadliwych zapisów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\3oinbk8a80fm26mvl C:\Users\MEG\AppData\Local\3oinbk8a80fm26mvl C:\Users\MEG\AppData\Local\olj.exe C:\Users\MEG\AppData\Local\Temp*.html :OTL O35 - HKU\S-1-5-21-3843999516-3790557013-2749497044-1001..exefile [open] -- "C:\Users\MEG\AppData\Local\olj.exe" -a "%1" %* () O37 - HKU\S-1-5-21-3843999516-3790557013-2749497044-1001\...exe [@ = exefile] -- "C:\Users\MEG\AppData\Local\olj.exe" -a "%1" %* () O4 - HKU\S-1-5-21-3843999516-3790557013-2749497044-1001..\Run: [mnumsg.exe] File not found FF - prefs.js..browser.search.selectedEngine: "Search" FF - prefs.js..keyword.URL: "http://www.slaago.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=JHb5KfD6&q=" FF - user.js..browser.search.selectedEngine: "Search" FF - user.js..keyword.URL: "http://www.slaago.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=JHb5KfD6&q=" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - File not found O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Otrzymasz log z czyszczenia. 2. Etap dwa, czyli deinstalacja niepożądanych obiektów: Otwórz menedżer rozszerzeń Firefox i wymontuj adware HBLite. Przejdź do apletu deinstalacji programów i usuń adware ShopperReports i Blinkx Beat. Kolejny element deinstalacji: posługujesz się przeterminowaną wersją Spyware Doctor 6.0, która na dodatek nie ma stosownej kompatybilności z Twoim systemem. W Dzienniku zdarzeń jest odnotowany problem z prawidłowym ładowaniem sterownika na systemie 64-bit: Error - 4/23/2011 6:29:33 PM | Computer Name = MEG-PC | Source = Application Popup | ID = 875Description = Driver PCTSDInj64.sys has been blocked from loading. Podobnie jest zresztą z oprogramowaniem Samsung: Error - 4/23/2011 6:29:27 PM | Computer Name = MEG-PC | Source = Application Popup | ID = 1060Description = \??\C:\Windows\system32\Drivers\SSPORT.sys has been blocked from loading due to incompatibility with this system. Please contact your software vendor for a compatible version of the driver. Error - 4/23/2011 6:29:27 PM | Computer Name = MEG-PC | Source = Service Control Manager | ID = 7000Description = The SSPORT service failed to start due to the following error: %%1275 Error - 4/23/2011 6:29:24 PM | Computer Name = MEG-PC | Source = Service Control Manager | ID = 7000Description = The DgiVecp service failed to start due to the following error: %%20 3. Po przeprowadzeniu punktów 1+2 wyprodukuj nowe logi z OTL z opcji Skanuj. Zaprezentuj także log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
mos Opublikowano 25 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2011 skrypt wykonany log po czyszczeniu http://wklej.org/id/518501/ nie moglem znaleźc HBLite odinstalowałem ShopperReports, Blinkx Beat i Spyware Doctor 6.0 zainstalowałem nowe sterowniki do Samsunga nowe logi: OTL http://wklej.org/id/518502/ Extras http://wklej.org/id/518503/ Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2011 Zadanie skryptowe wykonane pomyślnie. zainstalowałem nowe sterowniki do Samsunga Nie wygląda na to, by nastąpiła tu zmiana. W pierwszym OTL i aktualnym jest dokładnie tak samo datowany zestaw sterowników Samsung: DRV:64bit: - [2008/01/03 05:38:03 | 000,054,072 | R--- | M] (Samsung Electronics) [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\DgivEcp.sys -- (DgiVecp)DRV:64bit: - [2008/01/03 05:23:20 | 000,005,120 | R--- | M] (Samsung Electronics) [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\SSPORT.sys -- (SSPORT)DRV - [2008/01/03 05:50:32 | 000,041,984 | ---- | M] (Samsung Electronics Co., Ltd.) [Kernel | Auto | Stopped] -- C:\Windows\SysWOW64\drivers\DGIVECP.SYS -- (DgiVecp) W Dzienniku zdarzeń z dziś zalogowane te same błędy niekompatybilności i niemożności startu sterownika. Widocznie "najnowsze" dostępne sterowniki Samsung są i tak za stare. nie moglem znaleźc HBLite Jednakże jakaś operacja została na nim przeprowadzona. W aktualnym logu nastąpiła zmiana, rozszerzenie nie jest oznaczone jako czynne, choć są jeszcze w rejestrze fragmenty związane z tym adware: FF - HKLM\software\mozilla\Firefox\Extensions\\HBLite@HBLite.com: C:\Program Files (x86)\HBLite\bin\11.0.363.0\firefox\extensions 1. Zamknij Firefox. ----> Start > w polu szukania wklep regedit > i w kluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions Skasuj HBLite@HBLite.com ----> Przez SHIFT+DEL skasuj z dysku folder C:\Program Files (x86)\HBLite 2. W OTL wywołaj funkcję Sprzątanie. To usunie kwarantannę programu z trojanem oraz sam program OTL jako taki. 3. Wykonaj pełny skan przez Malwarebytes' Anti-Malware i zaprezentuj raport. . Odnośnik do komentarza
mos Opublikowano 25 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2011 dziwna sprawa z tymi sterownikami, ogólnie właścicielka laptopa nie uskarża się na jakiekolwiek kłopoty ze sprzętem Samsunga, wiec na razie to pomińmy podanego wpisu HBLite w rejestrze nie znalazłem, tak samo jak i katalogu. usunąłem jednakże pozostałe wpisy HBLite z rejestru, uzyłem opcji szukaj sprzątanie w OTL wykonane poniżej log z Malwarebytes' Anti-Malware http://wklej.org/id/518974/ Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2011 1. Wszystkie wyniki MBAM są szkodliwe. Grupa pierwsza to głównie pozostałości po adware ShopperReports i HBLite (znakowany jako "Hotbar"), druga grupa to wpisy od infekcji z którą się zgłosiłeś. Widzę wszędzie "No action taken". Usuń to wszystko za pomocą MBAM. 2. Software: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java 6 Update 16 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 24"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.4"7-Zip" = 7-Zip 9.20"Gadu-Gadu 10" = Gadu-Gadu 10"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16) Aktualizacje Firefox, Java (wersja 32-bit i 64-bit) i Adobe Reader: INSTRUKCJE. 7-zip - zamontowany w wersji 32-bit, a jest to wersja niewłaściwa dla Windows 64-bit. By menu kontekstowe były widzialne w eksploratorze, jest wymagane zastąpienie natywnie 64-bitową wersją. GG10 - może się uda przekonać właścicielkę do zamiany tego potwora alternatywą z obsługą sieci Gadu. Opisy w Darmowe komunikatory. Programy które się liczą jako zamienniki: AQQ, Kadu, WTW, Miranda. 3. Aktualizacja właściwa Windows: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) Windows 7 Service Pack 1 + Internet Explorer 9 4. Na sam koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. . Odnośnik do komentarza
mos Opublikowano 27 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 (edytowane) super, zrobiłem wg. zaleceń i wszystko chodzi, z tego co mi wiadomo, bez zastrzeżeń :] dziękuję bardzo za pomoc Edytowane 27 Kwietnia 2011 przez picasso Temat rozwiązany. Zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi