Michal22 Opublikowano 9 Maja 2011 Zgłoś Udostępnij Opublikowano 9 Maja 2011 Witam. Na moim laptopie zagnieździł się Vista Antispyware i nie mogłem go niczym usunąć (ponieważ nie mogłem go znaleźć). W akcie desperacji sięgnąłem po ComboFixa (którego ściągnąłem kiedyśtam). Niestety o pliku nakładkowym dowiedziałem się dopiero po odzyskaniu dostępu do internetu (Trojan skutecznie mi go zablokował) Czy mogę prosić o pomoc przy zakończeniu operacji? Logi z ComboFix'a podaję w załączniku... innych niestety nie posiadam logi combofix.txt Odnośnik do komentarza
picasso Opublikowano 9 Maja 2011 Zgłoś Udostępnij Opublikowano 9 Maja 2011 Logi z ComboFix'a podaję w załączniku... innych niestety nie posiadam Proszę dostarcz obowiązkowe tu logi z OTL + GMER. Odnośnik do komentarza
Michal22 Opublikowano 9 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2011 A tak, przepraszam... myślałem, że aktualne logi będą mało pomocne ...A jednak mam logi z OTL przed Combofixem Dorzucam też aktualne OTL Mam problem z zamieszczeniem logów z GMER... Dostaję informację, że nie mam wystarczających uprawnień by zamieścić ten rodzaj pliku. P.S. Zaznaczam także, że w międzyczasie zmieniłem antywirusa, mam nadzieję, że to nie skomplikuje sprawy... to jedyna zmiana jakiej dokonałem, resztę grzecznie zostawiłem na swoim miejscu. P.S.S. Zamieściłem GMER'a w postaci TXT... mam nadzieję, że tak może być, bo ".log" ile bym nie próbował nie wchodzi OTL przed ComboFix.Txt OTL.Txt gmer1.txt Odnośnik do komentarza
picasso Opublikowano 9 Maja 2011 Zgłoś Udostępnij Opublikowano 9 Maja 2011 OTL jest niepełny - brakuje Extras, gdyż OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na Brak. Oceniając logi aktualne: pozostały jedynie mikro odpadki oraz sponsoring. 1. Deinstalacje pasków narzędziowych: Przejdź do apletu deinstalacji programów i odinstaluj BitTorrentBar Community Toolbar Otwórz menedżer rozszerzeń Firefox i odinstaluj BitTorrentBar Community Toolbar plus MyPlayCity Toolbar 2. Następnie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011-05-09 14:29:13 | 000,011,376 | -HS- | M] () -- C:\Users\michał\AppData\Local\ovwk52n137pw5h63mb604t1j2la2krl244fba5 [2011-05-09 14:29:13 | 000,011,376 | -HS- | M] () -- C:\ProgramData\ovwk52n137pw5h63mb604t1j2la2krl244fba5 O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found O9 - Extra Button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - Reg Error: Key error. File not found :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z usuwania. 3. Wygeneruj nowe logi z OTL. Przypominam: opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania", by powstał Extras. Dołącz i log z OTL powstały z usuwania. Niestety o pliku nakładkowym dowiedziałem się dopiero po odzyskaniu dostępu do internetu (Trojan skutecznie mi go zablokował) Nie rozumiem tego zdania. . Odnośnik do komentarza
Michal22 Opublikowano 9 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2011 Zacznę od tego: Niestety o pliku nakładkowym dowiedziałem się dopiero po odzyskaniu dostępu do internetu (Trojan skutecznie mi go zablokował) Nie rozumiem tego zdania. Na stronce searchengines (dopiero po dokładniejszym zapoznaniu się z faktami' date=' dowiedziałem się kto w Polsce rządzi CF'em ) znalazłem temat odnośnie tego samego problemu, który miałem (no przynajmniej podobnego). Niestety nie podam konkretnego linka, bo mój "lis" ma krótką pamięć W każdym bądź razie przeczytałem tam o jakimś skrypcie CFconfig który należy wrzucić do ComboFix'a w celu naprawienia szkód jakie mógł on spowodować, czy coś... pisząc pierwszy post myślałem, że stosuje się to niezależnie od przypadku. Obawiałem się, że będę musiał coś jeszcze zrobić w sprawie tego ComboFix'a którego uruchomiłem, bo spietrałem się, że mi system przez to padnie... Co do Otwórz menedżer rozszerzeń Firefox i odinstaluj BitTorrentBar Community Toolbar plus MyPlayCity Toolbar Firefox nie pokazuje mi MyPlayCity... sam nie wiem czemu... w każdym bądź razie jestem prawie pewien, że akurat MyPlayCity pozbywałem się dosyć dawno temu, więc może to tylko odpad albo coś sknociłem pozbywając się tego paska... Dodaję logi OTL2.Txt Log z usuwania.txt Odnośnik do komentarza
picasso Opublikowano 9 Maja 2011 Zgłoś Udostępnij Opublikowano 9 Maja 2011 znalazłem temat odnośnie tego samego problemu, który miałem (no przynajmniej podobnego) Tylko, że ja nadal nie wiem o co Ci chodzi, o którym problemie rozprawiasz. W każdym bądź razie przeczytałem tam o jakimś skrypcie CFconfig który należy wrzucić do ComboFix'a w celu naprawienia szkód jakie mógł on spowodować, czy coś... "CFConfig" nie istnieje, skrypty do ComboFix mają nazwę CFScript.txt (w szczególnych przypadkach są skrypty nazwane inaczej i mają specjalnie zadanie do wykonania). Nie widząc co użyłeś, nie umiem nic na ten temat powiedzieć. Aczkolwiek log z ComboFix nie wykazuje, by był użyty tu jakikolwiek skrypt, w nagłówku ma tylko: ComboFix 11-05-08.04 - michał 2011-05-09 14:29:33.1.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.48.1045.18.2939.1870 [GMT 2:00] Uruchomiony z: c:\users\michał\Desktop\ComboFix.exe Nie ma tu linii "Użyto następujących komend", która to pojawia się, jeśli korzystano ze skryptu. Wnioski: albo się nie rozumiemy, albo to co użyłeś i tak się nie wykonało. Firefox nie pokazuje mi MyPlayCity... sam nie wiem czemu... w każdym bądź razie jestem prawie pewien, że akurat MyPlayCity pozbywałem się dosyć dawno temu, więc może to tylko odpad albo coś sknociłem pozbywając się tego paska... To widocznie jest odpadek, w logu pozostał folder tego rozszerzenia: [2009-03-18 23:34:24 | 000,000,000 | ---D | M] (MyPlayCity Toolbar) -- C:\Users\michał\AppData\Roaming\mozilla\Firefox\extensions\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} 1. Przechodząc do usuwania resztek po paskach narzędziowych: przeglądarki mają być zamknięte podczas tego procesu. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - Reg Error: Key error. File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=ConduitEngine&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&q=" [2009-03-18 23:34:24 | 000,000,000 | ---D | M] (MyPlayCity Toolbar) -- C:\Users\michał\AppData\Roaming\mozilla\Firefox\extensions\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} Klik w Wykonaj skrypt. 2. Wykonaj pełny skan za pomocą Malwarebytes' Anti-Malware. 3. Prezentujesz: log z usuwania OTL (nie ma potrzeby tworzyć nowego OTL opcją Skanuj) + raport z MBAM. . Odnośnik do komentarza
Michal22 Opublikowano 10 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2011 To może od początku. Korzystałem sobie spokojnie z komputera, aż tu nagle wiadomość z centrum zabezpieczeń systemu windows... coś o tym, że właśnie masa malware'ów zżera mi lapka. Otwieram, patrzę a tam... Antispyware!? (WTF?). Dodam, że skórka programu identyczna jak w centrum zabezpieczeń, nawet opcje te same... W każdym bądź razie odciął mi dostęp do netu... jedyne co mogłem w necie zrobić to... zarejestrować antispyware'a za pieniążki... sobie myślę, coś jest nie tak... płacić za standardową ochronę komputera? Microsoftowi? Nie!... Później próbowałem wyłączyć zabezpieczenia, ale jedyne co otrzymywałem to przeniesienie na stronę antispyware'a... kiedy próbowałem uruchomić mozillę w trybie niezabezpieczonym, ten zdradziecki lis wyskoczył mi, że powinienem mimo wszystko zarejestrować antispyware'a... to ja mu, że nie dziękuję... na co on mi: nie rejestrujesz, nie korzystasz... (wywalę zdrajcę i zmienię na operę) Próbowałem wyłączyć zabezpieczenia windows, ale dalej nic. Zacząłem szukać antispyware, nic. Otworzyłem wiersz poleceń i próbowałem wyłączyć proces, nic... alt+ctrl+del... menadżer... przejdź do procesu... nic! No dobra... nie ma neta, nie mogę dziadostwa znaleźć... Odnalazłem płytkę opatrzoną wdzięczną nazwą "naprawa komputera", przeszedłem do folderu "uwaga, tylko w ostateczności" i otworzyłem ComboFix'a... Później gdy już odzyskałem łączność z internetem i pozbyłem się drańskiego malware, zacząłem szukać procederu... bardzo podobny znalazłem na stronie searchengines... i tam właśnie było wspomniane o konieczności utworzenia skryptu do CF'a (tak, pomyliłem się, chodziło mi o CFScript, ale widzę, że nie ma konieczności używania skryptu, więc ok)... zacząłem drążyć... odnalazłem stronę bleepingcomputer... i V'oila jestem tu. Nie, nie używałem skryptu, tylko o nim czytałem i chciałem poradzić się kogoś kto wie o co chodzi... już wystarczy, że użyłem CF'a samowolnie, skryptu wolałem nie próbować. To by było tyle jeśli chodzi o sam problem Skrypt wykonałem, skan zrobiłem... i niespodzianka... trzy nowe cósie... nawet nie wiem co to za pliki i co one tu robią... Daję logi mbam-log-2011-05-10 (10-30-48).txt Log z usuwania2.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2011 Zgłoś Udostępnij Opublikowano 10 Maja 2011 (edytowane) To jaki problem infekcji miałeś to było dla mnie zrozumiałe (w końcu widzę w logach co zostało usunięte), mnie chodziło tylko o uściślenie sprawy z tajemniczym skryptem / mętnie opisaną operacją z ComboFix. Teraz mam jasność = nic poza automatem nie zostało użyte i dobrze. Na przyszłość: skrypty tworzy się tylko i wyłącznie, gdy jest taka potrzeba, a potrzebę określa szczegółowa analiza logów i tym samym skrypty stają się także unikatowe dla danego systemu. Skrypty są bezsensowne w sytuacji, gdy resztki infekcji nie wymagają szczególnych / silnych kroków i jest X innych sposobów na załatwienie sprawy. skan zrobiłem... i niespodzianka... trzy nowe cósie... nawet nie wiem co to za pliki i co one tu robią... To nie jest "niespodzianka", dwa z trzech wyników należą do grupy adware, której fragment usuwał ComboFix (MyWebSearch / FunWebProducts). Skanowanie w Malwarebytes otrzymałeś rozmyślnie, gdyż się spodziewałam, że coś może być wyszukane dodatkowo. Wszystkie wyniki są opisane "No action taken" = wybierz w MBAM usuwanie tego, o ile już tego nie przeprowadziłeś. Wykonaj końcowe kroki: 1. Odinstaluj w prawidłowy sposób ComboFix, to także zresetuje zawartość folderów Przywracania systemu. Z klawiatury wywołaj kombinację klawisz z flagą Windows + R i w polu Uruchom wklej komendę: c:\users\michał\Desktop\ComboFix.exe /uninstall 2. W OTL wywołaj funkcję Sprzątanie (co usunie jego składniki z dysku). 3. Wykonaj aktualizacje oprogramowania: Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstationInternet Explorer (Version = 7.0.6002.18005) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java 6 Update 6"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"KLiteCodecPack_is1" = K-Lite Codec Pack 5.8.3 (Full)"Mozilla Firefox (3.5.19)" = Mozilla Firefox (3.5.19)"Nowe Gadu-Gadu" = Nowe Gadu-Gadu - Zaktualizuj przeglądarki, Java i Adobe Reader: INSTRUKCJE. IE obowiązkowo, gdyż to silnik bazowy dla pewnych funkcji systemu i posługiwanie się Firefoxem jako "samochodem" głównym nie nadrabia tej kwestii. IE należy mieć zawsze zaktualizowany / max zabezpieczony. - (Opcjonalnie) możesz zaktualizować kodeki. - (Opcjonalnie) na koniec lektura Darmowe komunikatory i oglądnij alternatywy dla "Nowe Gadu" (pod uwagę opisy: AQQ, Kadu, WTW, Miranda). Podsumuj czy wszystko jest w porządku. . Edytowane 19 Października 2011 przez picasso 10.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi