Zamulony laptop

[kosa351]

Witam,

dostałem w swoje ręce zamulonego laptopa, co potrafiłem to usunąłem. Pozostały pewnie jakieś śmieci. W załączniku log tylko z OTL. Przy skanowaniu GMERem zawsze wyskakuje BSOD.

OTL.Txt

Extras.Txt

[picasso]

A są tu jakieś podstawy do umieszczenia tematu w dziale Malware? Nie widzę. Przenoszę.

 

 

1. Skoro działa Avira, wyłącz rezydenta Windows Defender. W programie Autoruns w karcie Logon odptaszkuj pierwszy wpis, a w karcie Services drugi:

 

O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
SRV - [2008-01-19 09:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

Dodatkowo, w karcie Scheduled Tasks wyrzuć wszystkie zadania "boosterów" oraz Google.

 

2. Do deinstalacji archaizm Spybot Search & Destroy. Spybot to historia w zabezpieczeniach i patrz na datowanie właściwe komponentu niżej zakreślone. Nie wspominając o tym, że tu zaistniał nadmiar kulawych rezydentów pracujących równolegle, ten system już ma "Spybota" = Windows Defender. Oba zaś wyparte przez nowoczesne antywirusy.

 

SRV - [2009-01-26 16:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Running] -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)

3. Jest tu ogromny plik HOST wprowadzony przez Spybota:

 

O1 HOSTS File: ([2010-03-15 14:28:14 | 000,380,663 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 13115 more lines...

Taki olbrzym nie lubi się z usługą Klient DNS i skutkiem ubocznym może być mielenie na procesie svchost.exe. Zresetuj plik HOSTS do poziomu domyślnego narzędziem Fix-it z artykułu: KB972034

 

4. Drobny skrypt poprawkowy usuwający śmieci z przeglądarek i resztki Symantec. W OTL w sekcji Własne opcje skanowania / skrypt wklej co niżej i klik w Wykonaj skrypt.

 

:OTL
SRV - File not found [Auto | Stopped] --  -- (CLTNetCnService)
DRV - [2007-06-20 10:00:00 | 000,389,432 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4"
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.selectedEngine: "Facemoods Search"
FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1
FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=PM2FFAB&search="
[2011-05-19 07:07:55 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Users\Elżbietka\AppData\Roaming\mozilla\Firefox\Profiles\gyd4tt9d.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2010-12-07 20:23:05 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Elżbietka\AppData\Roaming\mozilla\Firefox\Profiles\gyd4tt9d.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}(1028)
[2011-02-03 14:19:44 | 000,002,131 | ---- | M] () -- C:\Users\Elżbietka\AppData\Roaming\Mozilla\Firefox\Profiles\gyd4tt9d.default\searchplugins\MyStart Search.xml
[2010-12-07 20:23:20 | 000,001,196 | ---- | M] () -- C:\Users\Elżbietka\AppData\Roaming\Mozilla\Firefox\Profiles\gyd4tt9d.default\searchplugins\winamp-search.xml
[2011-04-25 17:27:26 | 000,002,049 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrch.xml
[2011-05-09 19:39:10 | 000,000,000 | ---D | M] -- C:\Users\Elżbietka\AppData\Roaming\facemoods.com
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} -  File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

 

Po wszystkim wyprodukuj nowy log z OTL mający unaoczniać zmiany. Podsumuj co się dzieje.

 

 

 

 

.

[kosa351]

Nowe logi z OTL po wykonaniu w/w czynności/

Sam laptop odżył. Przed czyszczeniem zaleconym przez Ciebie, usunąłem jeszcze sporo zbędnego syfiastego oprogramowania + malware. Porównując stan początkowy do teraz to chodzi jak burza.

OTL.Txt

[picasso]

1. Plik HOSTS nie został zrekonstruowany:

 

Hosts file not found

Włącz pokazywanie rozszerzeń w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz "Ukrywaj rozszerzenia dla znanych typów plików". Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost
::1             localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

2. Tradycyjne zamknięcie porządków: usunięcie przez SHIFT+DEL katalogu C:\_OTL oraz zresetowanie folderów Przywracania systemu (KLIK).

 

 

 

.

[kosa351]

Polecenia wykonane. Dziękuje za pomoc.