tosterkowa Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Dzień dobry. Piszę jako totalny laik, ale mam nadzieję, że uda mi się dobrze przedstawić mój problem. Kłopoty z wirusami czy trojanami (?) zaczęły się ok. 2 miesiące temu, gdy zgodziłam się pożyczyć narzeczonemu laptopa by zgrał na niego na jakiś czas kilka folderów z danymi ze swojego komputera. W tym samym dniu Avira AntiVir znalazł wirusa. Od tego czasu nieustannie znajdował ich po kilka (czasem kilkanaście) dziennie. Robiłam to, co domyślnie zalecał (moved to quarantine). Poprosiłam narzeczonego by mi pomógł, coś zrobił, niestety nie wiem co, pomogło tylko na kilka dni. Po tym czasie znówu co rusz pojawiały się nowe wirusy. Pewnego dnia wyświetlił się komunikat, że muszę wyłączyć natychmiast komputer, ponieważ zaczna się instalacja wirusa(?). Zrobiłam tak od razu, po ponownym uruchomieniu wszystko było bez zmian. Po kilku dniach sytuacja się powtórzyła, zanim pozamykałam ważne dokumenty, prawdopodobnie zaczęła się instalacja. Od tego czasu nie działał mi żaden program wymagający połączenia z internetem. Firefox wyświetlał komunikat, że to prawdopodobnie wina proxy. Zmieniłam ustawienia by zaczął łączyć się bez serwera proxy i pomogło. Inne programy i przeglądarki nadal nie działają. Chrome wyśiwetla komunikat: "Nie można nawiązać połączenia z serwerem proxy" Przestały mi także działać filmy na stonie tvn player, nie mogę zaktualizować Adobe Flash Player, ani po jego usunięciu zainstalować nowego. Cieszyłam się, że od jakiegoś czasu Antivir nie znajduje wirusów. Przy pisaniu tego posta okazało się, że popełniłam ogromny błąd. Nie zauważyłam, że Antivir nie aktualizował się i nie skanował od 24.02.12 mimo, że zawsze był włączony (parasolka otwarta ). Scan tu. Aha, nie wiem czy to istotne, ale w tym teście nie wyśwetla mi się obrazek w prawym górnym rogu. Przesyłam potrzebne raporty oraz dołączam raporty z Avira AntiVir (nie wszystkie, tylko 2 ostatnie i ten w którym znalezniono najwięcej wirusów na raz). Jeśli czegoś nie załączyłam to chętnię doślę. Mam nadzieję, że napisałam i załączyłam co trzeba Liczę na pomoc, ponieważ obawiam się, że od jestem totalnie zwyciężona przez wirusy Z góry: edit: Przypomniało mi się, że miałam jeszcze jeden problem. W ostatnim czasie (ale od jakiś 2 tyg. już nie), gdy chciałam wejść na stronę z wyszukiwarki googe (rózne strony, często bardzo znane np fb) wyświetlał się komunikat, że strona jest zgłoszona jako dokonująca ataków. Po cofnięciu i ponownym kliknięciu już było ok. wynikzgmer.txt OTL.Txt Extras.Txt AVSCAN-20120215-160028-3CB7D113LOG.txt AVSCAN-20120224-181024-0716EFFCLOG.txt AVSCAN-20120229-201120-B9EDFA08LOG.txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Log z GMER zrobiłaś w złych warunkach, przy czynnym sterowniku emulacji napędów SPTD, świadczy o tym wygląd raportu GMER oraz ten wpis w OTL: DRV - [2012-03-07 01:58:22 | 000,473,656 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Widzę, iż SPTDinst został pobrany, to czy on nie wykrył SPTD? I co ciekawe, plik SPTD powstał zaraz po pliku narzędzia, tak jakby wykonano odwrotność, czyli instalację sterownika a nie jego kasację: [2012-03-07 01:58:22 | 000,473,656 | ---- | M] (Duplex Secure Ltd.) -- C:\WINDOWS\System32\drivers\sptd.sys[2012-03-07 01:58:04 | 000,672,824 | ---- | M] (Duplex Secure Ltd.) -- C:\Documents and Settings\Monika\Pulpit\SPTDinst-v180-x86.exe Ale już to zostaw, GMER nie sugeruje, by się coś kryło na tym poziomie. Natomiast ślady infekcji owszem są i zabieramy się za to: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 64586 IE - HKU\S-1-5-21-3611128860-2469081712-3929786123-1006\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - No CLSID value found IE - HKU\S-1-5-21-3611128860-2469081712-3929786123-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-3611128860-2469081712-3929786123-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:64586 O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3611128860-2469081712-3929786123-1006..\Run: [{7491EB62-4ED0-AD7F-7D89-4BDC778A68CE}] "C:\Documents and Settings\Monika\Dane aplikacji\Piuzg\wywyo.exe" File not found O7 - HKU\S-1-5-21-3611128860-2469081712-3929786123-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Clients = C:\Documents and Settings\Monika\Dane aplikacji\A4175C.exe [2012-01-23 11:47:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Monika\Dane aplikacji\E8CD5 [2012-02-03 12:32:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Monika\Dane aplikacji\Piuzg [2012-02-03 12:32:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Monika\Dane aplikacji\Uhlez DRV - File not found [Kernel | On_Demand | Stopped] -- -- (VBoxNetFlt) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (uxtdypod) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a61if6aj) :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Przejdź do Dodaj / Usuń programy i odinstaluj sponsoringowy YouTube Downloader Toolbar. 3. Wykonaj nowe logi z OTL z opcji Skanuj (już bez Extras) oraz AdwCleaner z opcji Search. Dołącz też log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
tosterkowa Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 Dziękuję za odpowiedź Starałam się by warunki stworzenia log Gmer były dobre. Znalazłam u siebie i odinstalowałam program AstroBurn. Dalej postępowałam zgodnie z opisanymi krokami, ale tylko do punktu, gdzie zaczynał się poziom dla zaawansowanych. System się zrestartował i wydwawało mi się, że jest ok. Może coś nieumiejętnie zrobiłam. Załączam potrzebne pliki. PS. Tak z ciekawości, co znaczy, że YouTube Downloader jest sponsoringowy? Edit: Mam jeszcze pytanie: powinnam skopiować gdzieś album ze zdjęciami (47,5GB) i dokumenty czy moje pliki podczas tych czynności nie są zagrożone usunięciem? Wiem, że kopie warto mieć, ale nie mam obecnie dostępu do mojego dysku zewn. log z wynikami usuwania.txt OTL.Txt AdwCleanerR1.txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 PS. Tak z ciekawości, co znaczy, że YouTube Downloader jest sponsoringowy? Należy tu odróżnić program główny (YouTube Downloader) oraz dołączone do niego adware (YouTube Downloader Toolbar: KLIK), mające na celu ingerencje w przeglądarki i system wyszukiwania. Ten śmieć zamontował się w przeglądarkach i wprowadził stale działający w tle proces. Tu komponenty widzialne uprzednio w OTL znakowane jako Spigot: ========== Processes (SafeList) ========== PRC - [2011-08-17 13:15:28 | 000,534,880 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe ========== Standard Registry (SafeList) ========== FF - prefs.js..extensions.enabledItems: youtubedownloader@mybrowserbar.com:4.3FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 IE - HKU\S-1-5-21-3611128860-2469081712-3929786123-1006\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\4.6\youtubedownloaderToolbarIE.dll (Spigot, Inc.)O2 - BHO: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\4.6\youtubedownloaderToolbarIE.dll (Spigot, Inc.)O3 - HKLM\..\Toolbar: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\4.6\youtubedownloaderToolbarIE.dll (Spigot, Inc.)O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) Prawie załatwiła to deinstalacja paska, ale pozostały wpisy w rozsserzeniach Firefox i szczątki notowalne przez AdwCleaner. 1. Uruchom AdwCleaner z opcji Delete. Po tym możesz zastosować w nim Uninstall. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledItems: youtubedownloader@mybrowserbar.com:4.3 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 Klik w Wykonaj skrypt. Po tym wykorzystaj Sprzątanie likwidujące z dysku OTL wraz z kwarantanną. 3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte. . Odnośnik do komentarza
tosterkowa Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 Po wykonaniu skryptu w OTL skasowały mi się wszystkie dane ze SpeedDial. Maiłam ponad 100 kart w 6 grupach kart. Niektóre karty bardzo ważne i nie do odnalezienia. Da się na chwilę cofnąć bym mogła spisać adresy z kart? Pewne nie, ale nadzieja umiera ostatnia Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Skrypt OTL w ogóle nie miał związku z tym obszarem (usuwanie dwóch rozszerzeń toolbarów), AdwCleaner nic nie wykrywał w Firefox (czyli i nic w nim nie przetwarzał). Tego nie potrafię wyjaśnić jakim cudem zniknęły wpisy Speed Dial. Natomiast co do odtwarzania wpisów, Speed Dial robi przecież kopie zapasowe, w opcjach rozszerzenia jest stosowna funkcja: . Odnośnik do komentarza
tosterkowa Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 Po wykonaniu skryptu, otworzył się plik txt, Firefox i drugie okno z preferencjami ustawień Speed Dial. Oprócz resetu wszystkich ustawień Speed Dial, zniknęła także motyw/skórka ustawiona w wyglądzie Firefoxa (nie można jej przywrócić - jest tylko jej nazwa i napis "Strata"). Może to się stało przez wcześnijsze dzianie w AdwCleaner? W razie czego załączam raport. Dziękuję za informację o kopiach zapasowych (nie wiedziłam) oraz za wcześniejsze wyjaśnienia odnośnie YouTube Downloader Toolbar. Czuje się trochę jak głupia tak o wszytsko pytając (przepraszam za to), ale jak przywrócić tę kopię zapasową kart? Doszłam do niej wg screena, ale jak klikam na ostatnią datę kopii to nic się nie dzieje. Po ponownym uruchomieniu też. Nie umiem jej przywrócić, próbowałam wygooglować, ale nie znalazłam. Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Po wykonaniu skryptu, otworzył się plik txt, Firefox i drugie okno z preferencjami ustawień Speed Dial. Oprócz resetu wszystkich ustawień Speed Dial, zniknęła także motyw/skórka ustawiona w wyglądzie Firefoxa (nie można jej przywrócić - jest tylko jej nazwa i napis "Strata"). Może to się stało przez wcześnijsze dzianie w AdwCleaner? W razie czego załączam raport. Jak mówiłam, w ogóle mi się nie zgadza z przeprowadzonymi działaniami, zaś AdwCleaner nic nie wykrył w Firefox, czyli nie przetwarzał jego ustawień wcale. Objawy zaś sugerują, że cały Firefox został wyzerowany. Dopuszczam tu jeszcze, że może proces Firefox był otwarty podczas przetwarzania OTL i na skutek nieszczęśliwego wypadku "uszkodziło" ustawienia Firefox. No chyba, że samo ruszenie jakichkolwiek preferencji Firefox na poziomie pliku prefs.js ma skutki uboczne dla Speed Dial. Nic innego nie przychodzi mi do głowy. ale jak przywrócić tę kopię zapasową kart? Doszłam do niej wg screena, ale jak klikam na ostatnią datę kopii to nic się nie dzieje. Po ponownym uruchomieniu też. Nie umiem jej przywrócić, próbowałam wygooglować, ale nie znalazłam. 1. Ile ważą pliki w katalogu kopii zapasowych: C:\Documents and Settings\Monika\Dane aplikacji\Mozilla\Firefox\Profiles\3boydkhb.default\SDBackups 2. Co jest ustawione w konfiguracji Speed Dial na temat automatycznego ładowania? Co jest ustawione w konfiguracji Firefox jako strona startowa? Sprawdź co się stanie po wybraniu kopii zapasowej, jeżeli ustawisz ładowanie Speed Dial w nowej karcie a jako stronę startową Firefox stronę pustą + restart Firefox. . Odnośnik do komentarza
tosterkowa Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 Zawsze wyłączałam przeglądarkę podczas używania OTL, Gmer i AdwCleaner, ale chyba rzeczywiście podczas ostatniego użycia OTL była otwarta. Cały Firefox nie został wyzerowany, została historia, ostatnio otwarte karty, zakładki. Ad.1. Automatyczne otwieranie Speed Dial jest ustawione na "otwieraj w nowych oknach" i "otwieraj w nowych kartach". W konfiguracji Firefox jako strona startowa była ustawiona strona startowa: chrome://speeddial/content/speeddial.xul Teraz zmieniłam i jest pusta strona. Nic się nie zminiło po zmianach i restarcie Firefox. Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Coś mi się tu nie zgadza, OTL nawet nie pokazywał takiej strony startowej ustawionej. Jakie rozszerzenia są widoczne w menedżerze dodatków Firefox? Na wszelki wypadek sprawdź co się stanie, gdy wyłączysz wszystkie poza SpeedDial + restart Firefox. Odnośnik do komentarza
tosterkowa Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 Wyłączenie wszystkich rozszerzeń i restart nie pomogło. Ale udało mi się przywrócić karty. Sama nie wiem jak, ale klikałam, kombinowałam i w końcu załadowała się ostatnia kopia zapasowa Wykonałam pełne skanowanie za pomocą Malwarebytes Anti-Malware. Nie wykazał ani jednego zagrożenia. Już wszystko działa, udało się zainstalować Adobe Flash Player, aktualizować Avira AntiVir (jego skanowanie także nie wykazało wirusów). Ze wszystkich programów tylko Ipla nie zaczęła działać, ale to już sobie chyba poradzę. Firefox zaczął chodzić bardzo sprawnie i szybko. Bardzo bardzo dziękuję za wszystkie rady i pomoc! PS. Ostatnie już pytanko. Mam teraz i działający Malwarebytes Anti-Malware i Aviva AntiVir. Czy one się zakłócają wzajemnie? Powinnam odinstalować ten pierwszy? Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Na koniec wyczyść foldery Przywracania systemu (KLIK) i sprawdź co jeszcze wymaga aktualizacji, m.in. starą Java widziałam na Twojej liście (KLIK). Ze wszystkich programów tylko Ipla nie zaczęła działać, ale to już sobie chyba poradzę. Co się dzieje? Jakie błędy? Na Twojej liście zainstalowanych widzę wersję ipla 2.2.1. Aktualna wersja to 2.3.5. Spróbuj wykonać aktualizację... Mam teraz i działający Malwarebytes Anti-Malware i Aviva AntiVir. Czy one się zakłócają wzajemnie? Powinnam odinstalować ten pierwszy? Brak zakłóceń, MBAM w wersji darmowej nie ma rezydenta. Możesz go zostawić jako skaner na żądanie, uruchamiany okresowo ręcznie. Za to odinstaluj McAfee Security Scan Plus, ten pojawił się prawdopodobnie nie z intencji tylko przeszmuglowany jako sponsor paczek Adobe. . Odnośnik do komentarza
tosterkowa Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 Wyczyściłam foldery przywracania systemu, odinstalowałam McAfee Security (rzeczywiście nie instalowałam go sama i świadomie), aktualizowałam Java. Aktualizuję także inne wymagające tego programy. Ipla tak wygląda. Nie da się aktualizować. Może odinstaluje i pobiorę nową? MBAM będę używała do okresowego skanowania. Ten program mam teraz w pełnej, bo program zaproponował 14 dniową wersję testową. Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Ipla tak wygląda. Nie da się aktualizować. Może odinstaluje i pobiorę nową? To właśnie sugeruję: odinstaluj, zainstaluj najnowszą wersję, zgłoś się z wynikami. . Odnośnik do komentarza
tosterkowa Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 Odinstalowałam, mam nową, działa Odnośnik do komentarza
Rekomendowane odpowiedzi