Skocz do zawartości

Komputer został zablokowany z powodu naruszenia prawa Polskiego


Rekomendowane odpowiedzi

Witam mam problem z tym wirusem.

Używany był na tym komputerze kiedyś Combofix, ale już dawno około pół roku temu. Log się nie zachował więc nie odpalałem drugi raz żeby go uzyskać. Został użyty w celu wyczyszczenia z wirusów bo zwykły avast sobie wtedy nie poradził a po Combofixie wszystko wróciło do normy.

 

Windows XP Professional 32bit Service Pack 2

Zamieszczam logi

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zaśmiecony także sporą dawką adware ...

 

 

Windows XP Professional 32bit Service Pack 2

 

Do tego jeszcze przejdziemy, bo kryzys totalny.

 

 

Używany był na tym komputerze kiedyś Combofix, ale już dawno około pół roku temu. Log się nie zachował więc nie odpalałem drugi raz żeby go uzyskać. Został użyty w celu wyczyszczenia z wirusów bo zwykły avast sobie wtedy nie poradził a po Combofixie wszystko wróciło do normy.

 

Tu przypuszczalnie był wtedy rootkit ZeroAccess, gdyż jest ten plik z wadliwą nazwą (w system32 widzialny jako "bez nazwy"):

 

File not found -- C:\WINDOWS\System32\

 

 


1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe ()
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/idg/idg_1323162612_253510"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={A69E0FF8-9148-11E1-A8D6-002522062A10}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/idg/idg_1323162612_253510"
IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://dts.search-results.com/sidebar
IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.funmoods.com/?a=make&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19950&mntrId=c0c3bc2a000000000000002522062a102a10"
IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?aff=106&q={searchTerms}"
IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/burn4free/{858CB2D3-03F5-4407-9A85-3E2E9D6D0F91}?q={searchTerms}"
IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={A69E0FF8-9148-11E1-A8D6-002522062A10}"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=413&sr=0&q="
FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.31.2\bh\BabylonToolbar.dll (Babylon BHO)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.31.2\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
 
:Files
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565
C:\Documents and Settings\Admin\Dane aplikacji\hellomoto
C:\Program Files\Common Files\ApnToolbarInstaller.exe
C:\Program Files\Common Files\ApnStub.exe
C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\lbpcaw7d.default\searchplugins\funmoods.xml
C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\lbpcaw7d.default\searchplugins\Search_Results.xml
C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\lbpcaw7d.default\searchplugins\sweetim.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Program Files\BabylonToolbar
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit
del "\\?\C:\Windows\System32\ " /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{0329E7D6-6F54-462D-93F6-F5C3118BADF2}"=-
"searchpredict@speedbit.com"=-
"support@vdownloader.com"=-
[-HKEY_CURRENT_USER\Software\MozillaPlugins\vitzo.com/VDownloader]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Burn4Free DB Toolbar, Funmoods on IE and Chrome, Przyspiesz Komputer v2.1, Searchqu Toolbar, SweetIM for Messenger 3.6 / SweetPacks Toolbar for Internet Explorer 4.5. Następnie, otwórz Firefox i w menedżerze dodatków odinstaluj Burn4Free DB Toolbar.

 

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

Odnośnik do komentarza

1. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=413&sr=0&q="
IE - HKU\S-1-5-21-725345543-813497703-2147187605-1004\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Znajoma sekwencja.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

Odnośnik do komentarza

W instalator GIMP jako "Trojan.StartPage" wątpię, ale reszta wyników skorelowana z adware i do usunięcia. I możemy przejść do:

 

1. W systemie notuję szczątki Avast, nie wygląda by program był zainstalowany. Z poziomu Trybu awaryjnego Windows zastosuj Avast Uninstall Utility. Po tym ponów czyszczenie folderów Przywracania systemu.

 

2. Istotne aktualizacje. Rozpisane w temacie: KLIK. A tu co mamy w systemie:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]8

"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 27

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish

"{AC76BA86-7AD7-5760-0000-900000000003}" = Japanese Fonts Support For Adobe Reader 9

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3

 

W pierwszej kolejności, krytyczny poziom aktualizacji Windows. "Zabezpieczenie" z roku 2004 i odcięcie od biężących łat (MS nie dopuszcza do aktualizacji systemów poniżej programu XP SP3). Należy czym prędzej nadrobić SP3+IE8 oraz wszystkie łaty wydane po. Dużo do instalacji.

 

3. Dobór antywirusa. Z darmowych np.: Avast, AVG, COMODO Internet Security, Panda Cloud Antivirus, Microsoft Security Essentials.

 

 

 

PS. I polecam coś zdziałać z Gadu-Gadu 10. Jest to "komunikator" tak dręczący zasoby i psychikę, że używanie tego zdaje mi się sadomasochizmem. Są programy znacznie lżejsze i bez reklam, z dobrą obsługą Gadu. Do wglądu artykuł Darmowe komunikatory i opisy WTW, Miranda, Kadu i AQQ (no ten ma reklamy, ale nie aż takie jak GG10!).

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...