Conan Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Witam mam problem z tym wirusem. Używany był na tym komputerze kiedyś Combofix, ale już dawno około pół roku temu. Log się nie zachował więc nie odpalałem drugi raz żeby go uzyskać. Został użyty w celu wyczyszczenia z wirusów bo zwykły avast sobie wtedy nie poradził a po Combofixie wszystko wróciło do normy. Windows XP Professional 32bit Service Pack 2 Zamieszczam logi Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 System jest zaśmiecony także sporą dawką adware ... Windows XP Professional 32bit Service Pack 2 Do tego jeszcze przejdziemy, bo kryzys totalny. Używany był na tym komputerze kiedyś Combofix, ale już dawno około pół roku temu. Log się nie zachował więc nie odpalałem drugi raz żeby go uzyskać. Został użyty w celu wyczyszczenia z wirusów bo zwykły avast sobie wtedy nie poradził a po Combofixie wszystko wróciło do normy. Tu przypuszczalnie był wtedy rootkit ZeroAccess, gdyż jest ten plik z wadliwą nazwą (w system32 widzialny jako "bez nazwy"): File not found -- C:\WINDOWS\System32\ 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/idg/idg_1323162612_253510" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={A69E0FF8-9148-11E1-A8D6-002522062A10}" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/idg/idg_1323162612_253510" IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://dts.search-results.com/sidebar IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.funmoods.com/?a=make&s={searchTerms}&f=4" IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19950&mntrId=c0c3bc2a000000000000002522062a102a10" IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?aff=106&q={searchTerms}" IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/burn4free/{858CB2D3-03F5-4407-9A85-3E2E9D6D0F91}?q={searchTerms}" IE - HKU\S-1-5-21-725345543-813497703-2147187605-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={A69E0FF8-9148-11E1-A8D6-002522062A10}" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=413&sr=0&q=" FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1 O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.31.2\bh\BabylonToolbar.dll (Babylon BHO) O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.31.2\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Files C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 C:\Documents and Settings\Admin\Dane aplikacji\hellomoto C:\Program Files\Common Files\ApnToolbarInstaller.exe C:\Program Files\Common Files\ApnStub.exe C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\lbpcaw7d.default\searchplugins\funmoods.xml C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\lbpcaw7d.default\searchplugins\Search_Results.xml C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\lbpcaw7d.default\searchplugins\sweetim.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Program Files\BabylonToolbar C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit del "\\?\C:\Windows\System32\ " /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{0329E7D6-6F54-462D-93F6-F5C3118BADF2}"=- "searchpredict@speedbit.com"=- "support@vdownloader.com"=- [-HKEY_CURRENT_USER\Software\MozillaPlugins\vitzo.com/VDownloader] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware Burn4Free DB Toolbar, Funmoods on IE and Chrome, Przyspiesz Komputer v2.1, Searchqu Toolbar, SweetIM for Messenger 3.6 / SweetPacks Toolbar for Internet Explorer 4.5. Następnie, otwórz Firefox i w menedżerze dodatków odinstaluj Burn4Free DB Toolbar. 3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
Conan Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Zrobione z tym, że nie było w dodatkach firefoxa Burn4Free DB Toolbar. A i data ustawiona była na 4 lipca żeby to nie wystraszyło. Teraz dopiero zauważyłem. Oto logi: AdwCleanerS1.txt OTL.Txt 07042012_173945.txt Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 1. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=413&sr=0&q=" IE - HKU\S-1-5-21-725345543-813497703-2147187605-1004\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Znajoma sekwencja. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Conan Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Zrobione. Znalazło 5. mbam-log-2012-07-12 (15-02-37).txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 W instalator GIMP jako "Trojan.StartPage" wątpię, ale reszta wyników skorelowana z adware i do usunięcia. I możemy przejść do: 1. W systemie notuję szczątki Avast, nie wygląda by program był zainstalowany. Z poziomu Trybu awaryjnego Windows zastosuj Avast Uninstall Utility. Po tym ponów czyszczenie folderów Przywracania systemu. 2. Istotne aktualizacje. Rozpisane w temacie: KLIK. A tu co mamy w systemie: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]8"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish"{AC76BA86-7AD7-5760-0000-900000000003}" = Japanese Fonts Support For Adobe Reader 9"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3 W pierwszej kolejności, krytyczny poziom aktualizacji Windows. "Zabezpieczenie" z roku 2004 i odcięcie od biężących łat (MS nie dopuszcza do aktualizacji systemów poniżej programu XP SP3). Należy czym prędzej nadrobić SP3+IE8 oraz wszystkie łaty wydane po. Dużo do instalacji. 3. Dobór antywirusa. Z darmowych np.: Avast, AVG, COMODO Internet Security, Panda Cloud Antivirus, Microsoft Security Essentials. PS. I polecam coś zdziałać z Gadu-Gadu 10. Jest to "komunikator" tak dręczący zasoby i psychikę, że używanie tego zdaje mi się sadomasochizmem. Są programy znacznie lżejsze i bez reklam, z dobrą obsługą Gadu. Do wglądu artykuł Darmowe komunikatory i opisy WTW, Miranda, Kadu i AQQ (no ten ma reklamy, ale nie aż takie jak GG10!). . Odnośnik do komentarza
Conan Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Dziękuje za pomoc, posiadasz naprawdę niesamowitą wiedzę, jestem pod gigantycznym wrażeniem Odnośnik do komentarza
Rekomendowane odpowiedzi