[Czyszczenie resztek] Zablokowany antywirus i skanery online

tabcin · 17 Marzec 2012 15:40

Dzień dobry,

Kolejna infekcja wirusowa. Objawami były błędy podczas wyłączania komputera (procesy, np. daemon tools, skype nie mogły się prawidłowo wyłączyć). Dodatkowo antywirus został rozbrojony - próba jego uruchomienia natychmiast zamykała okno główne. Przeglądarka w momencie wchodzenia na strony związane z bezpieczeństwem (skanery online, dobreprogramy) zamykała się. Podobnie sprawa wyglądała z innymi programami (np. OTL.exe) - automatyczne zamykanie . Potraktowałem go skanerem “Kaspersky Rescue Disk 10”. Znalazł i zlikwidował kilka plików.Log z usuwania. Z Kasperskiego zbootowałem od razu do awaryjnego z obsługą sieci, i pozbyłem się punktów przywracania. W awaryjnym wykonałem skan OTL. OTL.Txt oraz Extras.Txt.

Czy zostały jakieś resztki do usunięcia ?

Acorus · 17 Marzec 2012 16:07

Odinstaluj uTorrentBar Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKU\S-1-5-21-1801674531-1364589140-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= … =CT2786678 IE - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\SearchScopes{E1887F78-2544-4592-9814-3E4358353E84}: “URL” = http://search.yahoo.com/search?fr=chr-g … =867034&p={searchTerms} FF - prefs.js…browser.search.defaultenginename: “Yahoo” FF - prefs.js…browser.search.defaultthis.engineName: “uTorrentBar Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.param.yahoo-fr: “chr-greentree_ff&type=867034” FF - prefs.js…extensions.enabledItems: dealio@mybrowserbar.com:4.3 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.9.1.14019 FF - prefs.js…extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=” [2012-03-09 07:54:34 | 000,000,000 | —D | M] (uTorrentBar Community Toolbar) – C:\Documents and Settings\Staszek\Dane aplikacji\Mozilla\Firefox\Profiles\p2pp71bz.default\extensions{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-02-01 12:37:48 | 000,000,000 | —D | M] (“Foxit PDF Creator Toolbar”) – C:\Documents and Settings\Staszek\Dane aplikacji\Mozilla\Firefox\Profiles\p2pp71bz.default\extensions\toolbar@ask.com [2011-12-13 16:03:14 | 000,000,925 | ---- | M] () – C:\Documents and Settings\Staszek\Dane aplikacji\Mozilla\Firefox\Profiles\p2pp71bz.default\searchplugins\conduit.xml [2011-02-22 07:09:37 | 000,000,000 | —D | M] (No name found) – C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O3 - HKLM…\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\Toolbar\WebBrowser: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask) O4 - HKLM…\Run: [Malwarebytes Anti-Malware (reboot)] “C:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe” /runcleanupscript File not found O4 - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\Run: [ares] “C:\Documents and Settings\Staszek\Pulpit\Ares\Ares.exe” -h File not found O4 - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\Run: [Java] %APPDATA%\Microsoft\jusched.exe File not found [2012-03-17 13:01:00 | 000,000,238 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job @Alternate Data Stream - 24 bytes -> C:\WINDOWS:FB8B66C29672B9D3 @Alternate Data Stream - 163 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:8C35AEA7 :Commands [emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Leon1 · 17 Marzec 2012 16:10

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL IE - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}” FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.9.1.14019 FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=” FF - user.js - File not found FF - HKLM\Software\MozillaPlugins@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll File not found FF - HKLM\Software\MozillaPlugins@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins@videolan.org/vlc,version=1.1.2: D:\moje programy\VLC\npvlc.dll File not found [2012-02-01 12:37:48 | 000,000,000 | —D | M] (“Foxit PDF Creator Toolbar”) – C:\Documents and Settings\Staszek\Dane aplikacji\Mozilla\Firefox\Profiles\p2pp71bz.default\extensions\toolbar@ask.com [2011-12-13 16:03:14 | 000,000,925 | ---- | M] () – C:\Documents and Settings\Staszek\Dane aplikacji\Mozilla\Firefox\Profiles\p2pp71bz.default\searchplugins\conduit.xml O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O3 - HKLM…\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\Toolbar\WebBrowser: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask) O4 - HKLM…\Run: [Malwarebytes Anti-Malware (reboot)] “C:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe” /runcleanupscript File not found O4 - HKU\S-1-5-21-1801674531-1364589140-839522115-1004…\Run: [Java] %APPDATA%\Microsoft\jusched.exe File not found [2012-03-17 13:01:00 | 000,000,238 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

tabcin · 17 Marzec 2012 17:12

Wykonałem skrypt Acorus’sa. Pojawił się problem z explorer.exe. Po restarcie, ważył podejrzanie mało (ok 8 mega) i widoczna była jedynie tapeta. Restart procesu nic nie dawał. Dopiero po kilku minutach wrócił do normy i pojawił się normalny pulpit. Log po usuwaniu nie pojawił się, ale chyba chodziło o ten plik.Logi z nowego skanu.

Acorus · 17 Marzec 2012 17:20

W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Przeskanuj progr.Malwarebytes Anti-Malware

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

tabcin · 17 Marzec 2012 18:46

Log z malwarebytes. Chyba czysto. Dziękuję za pomoc.