Drakole
5 Sierpień 2012 16:47
#1
Witam.
Wczoraj i mnie dopadł ten wirus. Nie miałem pomysłu, co z nim zrobić, ale po wejściu w trybie awaryjnym przeskanowałem komputer poprzez program Hijackthis i usunąłem rzeczy które wykrył. Ku mojemu zdziwieniu po ponownym uruchomieniu komputera wirusa teoretycznie nie było, ale wydaje mi się, że wszystko chodzi ospale. I właśnie tutaj moja prośba, chciałbym się upewnić, że wszystko jest w porządku i że problem został usunięty w 100%. Poniżej zamieszczam logi i proszę o pomoc, gdyż po prostu nie znam się w tych sprawach
OTL.Txt:
http://wklej.org/id/804688/
Extras.Txt:
http://wklej.org/id/804690/
Jeszcze raz proszę o pomoc i czekam na odpowiedź, z góry dziękuję.
@EDIT : Poprawne logi.
Atis
5 Sierpień 2012 17:52
#2
Odinstaluj Incredibar Toolbar i ASK Toolbar
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – E:\DOCUME~1\XXX\USTAWI~1\Temp\catchme.sys – (catchme) IE - HKLM…\SearchScopes{19b74021-b0da-4266-9fb3-f26471b46669}: “URL” = http://search.freecause.com/search?ourm … e=63009&p={searchTerms} IE - HKCU…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076 FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.defaulturl: “http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…extensions.enabledItems: ffxtlbr@funmoods.com:1.5.0 FF - prefs.js…extensions.enabledItems: quickstores@quickstores.de:1.1.0 FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=2&q= ” [2012-06-14 19:31:05 | 000,000,000 | —D | M] (DownloadnSave) – E:\Documents and Settings\XXX\Dane aplikacji\Mozilla\Firefox\Profiles\iihopwo1.default\extensions\4fda11afaa93d@4fda11afaa976.info [2012-01-23 16:38:03 | 000,000,000 | —D | M] (Funmoods.com ) – E:\Documents and Settings\XXX\Dane aplikacji\Mozilla\Firefox\Profiles\iihopwo1.default\extensions\ffxtlbr@funmoods.com [2012-06-14 18:43:31 | 000,000,000 | —D | M] (incredibar.com ) – E:\Documents and Settings\XXX\Dane aplikacji\Mozilla\Firefox\Profiles\iihopwo1.default\extensions\ffxtlbr@incredibar.com [2012-01-23 16:37:58 | 000,000,000 | —D | M] (QuickStores-Toolbar) – E:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2012-04-14 18:14:15 | 000,002,353 | ---- | M] () – E:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-09-02 10:09:28 | 000,002,486 | ---- | M] () – E:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml O3 - HKCU…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - No CLSID value found. :Files E:\Documents and Settings\All Users\Dane aplikacji\036DFF980001198846BC06924A174311 :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
Drakole
5 Sierpień 2012 18:59
#3
Podczas, gdy mi odpisałeś w tym samym momencie musiałem dodać nowe logi w pierwszym poście bo nie zrobiłem zgodnie z instrukcją OLT, mam nadzieję, że niczego to nie zmienia. Wracając do tematu to wrzucam o co prosiłeś.
Raport z usuwania:
http://wklej.org/id/804756/
Log po skanowaniu:
http://wklej.org/id/804765/
Dziękuję za dotychczasową pomoc i proszę o dalsze wskazówki.
Atis
5 Sierpień 2012 19:20
#4
Wszystkie programy -> Akcesoria -> Wiersz polecenia
Wklej i zatwierdź enterem:
Do okna Własne opcje skanowania / skrypt wklej:
:OTL FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=2&q= ” [2011-05-01 15:57:49 | 000,000,000 | —D | M] (Babylon) – E:\Documents and Settings\XXX\Dane aplikacji\Mozilla\Firefox\Profiles\iihopwo1.default\extensions\ffxtlbr@babylon.com :Files E:\Documents and Settings\XXX\Ustawienia lokalne\Dane aplikacji{72e0a64f-cc56-8ebd-56c3-edf1281e5a4a} E:\WINDOWS\Installer{72e0a64f-cc56-8ebd-56c3-edf1281e5a4a} :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
Drakole
5 Sierpień 2012 19:40
#5
Atis
5 Sierpień 2012 19:53
#6
Wklej i kliknij Wykonaj skrypt:
Pobierz AdwCleaner
Zamknij przeglądarkę internetową.
Uruchom AdwCleaner i kliknij Delete
Napraw usługi uszkodzone przez trojana ZeroAccess (Sirefef).
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191972/xp.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Odinstaluj:
Java 6 Update 31
Adobe Reader 9.4.6
Później zainstaluj:
Internet Explorer 8
Adobe Reader
Java
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Drakole
6 Sierpień 2012 08:07
#7
Po skrypcie OTL:
http://wklej.org/id/804951/
Raport AdwCleaner:
http://wklej.org/id/804952/
Results of screen317’s Security Check version 0.99.43
Windows XP Service Pack 2 x86
Out of date service pack!!
Internet Explorer 7 Out of date!
Antivirus/Firewall Check:
Panda Cloud Antivirus
Antivirus up to date!
Anti-malware/Other Utilities Check:
Out of date HijackThis installed!
HijackThis 2.0.2
CCleaner
Java 7 Update 5
Adobe Reader X (10.1.0)
Mozilla Firefox (14.0.1)
Process Check: objlist.exe by Laurent
Panda Security Panda Cloud Antivirus PSUAMain.exe
Panda Security Panda Cloud Antivirus PSANHost.exe
Panda Security Panda Cloud Antivirus PSUAService.exe
System Health check
Total Fragmentation on Drive E::
````````````````````End of Log``````````````````````
Po dłuższych bojach udało mi się zainstalować IE 8, aktualizacje musiałem pobrać ręcznie i później poszło gładko. Nowa wersja HijackThis została pobrana i zainstalowana.
Log po Malware:
http://wklej.org/id/804972/
Wykrył mi 6 rzeczy jednak do usunięcia zaznaczył tylko 3 i usunąłem, co wybrał.
Atis
6 Sierpień 2012 11:15
#8
Usuń dwa klucze wykryte przez Malwarebytes.
Brakuje dodatku Service Pack 3
Drakole
6 Sierpień 2012 12:45
#9
Service Pack 3 zainstalowane, ale nie poprzez Windows Update, bo tam nie mogłem tego zrobić. Pobrałem, rozpakowałem i zainstalowałem. Zrobiłem skan Malwarebytes usunąłem 2 klucze przez niego wykryte + jeszcze jakąś jedną rzecz, którą wykrył. Może przeskanować jeszcze komputer jakimś programem czy na pewno jest już czysty?
Tutaj raport Malwarebytes:
http://wklej.org/id/805115/
adam9870
6 Sierpień 2012 12:54
#10
Jest OK. Malwarebytes pokazuje, że masz już SP3 i IE8, czyli wszystko aktualne.
Wszystko powinno być w porządku, ale jeżeli chcesz to dla pewności możesz przeskanować system np. jakimś skanerem online, np. Kaspersky http://vs.kaspersky.pl/virusscanner70/p … check.html
Pozdrawiam.
Drakole
6 Sierpień 2012 13:38
#11
Ten skaner mi nie działa
Może są jeszcze inne niepokojące rzeczy na moim komputerze…?
Dziękuję za dotychczasową pomoc i wierzę, że wszystko jest już ok.