Wirus lollipop. brak internetu


(Bastek Pl) #1

Witam. Mam problem z moim komputerem. Dzisiaj chcąc zrootowac mój telefon pobralem jakąś aplikacje "super one click" potrzebna do roota. Okazało się że to wirus i zainfekowal mi komputer. Chwilę miałem jeszcze internet i tak po ok. 10-20min stracilem połączenie. Z aplikacji które widziałem to był to właśnie ten lollipop i widziałem jeszcze jakieś apphat i mobogenie czy cos takiego. Wszystkie prawie od razu usunąłem. Probowalem już przywracania sysyemu dwa razy. Za każdym razem nic. Użyłem adw cleaner. Także nic. Gdy podpinalem pena z adw cleaner to avast wykrywal go jako zakraplacz trojan i od razu zniksl. Odpalilem go w trybie awaryjnym. Ogólnie to probowalem już ponad 3h i nic. Proszę o pomoc o wybaczcie bledy ale piszę z telefonu.


(Hala Ntamustagil) #2

Nie wiem, czy tam będzie on siedział, ale zobacz:

 

start -> uruchom -> services.msc

i sprawdź, czy na liście jest ten lolipop, wtedy zaznacz go i wyłącz, a następnie kliknij prawym i we właściwościach zaznacz by się nie uruchamiał (czyli automatyczne uruchamianie zmienisz na - wyłączony). Może w harmonogramie zadań też by był, ale nie wiem. W autostarcie też sprawdź, czyli start -> uruchom -> msconfig.

A wiesz może gdzie on siedzi na dysku? w trybie awaryjnym pewnie ręcznie byś go mógł wywalić? W trybie awaryjnym adwcleanera też odpalałeś lub antywirusa jakiegoś? w awaryjnym zawsze łatwiej wywalić coś, od kasperskiego jest nawet jakiś antywirus niewymagający instalacji, chyba Kaspersky TDSSKiller.


(Bastek Pl) #3

Niestety, szukałem i nic. Nie wiem gdzie jest na dysku. Z tym pseudo programem dostalem kilka innych programów min. Te które wymieniłem w pierwszym poscie. W trybie awaryjnym odpalałem adw cleanera i nawet w tym trybie z podłączeniem z siecią nie ma internetu. Ciekawe jest to ze jak podłączam pendriva w normalnym trybie to od razu wyswietla mi kokunikat ze adwcleaner to kon trojanski i zakraplacz czy jakos tak. Odpalalem takze ccleaner i tak nic. Przepraszam za brak polskich znakow ape pisze z tel.


(Atis) #4

Odinstaluj tymczasowo Avasta, bo może ten program blokuje internet.

http://www.avast.com/pl-pl/uninstall-utility

Pokaż logi z OTL. OTL - Raport obowiązkowy:

http://forum.dobreprogramy.pl/analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741


(Bastek Pl) #5

Zaraz po przyjściu do domu wrzucę logi. Mam tylko jedno pytanie. Mogę zrobić te logi w trybie awaryjnym normalnie nie da rady chyba. Będzie to miało jakikolwiek wpływ?


(Atis) #6

Logi można utworzyć w awaryjnym.

W awaryjnym użyj avastclear żeby odinstalować Avasta.


(Bastek Pl) #7

Ok, dziękuję za szybką odpowiedz. Zaraz jak wrócę do domu to wszystko zamieszczę na forum. Pozdrawiam

OTL:

http://wklej.org/id/1198775/

Extras:

http://wklej.org/id/1198779/

Dodam, że dzisiaj kiedy wróciłem do domu i włączyłem komputer internet w jakims niewytłumaczalny sposób wrócił. Mimo to wstawiam logi. I w takim razie, że internet jest to avasta zostawiłem póki co. Czekam na dalsze wskazówki i dziękuję za pomoc :slight_smile:


(Atis) #8

Usuń rozszerzenie Select Links App: Chrome > Narzędzia > Rozszerzenia

 

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\anvsnddrv.sys -- (anvsnddrv)
IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=8136da64-0d55-11e1-baeb-000fea53ccff&q={searchTerms}
IE - HKU\S-1-5-21-1957994488-261478967-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=9078002522F1CF43&affID=119357&tt=160913_nocpn&tsp=5010
IE - HKU\S-1-5-21-1957994488-261478967-839522115-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=CPUID&o=14654&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=CV&apn_dtid=YYYYYYYYPL&apn_uid=78A17589-E370-4DB0-939C-C9039484CD75&apn_sauid=ADE0554D-0186-4EF8-A6C9-54D0339ACE4D
IE - HKU\S-1-5-21-1957994488-261478967-839522115-1004\..\SearchScopes\{31157517-CBF1-4679-90BB-C7B1A3B25126}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKU\S-1-5-21-1957994488-261478967-839522115-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=8136da64-0d55-11e1-baeb-000fea53ccff&q={searchTerms}
IE - HKU\S-1-5-21-1957994488-261478967-839522115-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921
O2 - BHO: (SelectionLinks) - {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} - C:\Program Files\OApps\SelectionLinks.dll File not found
O2 - BHO: (SelectionLinks) - {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} - C:\Program Files\OApps\SelectionLinks.dll File not found
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll File not found
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-1957994488-261478967-839522115-1004..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found
O9 - Extra 'Tools' menuitem : My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - Reg Error: Key error. File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2013-12-05 22:42:14 | 000,000,000 | ---D | C] -- C:\Program Files\DefaultTab
[2013-12-05 22:42:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2013-12-05 22:42:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
[2013-12-05 22:42:01 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit
[2013-12-05 22:42:00 | 000,000,000 | ---D | C] -- C:\Program Files\vShare.tv plugin
[2013-12-05 22:42:00 | 000,000,000 | ---D | C] -- C:\Program Files\SweetIM
[2013-12-05 22:42:00 | 000,000,000 | ---D | C] -- C:\Program Files\MyPC Backup
[2013-12-05 22:41:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fox\Dane aplikacji\vShare
[2013-12-05 22:41:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fox\Ustawienia lokalne\Dane aplikacji\OpenCandy
[2013-12-05 22:41:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fox\Dane aplikacji\OpenCandy
[2013-12-05 22:41:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fox\Dane aplikacji\ExpressFiles
[2013-12-05 22:41:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fox\Dane aplikacji\DefaultTab
[2013-12-05 22:41:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fox\Ustawienia lokalne\Dane aplikacji\Conduit
[2013-12-05 22:41:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fox\Dane aplikacji\Babylon
[2013-12-05 20:36:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fox\Ustawienia lokalne\Dane aplikacji\Mobogenie
[2013-12-05 20:36:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fox\Ustawienia lokalne\Dane aplikacji\cache
:Files
C:\WINDOWS\tasks\At*.job
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

 

Uruchom OTL i kliknij Sprzątanie.

Uruchom  SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png


(Bastek Pl) #9

Wszystko wykonane. Wrzucić jeszcze Raz skan z otl? Wielkie dzięki za pomoc Atis:)