Witam serdecznie. Zaoferowałem pomoc bliskiej osobie, ale problem przerósł moje skromne umiejetnosci.
Objawy zainfekowania:
Dostawca internetu zmniejszył przepustowość łącza do 512kb/s twierdzac ze komputer do niego podłączony wysyła spam. Niestety dostawca nie podał konkretnych informacjiwlascicielowi łacza/komputera. Nic nie blokowano, jedynym objawem jest spadek szybkosci łącza. Komputer przez dłuzszy okres miał nieaktualny antyvir.
Wykonywane działania:
Odinstalowano nieaktualnego antyvira. Scan Avira wykrył adware + trojana bds/rogue. Kolejne scany nic juz nie wykrywały.
Logi:
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras:
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
Additional:
[Aby zobaczyć linki, zarejestruj się tutaj]
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
HKLM\...\Run: [] => [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bing.com
HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?affID=110819&tt=2912_7&babsrc=HP_ss&mntrId=88dfc2b0000000000000002682a0bb17
SearchScopes: HKLM - DefaultScope {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12} URL = http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0Dzz0DtAzzyDtAzyyBtAyEtD0CtB0BtDtN0D0Tzu0CtBtBtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=902039209
SearchScopes: HKLM - Backup.Old.DefaultScope {343A71EE-3557-49E3-BA17-6E4976620E67}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12} URL = http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0Dzz0DtAzzyDtAzyyBtAyEtD0CtB0BtDtN0D0Tzu0CtBtBtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=902039209
SearchScopes: HKLM - {343A71EE-3557-49E3-BA17-6E4976620E67} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1Qzu0Dzz0DtAzzyDtAzyyBtAyEtD0CtB0BtDtN0D0TzutBtDtCtBtDyBtCzy&cr=2127340499
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_7&babsrc=SP_ss_cr&mntrId=88dfc2b0000000000000002682a0bb17
SearchScopes: HKCU - Backup.Old.DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0EBC10AF-8785-8475-9653-485100C4C04C} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_7&babsrc=SP_ss&mntrId=88dfc2b0000000000000002682a0bb17
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_7&babsrc=SP_ss_cr&mntrId=88dfc2b0000000000000002682a0bb17
SearchScopes: HKCU - {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12} URL = http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0Dzz0DtAzzyDtAzyyBtAyEtD0CtB0BtDtN0D0Tzu0CtBtBtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=902039209
BHO: Ironsource LTD Helper Object - {25927741-5E5B-4D27-8D8B-9188FE64373F} - C:\Program Files\SearchYa!\1.5.25.0\bh\searchya.dll (Montera Technologeis LTD)
Toolbar: HKLM - SearchYa Toolbar - {33AA308B-B565-4376-AC66-59EE9B6AD13E} - C:\Program Files\SearchYa!\1.5.25.0\searchyaTlbr.dll (Montera Technologeis LTD)
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\q\AppData\Local\speeddial.crx [2012-08-08]
CHR HKLM\...\Chrome\Extension: [ndkhncnongaclekkbelchmeafffimifj] - C:\Users\q\AppData\Local\Giant Savings\Chrome\Giant Savings.crx [2012-05-31]
CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\q\AppData\Local\speeddial.crx [2012-08-08]
CHR HKCU\...\Chrome\Extension: [fdloijijlkoblmigdofommgnheckmaki] - C:\Users\q\AppData\Local\funmoods.crx [2012-07-19]
S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X]
C:\windows\system32\AI_RecycleBin
C:\Program Files\McAfee
C:\ProgramData\McAfee
C:\Program Files\Common Files\McAfee
C:\Users\q\AppData\Roaming\TuneUp Software
C:\ProgramData\Uninstall
C:\Users\q\AppData\Local\Temp\avgnt.exe
C:\Users\q\AppData\Local\Temp\uninstall.exe
Task: {0B52DD3D-50BE-4A38-912A-78348DB79F35} - System32\Tasks\{287F3422-6572-48D7-9272-FF44B6F13A55} => Chrome.exe http://ui.skype.com/ui/0/5.10.0.115/pl/abandoninstall?page=tsProgressBar
Task: {D5BFD21C-850A-44F6-9F42-7B20DA0AAE7B} - System32\Tasks\{1212AE5E-6A51-497D-8BE1-231509B03F26} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.0.0.152&LastError=12029
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service"
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
IObit Malware Fighter
SearchYa! Web Search
Surfing Protection
W przeglądarce Firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
Google Chrome
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
Ustawienia > karta Historia > wyczyść
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
kliknij
Szukaj i następnie
Usuń
pokaż raport
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Fixlog:
[Aby zobaczyć linki, zarejestruj się tutaj]
SecurityCheck:
[Aby zobaczyć linki, zarejestruj się tutaj]
Zrób nowy logi FRST i OTL, zmień hasło do skrzynki pocztowej.
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Users\q\AppData\Local\Temp\avgnt.exe
C:\Users\q\AppData\Local\Temp\Quarantine.exe
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Results of screen317''s Security Check version 0.99.83
Windows 7 Service Pack 1 x86 (UAC is enabled)
Internet Explorer 10
Out of date!
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 55
Adobe Flash Player 13.0.0.214
Adobe Reader 9
Adobe Reader out of Date!
Google Chrome 34.0.1847.137
Google Chrome 35.0.1916.114
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Multimedia mobilNET OnlineUpdate ouc.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
Działania końcowe:
Pozycje oznaczone na czerwono do aktualizacji.
W
AdwCleaner klik odinstaluj.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools ,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
i kliknij Start.
Fixlog
[Aby zobaczyć linki, zarejestruj się tutaj]