Zaloguj się

**nikita** · 19.05.2014, 10:38

Objawy zainfekowania:
Podobno spowolnienie działania systemu, fałszywe programy typu "PC coś tam professional", przeglądarki zawalone śmieciami, brak reakcji systemu na podłączanie urządzeń USB do tylnego panelu (przedni działa dla myszki i klawiatury, ale nie odczytuje dysków USB), brak połączenia sieci bezprzewodowej (nie widać karty sieciowej w menedżerach). Zainstalowany MCShield (Driver) jest wywalany po każdym starcie systemu.

Wykonywane działania:
Czyszczenie AdwCleanerem; unieruchomiony Avast został odinstalowany w trybie normalnym - w jego miejsce wskoczył Bitdefender Free. MBAM Free usunął kilka śmieci, Hitman również. Bitdefender nie komunikuje o infekcjach.

Logi:
OLT:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner:
Szukaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

Usuń:

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 19.05.2014, 18:11

Odinstaluj na chwilę obecną Bitdefendera i tego MCShield.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKLM\...\Run: [NPSStartup] => [X]

HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll

HKLM\...\AppCertDlls: [x86] -> c:\program files\settings manager\systemk\sysapcrt.dll

HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie

SearchScopes: HKLM - DefaultScope value is missing.

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab

DPF: {CAFEEFAC-0017-0000-0051-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]

S3 IpInIp; system32\DRIVERS\ipinip.sys [X]

S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]

S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]

C:\ProgramData\AVAST Software

C:\extensions

C:\Users\Iga\AppData\Local\Temp\Quarantine.exe

C:\Users\Iga\AppData\Local\Temp\_is7CDC.exe

Task: {1CC81347-6204-4B83-900C-01E02F50F067} - System32\Tasks\Microsoft\Windows\MobilePC\TMM

Task: {24236A9F-3C54-424A-84B9-C590CF0443D7} - System32\Tasks\Microsoft\Windows\NetworkAccessProtection\NAPStatus UI

Task: {2E45801D-8556-4D3B-A0EA-A03FBA97180A} - System32\Tasks\{D99CA2B5-D02C-4492-8027-96A12D2D5955} => Firefox.exe http://ui.skype.com/ui/0/4.2.0.169/pl/abandoninstall?page=tsChrome&amp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chromeoffered-installed;madedefault

Task: {3174C147-89C7-483D-8C36-1B6C5C9C2C21} - System32\Tasks\{862C4704-873D-402E-8D4E-877A367E36A0} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.116/en/abandoninstall?page=tsMain

Task: {4E41593D-7F4F-49C8-B5F8-699E19E06D16} - System32\Tasks\{44680851-BEC2-42C6-A23B-3BC3EA5BD466} => C:\Program Files\Skype\\Phone\Skype.exe [2014-05-08] (Skype Technologies S.A.)

Task: {56F2A2BC-3A17-4501-8C42-22B888CE0288} - System32\Tasks\{20A44437-99BC-4877-BFAD-821CC84A15D7} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.112/pl/abandoninstall?page=tsDownload&amp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chromeoffered-installed;madedefault

Task: {5EC6E336-8994-42CA-A19A-AA947C72FE4E} - System32\Tasks\{C20E38EB-2F41-41BB-8820-85EE85530AB4} => C:\Program Files\Skype\\Phone\Skype.exe [2014-05-08] (Skype Technologies S.A.)

Task: {980A6C47-6E16-40A8-B1E6-21452F411E0F} - System32\Tasks\{EB411F6D-C3AC-4A48-9708-6893DCFC5A7E} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.112/pl/abandoninstall?page=tsMain&amp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chromenotoffered;alreadyoffered

Task: {B44078BF-3136-4B3A-9E55-78085600E260} - System32\Tasks\{89A2B76F-6A4B-46C0-AD5A-398F77A599BC} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.112/pl/abandoninstall?page=tsMain&amp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chromenotoffered;alreadyoffered

AlternateDataStreams: C:\ProgramData\TEMP:373E1720

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce Firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Google Chrome

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Adware użyło zasad grupy w celu w celu zablokowania zmian w rozszerzeniach

Zresetuj cache wtyczek. W pasku adresów wpisz chrome//plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
Ustawienia > karta Historia > wyczyść
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

**nikita** · 19.05.2014, 18:20

Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 19.05.2014, 18:25

Jakie są efekty?

Programy wywalone ?

Z tym usb to może przez tego MCShield

**nikita** · 19.05.2014, 18:36

Myślę, że to nie przez MCShield, bo nie odczytywało nośników USB już przed jego zainstalowaniem. Aktualnie wydaje się być wszystko całkiem OK (poza tym USB), więc dziękuję za pomoc tachion! Smile

EDIT: i działa WLAN!

**tachion** · 19.05.2014, 18:38

Zrób dla przykładu nowe logi FRST+OTL ale bez extras

Odinstaluj adwcleaner.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

**nikita** · 19.05.2014, 19:10

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

SecurityCheck:

[Aby zobaczyć linki, zarejestruj się tutaj]

Adw odinstalowałem po wykonaniu logów.

**tachion** · 19.05.2014, 19:27

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
SearchScopes: HKLM - DefaultScope value is missing.

S1 aswFW; C:\Windows\system32\drivers\aswFW.sys [104752 2014-01-22] (AVAST Software)

C:\ProgramData\81ce3328f6adf281

Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

Jave odinstaluj i zainstaluj najnowszą wersję

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

**nikita** · 19.05.2014, 19:41

Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

Javę zaraz ogarnę.

**tachion** · 19.05.2014, 19:46

Ok i na koniec:

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie