Eravier Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Witam, Mam problem jak większość osób tutaj, dorobiłem się jakiegoś wirusa wyskakującego w okienku zaraz przy starcie komputera. Coś tam o naruszeniu polskiego prawa - ogólnie "kupa" bzdur wyssanych z palca. Tak czy inaczej, ten komp przeszedł tuzin różnych dziwnych rzeczy - zasadniczo mógłbym go sformatować ale może jeszcze coś z niego odzyskam. Ach... tak, jestem kompletnym laikiem w tych sprawach dorzucam to co udało mi się wydobyć z OTL i eee... combofix-a Z góry dziękuję za pomoc i porady. PS. Przy okazji zapytam jakie programy polecacie do ochrony komputera przed różnego rodzaju wirusami etc. ComboFix.txt Extras.Txt Odnośnik do komentarza
Eravier Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Usunąłem Daemona i poprawiłem coś w OTL - nie wiem na ile co zrobiłem jak należy, jeśli potrzebne będą jeszcze jakieś rzeczy to prosiłbym o inf. bo nie kumam takich spraw za bardzo. Podrzucam poprawiony drugi scan. Komp. 32-bitowy, Win XP professional. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Admin\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1333990606_335938 IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=d8766af6000000000000001bfcff2f12&tlver=1.4.23.10&affID=100607" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2011-07-25 13:17:01 | 000,002,424 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-04-24 08:15:56 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2012-02-18 19:32:58 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src [2012-04-09 18:56:46 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\LOLRecorder.lnk = File not found :Files C:\Documents and Settings\Admin\Dane aplikacji\hellomoto C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Services wanatw :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Akamai NetSession Interface Service / V9 HomeTool Otwórz Firefox i w Dodatkach odmontuj: toolplugin oraz vShare.tv 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
Eravier Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Daję tu nowe logi z OTL, przy okazji zapytuję co zrobić z Combofixem (na zaś) bo oczywiście zamiast doczytać to go użyłem (wcześniej - wrzuciłem też z niego logi, w pierwszym poście) - no cóż człowiek głupi i uczy się całe życie. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 ComboFix zaraz odinstalujesz w poprawny sposób. Infekcja zaś usunięta. Przejdź do finalizacji tematu: 1. W Start > Uruchom > wklej i wywołaj polecenie "D:\pobieranie\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Eravier Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Byłoby zbyt pięknie by wszystko poszło po mojej myśli... włączyłem usuwanie CF i poszedłem na fajkę i mój genialny młodszy brat... no nieważne tak czy inaczej przerwał usuwanie i zresetował komputer. Potem oczywiście zrobiłem to od nowa, ale wyskoczył błąd, nie znalazł jakiś plików i się wyłączył. Spróbowałem ponownie ale nie znalazł CF. Nie wiem czy to coś zmienia czy nie, i czy w czymś przeszkadza. Jak coś mogę wgrać go od nowa i usunąć. OTL wykonałem sprzątanie (to usuwa program samodzielnie czy muszę to zrobić jeszcze ręcznie?) Aktualizacjami i hasłami zajmę się jak się z tym upora. Dod. żeby nie tworzyć kolejnego tematu zapytuję w jaki antywirus/program warto się zaopatrzyć by w przyszłości tego typu zdarzenia nie miały miejsca? Z góry dziękuję za udzieloną pomoc, forum profesjonalne ląduje w zakładkach i w razie czego będę polecał znajomym. Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 (edytowane) Odinstaluj jeszcze FoxTab PDF Converter (aplikacja związana z mechaniką adware) + Download Updater (AOL LLC) + Viewpoint Media Player (oba to majdam od AOL). I na wszelki wypadek zrób skan w Malwarebytes Anti-Malware. Po tym: włączyłem usuwanie CF i poszedłem na fajkę i mój genialny młodszy brat... no nieważne tak czy inaczej przerwał usuwanie i zresetował komputer. Potem oczywiście zrobiłem to od nowa, ale wyskoczył błąd, nie znalazł jakiś plików i się wyłączył. Spróbowałem ponownie ale nie znalazł CF. Nie wiem czy to coś zmienia czy nie, i czy w czymś przeszkadza. Jak coś mogę wgrać go od nowa i usunąć. Pobierz ComboFix ponownie w to samo miejsce (folder D:\pobieranie) i ponów komendę deinstalacji D:\pobieranie\ComboFix.exe /uninstall. Dod. żeby nie tworzyć kolejnego tematu zapytuję w jaki antywirus/program warto się zaopatrzyć by w przyszłości tego typu zdarzenia nie miały miejsca? Dyskusja: KLIK. Tak przy okazji to do aktualizacji jest ciut więcej niż Java i Adobe Reader, jeszcze: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome . Edytowane 15 Sierpnia 2012 przez picasso 15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi