machoney Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Witam. Mam problem z tym dziadostwem próbowałem już swoich sił ale problem wrócił 3 raz i nic więcej nie potrafię zrobić.. Zaczęło się od tamtego piątku - przywróciłem system, do poniedziałku spokój W poniedziałek popołudniu znów się objawił - przeskanowałem combofixem i wywaliłem samodzielnie jego główny plik -&--#62; C:\Documents and Settings\All users\Dane aplikacji\ -&--#62; folder o dziwnej nazwie typu ydsdczxcds, a w nim materiały tego dziadostwa razem z bannerami z logiem policji i godłem Polski. Dziś jest wtorek i od rana znów mam to samo - komputer został zablokowany z powodu naruszenia prawa polskiego.... i takie tam bzdury Załączam logi z OTLa i proszę o pomoc OTL.Txt Extras.Txt Odnośnik do komentarza
machoney Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Zrobiłem także przed chwilą skan w mbam - nic nie usuwałem mbam-log-2012-07-24 (12-31-14).txt Odnośnik do komentarza
Landuss Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\usbohci.sys -- (usbohci) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKLM\..\SearchScopes\{5E3F7548-87E6-4409-B866-08DAC6846DDF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=e5a43c3a-0652-11e1-aa6e-000fb0d6126d&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com/web?src=ieb&appid=740&systemid=2&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{5E3F7548-87E6-4409-B866-08DAC6846DDF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=e5a43c3a-0652-11e1-aa6e-000fb0d6126d&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com/web?src=ieb&appid=740&systemid=2&sr=0&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "LogiTool Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2771935&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "LogiTool Customized Web Search" FF - prefs.js..browser.startup.homepage: "http://sejfik.com/scripts/runner.php?SP=e67858edmachoney" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2771935&SearchSource=2&q=" [2011-10-09 11:05:52 | 000,000,919 | ---- | M] () -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\yerss4wh.default\searchplugins\conduit.xml [2011-10-12 15:52:41 | 000,002,526 | ---- | M] () -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\yerss4wh.default\searchplugins\SearchResults.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\yerss4wh.default\searchplugins\startsear.xml [2011-10-12 15:52:41 | 000,002,526 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O4 - HKLM..\Run: [termmgr] C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4958\termmgr.exe () :Files C:\Documents and Settings\Dom\Dane aplikacji\hellomoto C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4958 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
machoney Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Zrobione. Czy coś jeszcze powinienem zrobić? Czy mogę w jakiś sposób zabezpieczyć swój komputer na wypadek podobnych infekcji w przyszłości? Pytam, ponieważ mój antywirus (AVG), mimo tego że codziennie się aktualizuje, sobie z tym CZYMŚ nie poradził. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Masz wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. zy mogę w jakiś sposób zabezpieczyć swój komputer na wypadek podobnych infekcji w przyszłości? Podałem do aktualizacji miedzy innymi Jave i dbaj o to by ją uaktualniać. Ta infekcja wchodzi bowiem właśnie przez starsze wersje tego oprogramowania. Odnośnik do komentarza
machoney Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Wy pomogliście mi ja pomogę Wam Dzięki Odnośnik do komentarza
Rekomendowane odpowiedzi