Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan ze strony www - Live Security Platinum

So6ieski

Przez So6ieski
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

So6ieski

So6ieski

Opublikowano
Opublikowano

złapałem wirusa wchodząc na stronę www: tnij.com/OV2bY

mój avast wykrył w tym momencie Trojana, usunąłem, następnie otworzyło się okno z zapytaniem o pozwolenie uruchomienia flash player. zresetowalem komputer, z paska po prawej stronie zniknęła większośc okonek, w tym avast i pojawił sie program Live Security Platinum, który zaczął coś skanować/ściągać.

uruchomiłem komputer awaryjnie i prosze o pomoc, zamieszczam skan z OTL

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Niestety oprócz Live Security Platinum dostał się do pary trojan ZeroAccess. Wykonaj log dodatkowy.

 

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

Odnośnik do komentarza
So6ieski

So6ieski

Opublikowano
  • Autor
Opublikowano

wykonałem skan, oto raport

 

SystemLook 30.07.11 by jpshortstuff

Log created at 22:19 on 08/08/2012 by Mati

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Mati\AppData\Local\{4a78d096-87ad-d42b-fd66-da17a35691f3}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\System32\services.exe --a---- 279552 bytes [15:02 01/02/2010] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\WINDOWS\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\WINDOWS\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [15:02 01/02/2010] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

 

-= EOF =-

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKU\S-1-5-21-2394148140-2823959035-4020620247-1000..\RunOnce: [036E1E730008F20B02B4426B2F3B707C] C:\ProgramData\036E1E730008F20B02B4426B2F3B707C\036E1E730008F20B02B4426B2F3B707C.exe ()
 
:Files
C:\Users\Mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\ProgramData\036E1E730008F20B02B4426B2F3B707C
C:\Users\Mati\AppData\Local\{4a78d096-87ad-d42b-fd66-da17a35691f3}
C:\Windows\Installer\{4a78d096-87ad-d42b-fd66-da17a35691f3}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

Odnośnik do komentarza
So6ieski

So6ieski

Opublikowano
  • Autor
Opublikowano

Dozgonne dzięki za pomoc

 

wszystko wykonałem. skan w OTL zrobiłem z zaznaczona opcją "Pomiń znane dobre pliki", nie wiem czy to ma jakieś znaczenie...

 

zamieszczam log z OTL po restarcie i po skanowaniu oraz z System Look

 

Brak odpowiedzi wiec rozumiem że już wszystko w porządku.. ?

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:52 on 09/08/2012 by Mati

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\System32\services.exe --a---- 279552 bytes [15:02 01/02/2010] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\WINDOWS\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\WINDOWS\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [15:02 01/02/2010] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

 

-= EOF =-

08092012_183858-restart.txt

OTL.Txt

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Wszystko wykonane jak należy. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

"Mozilla Firefox 8.0 (x86 pl)" = Mozilla Firefox 8.0 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...