Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus na Skype - rozsyłanie linków w oknie rozmowy

vaST

Przez vaST
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

vaST

vaST

Opublikowano
Opublikowano

Witam,

 

Tak jak w tytule, zmagam się od piątku tj. 5.07.2012 z uciążliwym wirusem.

Moja Avira nie wykazała niczego co by się próbowało na mój komputer przedostać, zmieniłem niestety już po infekcji program antywirusowy na Avasta, ten z kolei wykazał że wirus ten to Trojan.

Działa on w następujący sposób, w oknie skype przy rozmowe z kimś, przesyła w pewnych odstępach czasowych plik do mojego rozmówcy, plik odnosi się do linku: hxxp://goo.gl/UPhHf?img=tatatomka12.

Kiedy klikam na owy link, Avast wykazuje mi że został on zblokowany a infekcja nosi nazwę: Infekcja:Win32:Dropper-gen [Drp]

Dodam, że próbowałem zlokalizować gdzie ten plik się sciągnał, był w folderze plików pobranych z przeglądarki FireFox, oraz w katalogu plików tymczasowych, AppData > Local > Temp.

W pobranych istniał jako dokładna nazwa pliku, natomiast w folderze plików tymczasowych jako zupełnie nic nie znaczące nazwy ( usunąłem Wszystko co było w folderze plików tymczasowych )

Zamieszczam wymagany Log OTL.

 

Proszę o pomoc.

 

Pozdrawiam.

 

Ps. Znalazłem w dzienniku programu Avast plik który siedział w AppData:

C:\Users\Marta\AppData\Roaming\Yvoyow.exe

Zagrożenie: Win32:Ranbyus-U[Trj]

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W starcie jest tylko wpis odpadkowy (powiązany z tym co przedstawi dziennik Avast), za to na dysku trochę plików tej infekcji.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2738564706-3281215764-3910579505-1000..\Run: [Yvoyow] C:\Users\Marta\AppData\Roaming\Yvoyow.exe File not found
 
:Files
C:\Users\Marta\AppData\Roaming\*.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zadanie usuwające pomyślnie wykonane. Przejdź do kolejnej porcji czynności:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (wybierz opcję darmową) i zrób pełny skan. W razie wykrycia czegoś, przedstaw raport.

 

 

Niestety aby załączyć log z usuwania, musiałem zmienić jego rozszerzenie z .log na .txt, system forum odmówił mi uprawnień do wysłania pliku z rozszerzeniem .log.

 

Tak, jest to celowa blokada. W załącznikach zezwalam tylko na rozszerzenie *.TXT.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W ramach wykończeń aktualizacje: KLIK. Twój log notuje brak SP1 dla Windows 7 oraz wersje aplikacji:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ========== 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2738564706-3281215764-3910579505-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\3.0.40624.0\npctrl.dll ( Microsoft Corporation)

 

Uwaga poboczna: Gadu-Gadu 10. Polecam alternatywne programy z obsługą tej sieci: WTW, Miranda, Kadu, AQQ. Opisy: KLIK.

 

 

zauważyłem że komputer uruchamia się z czerwonym ekranem, zaraz przed włączeniem się pulpitu, nie wiem tylko czy się martwić czy przywyknąć..

 

Nie potrafię sobie tego wyobrazić. Czy możesz zrobić zdjęcie ekranu z tym zjawiskiem?

 

 

 

.

Odnośnik do komentarza
vaST

vaST

Opublikowano
  • Autor
Opublikowano

Witam,

 

Dziekuję za pewną i profesjonalną pomoc, Wszystko zostało usunięte a komputer w końcu odzyskał sprawność.

A co do tego czerwonego ekranu, po usunięciu Wszystkich części tego wirusa zniknął, ale opisując to tak swoimi słowami, to po ekranie powitalnym Windows 7 " Zapraszamy ", ukazywał się czerwony ekran, po czym ukazywała się już w normalny sposób tapeta i Wszystkie ikony pulpitu, myślę że czerwony ekran może mieć coś wspólnego z Programem Avast, ale pewny w 100% nie jestem...

Jeszcze raz dziękuję za czas poświecony mi i mojemu nieszczęsnemu komputerowi :)

 

Pozdrawiam Serdecznie.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...