nekrol Opublikowano 16 Października 2012 Zgłoś Udostępnij Opublikowano 16 Października 2012 Witam Użyłem programu ComboFix zgodnie z instrukcją zawartą tutaj http://www.bleepingc...uzycia-combofix Poniżej zamieszczam ling do loga. Proszę o pomoc i podaniu instrukcji co powinienem zrobić dalej. "Ten komputer został zablokowany" Zgodnie z wyświetlanym na ekranie komunikatem, opłata wynosi 200 zł i powinna zostać dokonana poprzez podanie numeru vouchera UKASH. Ma być to kara wynikająca z tajemniczych przepisów o "kontroli informacyjnej oraz zabezpieczenia informacji" z 2012 roku. Sam komunikat jest napisany poprawną polszczyzną oraz opatrzony logiem policji i McAfee Secure. Ponadto znajduje się w nim nasz adres IP. Całość wygląda profesjonalnie i wiarygodnie... tutaj wrzucony kod logu : http://wklej.eu/inde...p?id=72b3502d4d Odnośnik do komentarza
picasso Opublikowano 16 Października 2012 Zgłoś Udostępnij Opublikowano 16 Października 2012 Zasady działu: KLIK. Tu jest zakaz dopisywania się (wydzielone), a zestaw obowiązkowych logów inny. Na temat bezstroskiego używania ComboFix w domu: KLIK. ComboFix wprawdzie usunął infekcję UKASH i nie tylko tę, ale i tak jest tu co robić. System zaśmiecony adware, są także odpadki po infekcji z przenośnych USB (w mapowaniu MountPoints2). 1. Przez Dodaj / usuń programy odinstaluj AVG Secure Search, SweetIM, Vuze Remote Toolbar oraz Akamai Netsession Interface. 2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. Zrób obowiązkowe w tym dziale logi. Dołącz też log utworzony przez AdwCleaner podczas usuwania. . Odnośnik do komentarza
nekrol Opublikowano 16 Października 2012 Autor Zgłoś Udostępnij Opublikowano 16 Października 2012 programy tworzące wirtualny dysk odinstalowałem dopiero po użyciu AdwCleaner lecz nie były w użyciu to przeszkadza ? Następnie uruchomiłem scany do logów. OTL.Txt Extras.Txt Gmer.txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 16 Października 2012 Zgłoś Udostępnij Opublikowano 16 Października 2012 programy tworzące wirtualny dysk odinstalowałem dopiero po użyciu AdwCleaner lecz nie były w użyciu to przeszkadza ? Deinstalacja programów tego rodzaju ma znaczenie dla uruchamiania ComboFix, GMER i innych programów z rootkit detekcją. Dla AdwCleaner i OTL. Wymagane poprawki, bo nadal jest widzialny szczątek po UKASH (ComboFix jednak nie wszystko usunął) + czynna infekcja (tylko już inna niż UKASH) oraz adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Władysław\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\Władysław\Menu Start\Programy\Autostart\WinSvc.exe C:\Documents and Settings\Władysław\Menu Start\Programy\Autostart\xe0305.exe C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\extensions\engine@conduit.com C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\extensions\support@predictad.com C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\searchplugins\askcom.xml C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\searchplugins\askcomsearch.xml C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\searchplugins\conduit.xml C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\searchplugins\search.xml C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\searchplugins\sweetim.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :OTL IE - HKU\S-1-5-21-1960408961-1682526488-1177238915-1004\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-1960408961-1682526488-1177238915-1004\..\SearchScopes\{BD0BEFF2-A934-42E4-9F7A-BDA0E49616D3}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" CHR - Extension: AutocompletePro plugin for chrome = C:\Documents and Settings\Władysław\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.0_0\ CHR - Extension: Complitly plugin for chrome = C:\Documents and Settings\Władysław\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\ CHR - Extension: AVG Secure Search = C:\Documents and Settings\Władysław\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.0.0.7_0\ O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found O4 - HKU\S-1-5-21-1960408961-1682526488-1177238915-1004..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Władysław\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WADYSA~1\USTAWI~1\Temp\Din4A5.tmp -- (XDva400) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WADYSA~1\USTAWI~1\Temp\Din196.tmp -- (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\WPRO_40_1340.sys -- (WPRO_40_1340) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\MIPv332.sys -- (MIPv332) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\MIPFSv332.sys -- (MIPFSv332) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mcdbus.sys -- (mcdbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Władysław\Ustawienia lokalne\Temp\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\CFcatchme.sys -- (CFcatchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Live Search" "DisplayName"="@ieframe.dll,-12512" "URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "DownloadRetries"=dword:00000000 "DownloadUpdates"=dword:00000001 "Version"=dword:00000002 "UpgradeTime"=hex:a0,07,fa,8f,d5,96,cd,01 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] "SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}§ionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}" "FaviconURLFallback"="http://www.bing.com/favicon.ico" "URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" "FaviconPath"="C:\\Documents and Settings\\Władysław\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico" "DisplayName"="Bing" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Zresetuj plik preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona) i przesuń na Pulpit ten plik: C:\Documents and Settings\Władysław\Dane aplikacji\Mozilla\Firefox\Profiles\gduvzq3y.default\prefs.js Uruchom Firefox (wygeneruje nowy czysty prefs.js) i poustawiaj co należy w opcjach np. stronę startową, gdyż po resecie wszystko zostanie ustawione domyślnie. 4. Czym prędzej pozbądź się ACE Mega CoDecS Pack. Potwornie stary pakiet z roku 2003, uruchomiony: ========== Modules (No Company Name) ========== MOD - [2003-11-30 16:22:08 | 000,151,552 | ---- | M] () -- C:\Program Files\ACE Mega CoDecS Pack\SystemS\Core\CoreFLAC_ACM.acmMOD - [2003-03-25 06:49:02 | 000,095,292 | ---- | M] () -- C:\Program Files\ACE Mega CoDecS Pack\SystemS\SONY\atrac3.acm 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
nekrol Opublikowano 17 Października 2012 Autor Zgłoś Udostępnij Opublikowano 17 Października 2012 3. Zresetuj plik preferencji Firefox.. a jak zresetować te preferencje ? usunąłem ciastka historie i zapamiętywanie haseł ale nadal strone startową pamięta. Usunięcie i zainstalowanie ponownie przeglądarki załatwi sprawę ? zrobiłem wszystko zgodnie z instrukcją z tym, że nie wiem czy sie zresetowało. Wyciągnąłem ten plik prefs.js i wszystko było tak jak w opisie. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 (edytowane) a jak zresetować te preferencje ? usunąłem ciastka historie i zapamiętywanie haseł ale nadal strone startową pamięta.Usunięcie i zainstalowanie ponownie przeglądarki załatwi sprawę ? Reset preferencji to właśnie przesunięcie pliku prefs.js, jak podałam w instrukcji. Zadanie wykonałeś prawidłowo i to już załatwione. Ogólnie wszystko zostało wykonane i możemy przejść do tej fazy: 1. Odinstaluj w prawidłowy sposób ComboFix. Start > Uruchom > wklej komendę: "C:\Documents and settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall Gdy komenda ukończy działanie, usuń pozostałe: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Usuń także folder C:\WINDOWS\erdnt oraz plik prefs.js z Pulpitu. 2. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 17 Listopada 2012 przez picasso 17.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi