nomysz Opublikowano 20 Października 2012 Zgłoś Udostępnij Opublikowano 20 Października 2012 Witam, Otóż zaatakował mnie robak po którym wyświetla się, że komputer został zablokowany. Niestety w panice nie przeglądałem dużej liczby stron i użyłem Combofix. Później gdy już wszystko wróciło do normy po użyciu Combofix przeczytałem na różnych stronach że ten program jest szkodliwy itd. Chciałbym się dowiedzieć czy wystarczy go po prostu odinstalować czy potrzebne są jakieś dodatkowe zabiegi by wszystko ładnie posprzątać? Z góry dziękuję za pomoc. OTL.Txt Extras.Txt Combofix.txt Gmer.txt Odnośnik do komentarza
Landuss Opublikowano 21 Października 2012 Zgłoś Udostępnij Opublikowano 21 Października 2012 ComboFix odinstalujesz na końcu kiedy podam stosowną instrukcję jak to się robi. Teraz trzeba usuwać infekcję bo nadal masz system zainfekowany. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=6&barid={B90FBE1F-5CB6-11E1-9CC3-00235A523612}" IE - HKLM\..\SearchScopes\{969A1E51-1DA3-474D-98F1-4958F453D510}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4b7fef9f-364c-11e1-b10f-00235a523612&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={B90FBE1F-5CB6-11E1-9CC3-00235A523612}" IE - HKU\S-1-5-21-2738033213-3962626636-1705431899-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=4b7fef9f-364c-11e1-b10f-00235a523612" IE - HKU\S-1-5-21-2738033213-3962626636-1705431899-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=1DE73CAD-E161-48F8-B134-61884B09A4C9&apn_sauid=12C93020-6340-4229-9BF5-5C81B4CFF6B3" IE - HKU\S-1-5-21-2738033213-3962626636-1705431899-1000\..\SearchScopes\{969A1E51-1DA3-474D-98F1-4958F453D510}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4b7fef9f-364c-11e1-b10f-00235a523612&q={searchTerms}" IE - HKU\S-1-5-21-2738033213-3962626636-1705431899-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={B90FBE1F-5CB6-11E1-9CC3-00235A523612}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=4b7fef9f-364c-11e1-b10f-00235a523612" FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.6.0.3 FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=4b7fef9f-364c-11e1-b10f-00235a523612" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-10-06 18:04:34 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Mariola\AppData\Roaming\mozilla\Firefox\Profiles\xihgilqf.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-10-06 17:45:14 | 000,169,792 | ---- | M] () (No name found) -- C:\Users\Mariola\AppData\Roaming\mozilla\firefox\profiles\xihgilqf.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012-09-04 13:25:14 | 000,002,299 | ---- | M] () -- C:\Users\Mariola\AppData\Roaming\mozilla\firefox\profiles\xihgilqf.default\searchplugins\askcom.xml [2012-10-06 18:01:28 | 000,003,983 | ---- | M] () -- C:\Users\Mariola\AppData\Roaming\mozilla\firefox\profiles\xihgilqf.default\searchplugins\sweetim.xml [2012-10-12 23:53:01 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O4 - HKU\S-1-5-21-2738033213-3962626636-1705431899-1000..\Run: [syshost32] C:\Users\Mariola\AppData\Local\{0D35A451-F5C2-1DA8-B1AD-95D2916F5562}\syshost.exe (Patriot Memory) :Files C:\Users\Mariola\AppData\Local\{0D35A451-F5C2-1DA8-B1AD-95D2916F5562} C:\Users\Mariola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Browsers Protector Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
nomysz Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Log po wykonaniu wszystkich punktów. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 Pojawiły się nowe rzeczy do usuwania. Kolejny skrypt wykonaj o takiej zawartości: :OTL O4 - HKU\S-1-5-21-2738033213-3962626636-1705431899-1000..\Run: [binoko] C:\Users\Mariola\AppData\Roaming\Udlida\ulolf.exe (Opera Software) :Files C:\Users\Mariola\AppData\Roaming\Udlida C:\Users\Mariola\AppData\Roaming\Paviec C:\Users\Mariola\AppData\Roaming\Abte :Commands [reboot] Nowy log do oceny. Odnośnik do komentarza
nomysz Opublikowano 22 Października 2012 Autor Zgłoś Udostępnij Opublikowano 22 Października 2012 Wykonałem skrypt który podałeś. Za to pojawiły się ukryte dwa pliki desktop.ini na pulpicie oraz jeden w folderze z OTL. Oto log: OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 Te obiekty, które ci się pojawiły był wcześniej ukryte dlatego ich nie widziałeś. OTL przestawia opcje widoku. Możesz to ponownie zmienić w panelu sterowania. Wszystko zostało usunięte. Wykonaj kroki końcowe: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKU\S-1-5-21-2738033213-3962626636-1705431899-1000..\Run: [binoko] C:\Users\Mariola\AppData\Roaming\Udlida\ulolf.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Nacisnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\users\Mariola\Downloads\ComboFix.exe" /uninstall 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9 - Polish "Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
nomysz Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Wszystkie punkty wykonałem. Tylko przy punkcie drugim gdy wykonywałem polecenie usunięcia ComboFix.exe wyskoczył komunikat że nie można odnaleźć pliku. Z grubsza rozejrzałem się za nim i wygląda na to, że OTL przy sprzątaniu się go pozbył. Dzięki za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi