polska Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 Witam! Dzisiaj przeskanowałem komputer programem Microsoft Security Essentails i wykrył mi wirusa o nazwie: Trojan:JS/Iframe.BS. Poniżej zamieszczam logi OTL. Będę wdzięczny za pomoc. OTL: http://wklej.org/id/855179/ Extras: http://wklej.org/id/855180/ Pozdrawiam! Odnośnik do komentarza
picasso Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 Nie widzę oznak infekcji czynnej, są drobnostki adware oraz ten dziwny sterownik (ale sygnowany przez MS, to prawdopodobnie produkt uboczny MSSE): DRV - [2012-10-26 01:28:18 | 000,043,600 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\dwtciagy.sys -- (dwtciagy) Doczyść to wszystko: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2012-10-26 01:28:18 | 000,043,600 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\dwtciagy.sys -- (dwtciagy) DRV - [2011-04-30 16:06:39 | 000,135,032 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\Windows\System32\drivers\dwprot.sys -- (DwProt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8192su.sys -- (RTL8192su) IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=ironpub&chnl=ironpub&cd=2XzuyEtN2Y1L1Qzu0FyE0E0CtAzzzyyDyCyCtBtDtC0D0FtAtN0D0Tzu0StByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1414442377" IE - HKU\S-1-5-21-1716329714-369077267-911810370-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110808&tt=3512_6&babsrc=SP_ss&mntrId=940f1df300000000000020cf30e30169" IE - HKU\S-1-5-21-1716329714-369077267-911810370-1000\..\SearchScopes\{C8153050-E234-4859-A7DA-E0A5EF379AB7}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=ironpub&chnl=ironpub&cd=2XzuyEtN2Y1L1Qzu0FyE0E0CtAzzzyyDyCyCtBtDtC0D0FtAtN0D0Tzu0StByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1414442377" O3 - HKLM\..\Toolbar: (no name) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - No CLSID value found. [2012-09-05 21:16:29 | 000,384,844 | ---- | C] () -- C:\Users\Wojtek\AppData\Local\funmoods-speeddial.crx [2012-09-05 21:16:29 | 000,031,465 | ---- | C] () -- C:\Users\Wojtek\AppData\Local\funmoods.crx [2012-09-02 02:14:28 | 000,000,000 | ---D | M] -- C:\Users\Wojtek\AppData\Roaming\Babylon [2011-09-08 22:47:13 | 000,009,845 | ---- | C] () -- C:\Windows\System32\mswtnkoke.dll [2011-05-02 12:05:22 | 000,147,456 | ---- | C] () -- C:\Windows\System32\msjtckokd.dll :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- "DefaultScope"="{7AC6DFC4-36E0-D6A4-8A0F-320C757BDD5B}" [HKEY_USERS\S-1-5-21-1716329714-369077267-911810370-1000\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- [HKEY_USERS\S-1-5-21-1716329714-369077267-911810370-1000\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. . Odnośnik do komentarza
polska Opublikowano 26 Października 2012 Autor Zgłoś Udostępnij Opublikowano 26 Października 2012 Log: http://wklej.org/id/855741/ Chyba zainstalował mi się jakiś "śmieć" DownTango. Odnośnik do komentarza
picasso Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 (edytowane) A gdzie GMER, o który prosiłam? Istotnie, mamy nowego śmiecia pokroju adware na patelni. 1. Nie mam tu nowego OTL Extras, ale w Panelu sterowania na liście programów do odinstalowania oraz w Menu Start szukaj pozycji o nazwach DownTango + Protected Search. Dopiero po normalnej deinstalacji: 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_search_url"=- "Search bar"=- "Search Page"=- "Start Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_search_url"=- "Search bar"=- "Search Page"=- "Start Default_Page_URL"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj i zaległy GMER. Dostarcz też log utworzony przez AdwCleaner. . Edytowane 28 Listopada 2012 przez picasso 28.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi