radioactive15 Opublikowano 3 Listopada 2012 Zgłoś Udostępnij Opublikowano 3 Listopada 2012 Witam Otóż koleżanka mojej mamy dała mi laptop do sprawdzenia pod kątem wirusów jak to zwykle bywa w tych czasach. Po zalogowaniu się od razu wyskoczył UKASH,tak więc pojechałem tryb awaryjny. Pełny skan Dr.Web Cure It. Rezultaty: Wykryło kilka odmian ukasha,dwa backdory,oraz kilka exploitów na jave i pdf. Wszystkie usunąłem,jak na razie nie widzę aby się ponownie pojawił,ale chce aby logi zostały sprawdzone przez specjalistę Pozwoliłem sobie zrobić opcjonalny skan Security Check .Logi zamieszczam poniżej Results of screen317's Security Check version 0.99.54 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Norton Internet Security WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Java 6 Update 30 Java version out of Date! Adobe Flash Player 11.4.402.287 Adobe Reader 9 Adobe Reader out of Date! Google Chrome 21.0.1180.83 Google Chrome 21.0.1180.89 Google Chrome 22.0.1229.79 Google Chrome 22.0.1229.92 Google Chrome 22.0.1229.94 ````````Process Check: objlist.exe by Laurent```````` Norton ccSvcHst.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 3 Listopada 2012 Zgłoś Udostępnij Opublikowano 3 Listopada 2012 Oprócz infekcji Weelsof (ta od blokady) masz znacznie gorszego trojana ZeroAccess. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku wybierz opcję Uruchom jako Administrator. Zrestartuj komputer. 2. Otwórz Notatnik i wklej w nim: icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-772737327-3409308761-3490658290-1000\$f6dbe03146df374b0b6ba444e07a33ba /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku wybierz opcję Uruchom jako Administrator. Zrestartuj komputer. 3. Pokazujesz nowy log z OTL ze skanowania (bez extras) oraz z Farbar Service Scanner Odnośnik do komentarza
radioactive15 Opublikowano 3 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2012 1. Zrobione. 2. Zrobione. 3. Logi poniżej. FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 3 Listopada 2012 Zgłoś Udostępnij Opublikowano 3 Listopada 2012 Infekcja ZeroAccess zdjęta. Teraz można przejść dalej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-485069609-4241683720-1456031040-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-485069609-4241683720-1456031040-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Windows\SysWow64\%APPDATA% C:\Windows\assembly\GAC_64\Desktop.ini C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Searchqu Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z FSS. Odnośnik do komentarza
radioactive15 Opublikowano 3 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2012 1. Zrobione. 2. Zrobione. 3. Zrobione. 4. Zrobione. 5. Poniżej logi. OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 3 Listopada 2012 Zgłoś Udostępnij Opublikowano 3 Listopada 2012 To by było tyle z usuwania. Możesz wykonać kroki na zakończenie. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java 6 Update 22 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
radioactive15 Opublikowano 3 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2012 ok,dziękuje za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi