Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

System Progressive Protection po raz kolejny

skibox

Przez skibox
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Oprócz tytułowej infekcji widać ślady trojana ZeroAccess, ale to wygląda tylko na szczątki.

 

1. Uruchom GrantPerms x64 i wklej:

 

C:\Windows\system64

 

Klik w Unlock.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL


IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1030000.103000&st=12&barid={FAD68919-0A38-11E2-B2E8-001FE253BA30}"


IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"


IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103000&st=12&q={searchTerms}&barid={FAD68919-0A38-11E2-B2E8-001FE253BA30}"


IE - HKU\.DEFAULT\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{C857E763-815F-4D13-8A19-284676C57A19}?q={searchTerms}"


IE - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found


IE - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{A21C6B32-AEAC-45C4-9A94-057C5318F83F}?q={searchTerms}"


IE - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"


IE - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103000&st=12&q={searchTerms}&barid={FAD68919-0A38-11E2-B2E8-001FE253BA30}"


O4 - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001..\Run: [AdobeBridge]  File not found


O4 - HKU\.DEFAULT..\RunOnce: [DeleteEngineAfterUpdate] reg DELETE HKCU\Software\AppDataLow\Software\ConduitEngine /f File not found


O4 - HKU\S-1-5-18..\RunOnce: [DeleteEngineAfterUpdate] reg DELETE HKCU\Software\AppDataLow\Software\ConduitEngine /f File not found


O4 - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001..\RunOnce: [6E20625807954B1F00006E1FF43B4E5A] C:\ProgramData\6E20625807954B1F00006E1FF43B4E5A\6E20625807954B1F00006E1FF43B4E5A.exe ()


 


:Files


netsh winsock reset /C


C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64 /C


C:\Users\Skyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection


C:\ProgramData\6E20625807954B1F00006E1FF43B4E5A


C:\Users\Skyy\Desktop\System Progressive Protection.lnk


C:\Windows\assembly\GAC_32\Desktop.ini


C:\Windows\assembly\GAC_64\Desktop.ini


C:\Windows\tasks\At*.job


 


:Reg


[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"


[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"


 


:Commands


[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / Hyperionics DB Toolbar / uTorrentBar Toolbar / Winamp Toolbar

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook / SweetPacks Chrome Extension

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz raport z Farbar Service Scanner

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano (edytowane)

Lecimy dalej bo infekcja nadal nie została do końca usunięta.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found.
O7 - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O38 - SubSystems\\Windows: (ServerDll=consrv:ConServerDllInitialization,2)
NetSvcs:64bit: qbfcservice - C:\Windows\SysNative\RDID1007.dll (Oak Technology Inc.)
[2012-02-16 00:43:30 | 000,000,000 | ---D | M] -- C:\Users\Skyy\AppData\Roaming\Noav
[2012-02-16 00:40:49 | 000,000,000 | ---D | M] -- C:\Users\Skyy\AppData\Roaming\Quogv
 
:Files
C:\Windows\system64
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
netsh winsock reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z FSS.

Edytowane przez picasso
6.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...