dominiv2604 Opublikowano 10 Listopada 2012 Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Otóż tak ostatnio, miałem włamanie na Facebook i moją strone o Cs'ie. Włączyłem skanowanie na pełnej parze i wykryło mi tam kilkanaście wirusów robiłem tylko usuń usuń usuń itd... Lecz później uruchamiam komputer a tutaj że nie mam jakiejś biblioteki rjllb.dll i nie mogę nic odpalić, czytałem już o tym na tym forum że te keyloggery związane są z Tibią, owszem grałem i pewnie jakiś mi się na komputerze zaplątał, Ponieważ jestem w tym wszystkim totalnie zielony pomóżcie mi uporać się z tym keyloggerem naprawiłem jakoś rjllb.dll przez cmd i programy się uruchamiają mam windows 7 Proszę o szybką i dokładną pomoc bo hacker przygotowuje następny atak a w sumie to już go nawet przeprowadził znów na stronie :/ Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 naprawiłem jakoś rjllb.dll przez cmd i programy się uruchamiają mam windows 7 Tu są określone zignorowane przez Ciebie zasady działu: KLIK. Obowiązkowe są raporty, jak mamy sprawdzić system? hacker przygotowuje następny atak a w sumie to już go nawet przeprowadził znów na stronie O czym mówisz? Jaki kontekst słowa "następny"? Co się wydarzyło jeszcze prócz wyżej opisanych? . Odnośnik do komentarza
dominiv2604 Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 O czym mówisz? Jaki kontekst słowa "następny"? Co się wydarzyło jeszcze prócz wyżej opisanych? po wszystkim zmieniłem hasło na proserwer.pl (taka firma oferująca hostingi) no i postawiłem stronę patrze a dane się właśnie usuwają a ja tego nie mogę przerwać i wszystko padło :/ to te skany: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Logi proszę umieszczaj w szybciej dostępnej formie = serwis wklej.org. W podanych raportach widać adware (małe znaczenie) oraz infekcję, która kradnie hasła, czyli java_u.jar startowany przez Java: [2012/07/20 03:21:16 | 000,761,751 | ---- | C] () -- C:\Users\Dominik\AppData\Roaming\java_u.jar Ten delikwent też związany z Tibia. Dla porównania temat: KLIK. 1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, Babylon toolbar, BabylonObjectInstaller, Browser Manager, Download Updater (AOL LLC), Viewpoint Media Player. Od razu pozbądź się też przestarzałego Spybot - Search & Destroy (i nie instaluj go już więcej na systemie 64-bit = jest słabo dopasowany). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Dominik\AppData\Roaming\java_u.jar C:\Windows\SysWow64\mswsncore.dll C:\Windows\my.ini C:\Windows\Tibia.dat C:\Windows\update.exe C:\Windows\os4.exe C:\Windows\zlib1.dll C:\Users\Dominik\AppData\Roaming\1334 C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Oracle Java"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Search Bar"=- "Search Page"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :OTL IE - HKLM\..\SearchScopes\{443789B7-F39C-4b5c-9287-DA72D38F4FE6}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=843&query={searchTerms}&invocationType=tb50-ie-aolTB50CL-chromesbox-en-us" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=031012_ccp_4012_4&babsrc=SP_ss&mntrId=78186f2100000000000090e6ba90567d" IE - HKCU\..\SearchScopes\{2360B1B4-52C1-4946-B5A1-41C6466C9B06}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=682d7910-dccb-4289-a02c-7ac09c7a91c9&apn_sauid=5A492C80-87CD-47EA-A872-BA1829EACB9F" IE - HKCU\..\SearchScopes\{443789B7-F39C-4b5c-9287-DA72D38F4FE6}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=843&query={searchTerms}&invocationType=tb50-ie-aolTB50CL-chromesbox-en-us" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={742ADE6F-E4E4-40E5-80FB-294538175FFD}&mid=eecc385002cd47d0ad0337904f2308eb-932caf513dc0e51fddad5d45cb49f64cc789fcfb&lang=pl&ds=xn011&pr=sa&d=2012-10-02 19:29:54&v=13.0.0.7&sap=dsp&q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4:64bit: - HKLM..\Run: [Zshutdown] c:\Preload64\patch\sysprep64.cmd File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [update] C:\Program Files\Internet Explorer\SIGNUP\update.exe File not found :Commands [emptytemp] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. I powiedz mi co to za plik i jaka jest jego zawartość (otwórz w Notatniku): [2012/03/26 18:56:22 | 000,000,061 | ---- | C] () -- C:\Users\Dominik\program.bat po wszystkim zmieniłem hasło na proserwer.pl (taka firma oferująca hostingi) no i postawiłem stronę patrze a dane się właśnie usuwają a ja tego nie mogę przerwać i wszystko padło :/ Po zadanych powyżej czynnościach wymienisz wszystkie hasła dostępowe raz jeszcze. To na samym końcu, dam sygnał kiedy. . Odnośnik do komentarza
dominiv2604 Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 (edytowane) To jest taki programik sprytny robiony kiedyś przezemnie polega na shutdown lubiłem brata tym denerwować AdwCleaner: http://wklej.org/id/869765/ OTL: http://wklej.org/id/869774/ Edytowane 13 Listopada 2012 przez dominiv2604 Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Czyszczenie pomyślnie wykonane. Zostały tylko drobne poprawki po deinstalacjach + AdwCleaner. Jedziemy dalej: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV:64bit: - [2010/02/12 02:22:17 | 000,033,400 | R--- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ATWPKT264.SYS -- (ATWPKT2) DRV - [2010/02/12 02:22:17 | 000,033,400 | ---- | M] (America Online) [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\atwpkt264.sys -- (ATWPKT2) Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Otwórz notatnik i wklej w nim; Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "ROC_ROC_NT"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" wyrzuć z Pulpitu. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Przy uruchamianiu programu padnie pytanie o typ aktywowanej wersji. Wybierz darmową, w celu uniknięcia instalacji rezydenta (może się kłócić z Avast). Jeżeli program coś wykryje, przedstaw raport. . Odnośnik do komentarza
dominiv2604 Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Po wszystkim dodać logi z OTL ? Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Nie, nie proszę o niego i przecież zadałam Sprzątanie, które już go usuwa. Proszę o raport z MBAM, o ile skaner coś znalazł (jeśli nic, log zbędny). Odnośnik do komentarza
dominiv2604 Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Można zamknąć, 0 zagrożeń. Serdecznie dziękuję za pomoc! Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Na zakończenie: 1. Zaktualizuj Windows i wyliczone poniżej aplikacje: KLIK. Wg raportu obecnie masz zainstalowane wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll () Czyli: instalacja SP1 i wydanych po nim łat dla Windows 7, deinstalacja pokazanych tu starych Adobe / Java i zastąpienie najnowszymi wersjami. 2. Wymiana haseł. Wszędzie (serwisy online / poczta / FTP i dostęp do zarządzania stroną). PS. Gadu-Gadu 10 widzę zainstalowane. Koszmarny biorca "prądu" / zasobów systemowym. Alternatywy: WTW, Kadu, Miranda, AQQ. Wszystko opisane tu: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi