witraz4 Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Witam, również mam problem z tym wirusem... Wczoraj w nocy przywitał mnie Policjant, później przeczytałam, że to wirus. Dziś chciałam zająć się jego "unicestwieniem" niestety nie mam pojęcia jak to zrobić. Tak trafiłam na to formu. Przeczytałam, że należy przeskanować kompa OTL'em, to też zrobiłam a oto wyniki. Od razu przepraszam za złamanie zasad, na "dzień dobry", Dziękuje za przekirowanie mnie. to jest raport jaki otrzymałam po uruchomieniu i przeskanowaniu komputera przez program OTL. To chyba nie ma znaczenia, ale skanowałam komputer w trybie awaryjnym, bo normalnie zaraz po włączeniu wyskakuje komunikat z Policjantem i informacją o rzekomym zablokowaniu. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielone w osobny temat. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Dominika\AppData\Roaming\Babylon C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :OTL IE - HKU\S-1-5-21-3019119337-2148684031-2341271377-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20111016&user_guid=01C25D7DBB4E44519A1742D7DE209B23&machine_id=b1375aa33463e6c782af2bc73f1ad0ca&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}" IE - HKU\S-1-5-21-3019119337-2148684031-2341271377-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=9ceb2c44000000000000d85d4c884135" IE - HKU\S-1-5-21-3019119337-2148684031-2341271377-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-3019119337-2148684031-2341271377-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Start Page Restore"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny,. 2. Przez Panel sterowania odinstaluj adware StartNow Toolbar oraz McAfee Security Scan Plus (sponsor paczek Adobe). 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
witraz4 Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Dziękuję za pomoc, spróbowałam ComboFixem, usunął co trzeba i wszystko działa. Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Na temat używania ComboFix: KLIK. Skoro został użyty, musisz pokazać jego log. Poza tym, to wcale nie załatwia wszystkiego. I tak będzie praca do wdrożenia. Odnośnik do komentarza
witraz4 Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 To jest raport z ComboFixa ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 ComboFix wcale nie usunął wszystkich składników infekcji, pozostał martwy skrót: c:\users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk - c:\programdata\lsass.exe [N/A] Poza tym, brutalnie wywalał StartNow Toolbar (metoda nie taka jak prawidłowa deinstalacja), ale i tak jest tu co czyścić z adware. Wykonaj zmodyfikowane instrukcje dostosowane do widoku systemu po użyciu ComboFix: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\Users\Dominika\AppData\Roaming\Babylon C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :OTL IE - HKU\S-1-5-21-3019119337-2148684031-2341271377-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20111016&user_guid=01C25D7DBB4E44519A1742D7DE209B23&machine_id=b1375aa33463e6c782af2bc73f1ad0ca&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}" IE - HKU\S-1-5-21-3019119337-2148684031-2341271377-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=9ceb2c44000000000000d85d4c884135" IE - HKU\S-1-5-21-3019119337-2148684031-2341271377-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-3019119337-2148684031-2341271377-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Start Page Restore"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przez Panel sterowania odinstaluj McAfee Security Scan Plus (sponsor paczek Adobe). 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
witraz4 Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Otrzymane logi AdwCleanerS2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Wszystko poprawnie wykonane. Kończymy: 1. Drobna poprawka na domyślne wyszukiwarki Internet Explorer po używaniu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: F:\ComboFix.exe /uninstall Gdy komenda ukończy działanie, wyczyść pozostałe rzeczy: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, skasuj poniżej wymienione foldery. C:\Users\Dominika\Desktop\Stare dane programu Firefox C:\Windows\erdnt 3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane wersje: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) Czyli: zaktualizuj Windows 7 (instalacja SP1), odinstaluj wyliczone powyżej Adobe + Java i zastąp najnowszymi wersjamni. PS. Uwaga poboczna na temat zainstalowanego Nowe Gadu-Gadu. Polecam alternatywne programy z obsługą sieci Gadu: WTW, AQQ, Kadu, Miranda. Obejrzyj opisy: KLIK. . Odnośnik do komentarza
witraz4 Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Uprzejmie dziękuję za pomoc. Mam jeszcze pytanie, jak się na przyszłość zabezpieczać przed takimi infekcjami? Antywirus nie wykrył mi żadnych nieprawidłowości... Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Dyskusja na temat tej infekcji: KLIK. Zaleciłam już aktualizacje oprogramowania. Do bezpieczniejszego przeglądania w internecie możesz użyć piaskownicę typu SandBoxie. Rzeczywisty system nie zostanie zainfekowany, po restarcie zawartość wirtualna zostanie usunięta. Program komercyjny, ale można z niego za darmo korzystać po upływie 30-dni (uprzykrzeniem będzie nagscreen). . Odnośnik do komentarza
witraz4 Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Aktualizacje już zrobiłam. Jeszcze raz dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi