Jame5 Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Proszę Was o pomoc. Moja dziewczyna naklikała dzisiaj na link, który przyszedł na Skype i zaczęło się piekło. Wiadomość była taka: "haha wyglądasz szalony na tym zdjęciu dzie *** to nasz nick na Skype. Skanowała 3 razy Microsoft Essentials Security - taki używamy av. Widzę w logach, że wykrył, przeniósł do kwarantanny i usunął "Worm: Win32/Dorkbot.AM", "Worm: Win32/Dorkbot.I". Rozsyłało wszystkim kontaktom te linki potem. Od czego mam zacząć, co robić? Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Nie podaj linków w poście, usuwam to. W logach widzę niewielką infekcję. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzuyBzz0D0DtDzz0C0Dzy0EtDyB0Dzy0DyDtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1006978366" IE:64bit: - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzuyBzz0D0DtDzz0C0Dzy0EtDyB0Dzy0DyDtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1006978366" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzuyBzz0D0DtDzz0C0Dzy0EtDyB0Dzy0DyDtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1006978366" IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzuyBzz0D0DtDzz0C0Dzy0EtDyB0Dzy0DyDtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1006978366" IE - HKCU\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzuyBzz0D0DtDzz0C0Dzy0EtDyB0Dzy0DyDtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1006978366" IE - HKCU\..\SearchScopes\{996D2DF3-A974-49E8-9EE4-8DBF3B9A5B77}: "URL" = "http://uk.shopping.com /?linkin_id=8056359" O4 - HKCU..\Run: [Llgqgb] C:\Users\Ola\AppData\Roaming\Llgqgb.exe File not found :Files C:\Users\Ola\AppData\Roaming\A56C.exe C:\Users\Ola\AppData\Roaming\9C85.exe C:\Users\Ola\AppData\Roaming\OpenCandy C:\Users\Ola\AppData\Roaming\pdfforge :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Quick Web Access 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Jame5 Opublikowano 28 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2012 2. Przez Panel sterowania odinstaluj: Quick Web Access To jest Vaio. Czy Quick Web Access nie odpowiada za ten przycisk "WEB", który przy wyłączonym komputerze włącza szybko przeglądarke internetową (chyba na Linuksie)? 1. Więc tak, przed postem przeskanowałem jeszcze Anti-Malware. Znalazł jakieś dwie rzeczy, usunąłem je - log w załączniku. 2. Potem wykonałem skrypt w OTL. 3. Pominąłem krok z Quick Web Access bo chcę się upewnić (jw) czy to nie jest związane z oprogramowaniem Sony. 4. Zrobiłem AdwCleaner - log w załączniku. 5. Następnie skan w OTL - log w załączniku. Nie wiem jeszcze co z tym QWA i czy coś jeszcze muszę robić czy jest już "czysto" i mogę się logować. Skype i innych rzeczy nie muszę przeinstalowywać, itd? mbam-log-2012-11-28 (23-25-11).txt AdwCleanerS1.txt OTL_OST.Txt Odnośnik do komentarza
Landuss Opublikowano 29 Listopada 2012 Zgłoś Udostępnij Opublikowano 29 Listopada 2012 W takim razie nie usuwaj QWA, po prostu podejrzanie mi wyglądało i wziąłem to za adware. Skrypt poprawnie wykonany i to by było na tyle z usuwania. Przeinstalowywać nic nie musisz. Wykonaj czynności kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java 6 Update 16 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish Szczegóły aktualizacyjne: KLIK Odnośnik do komentarza
Jame5 Opublikowano 29 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2012 Starałem się zrobić wszystko wg instrukcji. Logi sprzed chwili w załączniku. Czy coś jeszcze muszę zrobić, czy już mogę normalnie używać komputera i wszędzie się logować? Odnośnik do komentarza
Landuss Opublikowano 30 Listopada 2012 Zgłoś Udostępnij Opublikowano 30 Listopada 2012 Nie prosiłem cię o nowe logi, usuwam je z twojego posta bo nie są potrzebne i niczego nowego nie wnoszą. Temat jako rozwiązany zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi