kaadam Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Czytałem inne posty o tym wirusie i ręcznie go usunąłem. Potem użyłem MalwareBytes Anti-Malware. Nie wiem czy wszystko usunąłem, proszę o pomoc. Przesyłam logi OTL. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Infekcja owszem usunięta, ale jeszcze należy usunąć szczątki adware i wpisy puste: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0FyE0E0CtAzz0D0B0AtByEzztC0DtD0BtN0D0Tzu0CtBtAzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1822808071" IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0FyE0E0CtAzz0D0B0AtByEzztC0DtD0BtN0D0Tzu0CtBtAzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1822808071" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0FyE0E0CtAzz0D0B0AtByEzztC0DtD0BtN0D0Tzu0CtBtAzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1822808071" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4412_2&babsrc=SP_ss&mntrId=bc6f1d0b000000000000f4ec38dba248" IE - HKCU\..\SearchScopes\{473CEAA7-C4DD-63D2-219C-3EF790752A05}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_6&babsrc=SP_ss&mntrId=bc6f1d0b000000000000f4ec38dba248" IE - HKCU\..\URLSearchHook: {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - No CLSID value found O2 - BHO: (no name) - {68DD98BF-9DE8-418C-89F0-E37AC61CC2D9} - No CLSID value found. O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files (x86)\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr File not found O4 - Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Privoxy.lnk = File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.) O20 - AppInit_DLLs: (c:\progra~3\browse~1\23796~1.11\{16cdf~1\browse~1.dll) - File not found [2012-08-25 23:10:24 | 000,384,844 | ---- | C] () -- C:\Users\admin\AppData\Local\funmoods-speeddial.crx :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- "bProtectorDefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
kaadam Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Przesylam logi. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 1. Coś nie wygląda byś wykonał to: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. AdwCleaner nie miał prawa nic znaleźć w preferencjach po wykonaniu tego procesu... 2. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. W Dzienniku zdarzeń masz błąd WMI numer 10. Napraw: KLIK. 5. Wyczyść foldery Przywracania systemu: KLIK. 6. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie posiadasz wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Polish"Mozilla Firefox 17.0 (x86 pl)" = Mozilla Firefox 17.0 (x86 pl)"Mozilla Thunderbird (6.0.2)" = Mozilla Thunderbird (6.0.2) PS. Gadu-Gadu 10 jest tu. Starawy, ciężki i nieużytkowy. Oglądnij alternatywy: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
kaadam Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Zaraz po kolei robię co mi napisałeś. Mam pytanie. Czy czyszczenie miało wpływ na to, że po wejściu do Panelu Sterowania - Programy i funkcje połowa programów ma datę aktualizacji dzisiejszą - a nic nie robiłem? Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Ad "napisałeś" = jestem kobietą. Co do dat modyfikacji, to trudno mi stwierdzić skąd objaw, bo robione tu czyszczenie nie powinno zmienić tych danych... . Odnośnik do komentarza
kaadam Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Wielkie dzięki Picasso. Dziękuję za pomoc. Mam nadzieję, że system jest już czysty. Odnośnik do komentarza
kaadam Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Już dziś pisałem, miałem wirusa i pomógł mi Picasso. CIągle nie daje mi spokoju czy aby wszystko zostało usunięte. Włączyłem netsat i pełno otwartych połączeń przy wyłączonych wszystkich aplikacjach. Czy to normalne? Załączam zrzut z netstata. Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Temat doklejam do poprzedniego. Jak mówiłam: infekcja usunięta. A o co Ci chodzi z netstat, nie wiadomo (pokaż przykłady). W netstat normalną rzeczą jest duża liczba połączeń np. podczas otwartej przeglądarki, w systemie działa też multum usług które mają predyspozycje sieciowe i kolejne rekordy do zestawu wchodzą. Dla przykładu z mojego systemu: Microsoft Windows [Wersja 6.1.7601]Copyright © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. C:\Windows\system32>netstat -ano Aktywne połączenia Protokół Adres lokalny Obcy adres Stan PID TCP 0.0.0.0:135 0.0.0.0:0 NASŁUCHIWANIE 760 TCP 0.0.0.0:445 0.0.0.0:0 NASŁUCHIWANIE 4 TCP 0.0.0.0:554 0.0.0.0:0 NASŁUCHIWANIE 2996 TCP 0.0.0.0:902 0.0.0.0:0 NASŁUCHIWANIE 1716 TCP 0.0.0.0:912 0.0.0.0:0 NASŁUCHIWANIE 1716 TCP 0.0.0.0:2869 0.0.0.0:0 NASŁUCHIWANIE 4 TCP 0.0.0.0:5357 0.0.0.0:0 NASŁUCHIWANIE 4 TCP 0.0.0.0:10243 0.0.0.0:0 NASŁUCHIWANIE 4 TCP 0.0.0.0:49152 0.0.0.0:0 NASŁUCHIWANIE 464 TCP 0.0.0.0:49153 0.0.0.0:0 NASŁUCHIWANIE 908 TCP 0.0.0.0:49154 0.0.0.0:0 NASŁUCHIWANIE 1004 TCP 0.0.0.0:49155 0.0.0.0:0 NASŁUCHIWANIE 556 TCP 0.0.0.0:49156 0.0.0.0:0 NASŁUCHIWANIE 572 TCP 127.0.0.1:49157 127.0.0.1:49158 USTANOWIONO 2384 TCP 127.0.0.1:49158 127.0.0.1:49157 USTANOWIONO 2384 TCP 127.0.0.1:49209 127.0.0.1:49210 USTANOWIONO 3916 TCP 127.0.0.1:49210 127.0.0.1:49209 USTANOWIONO 3916 TCP 127.0.0.1:49352 127.0.0.1:49353 USTANOWIONO 3916 TCP 127.0.0.1:49353 127.0.0.1:49352 USTANOWIONO 3916 TCP 127.0.0.1:51584 127.0.0.1:51585 USTANOWIONO 2796 TCP 127.0.0.1:51585 127.0.0.1:51584 USTANOWIONO 2796 TCP 127.0.0.1:56177 127.0.0.1:56178 CZAS_OCZEKIWANIA 0 TCP 127.0.0.1:58676 127.0.0.1:58677 USTANOWIONO 348 TCP 127.0.0.1:58677 127.0.0.1:58676 USTANOWIONO 348 TCP 192.168.56.1:139 0.0.0.0:0 NASŁUCHIWANIE 4 TCP 192.168.72.1:139 0.0.0.0:0 NASŁUCHIWANIE 4 TCP 192.168.124.1:139 0.0.0.0:0 NASŁUCHIWANIE 4 TCP 192.168.178.11:139 0.0.0.0:0 NASŁUCHIWANIE 4 TCP 192.168.178.11:56157 173.194.65.102:443 USTANOWIONO 3916 TCP 192.168.178.11:56173 173.194.65.95:80 CZAS_OCZEKIWANIA 0 TCP 192.168.178.11:56174 173.194.65.102:443 USTANOWIONO 3916 TCP 192.168.178.11:56175 85.17.248.242:80 USTANOWIONO 3916 TCP [::]:135 [::]:0 NASŁUCHIWANIE 760 TCP [::]:445 [::]:0 NASŁUCHIWANIE 4 TCP [::]:554 [::]:0 NASŁUCHIWANIE 2996 TCP [::]:2869 [::]:0 NASŁUCHIWANIE 4 TCP [::]:3587 [::]:0 NASŁUCHIWANIE 3332 TCP [::]:5357 [::]:0 NASŁUCHIWANIE 4 TCP [::]:10243 [::]:0 NASŁUCHIWANIE 4 TCP [::]:49152 [::]:0 NASŁUCHIWANIE 464 TCP [::]:49153 [::]:0 NASŁUCHIWANIE 908 TCP [::]:49154 [::]:0 NASŁUCHIWANIE 1004 TCP [::]:49155 [::]:0 NASŁUCHIWANIE 556 TCP [::]:49156 [::]:0 NASŁUCHIWANIE 572 UDP 0.0.0.0:3702 *:* 1560 UDP 0.0.0.0:3702 *:* 1184 UDP 0.0.0.0:3702 *:* 1560 UDP 0.0.0.0:3702 *:* 1184 UDP 0.0.0.0:5004 *:* 2996 UDP 0.0.0.0:5005 *:* 2996 UDP 0.0.0.0:5355 *:* 1280 UDP 0.0.0.0:59625 *:* 1560 UDP 0.0.0.0:59832 *:* 1184 UDP 0.0.0.0:64573 *:* 1184 UDP 127.0.0.1:1900 *:* 1560 UDP 127.0.0.1:54832 *:* 1560 UDP 192.168.56.1:137 *:* 4 UDP 192.168.56.1:138 *:* 4 UDP 192.168.56.1:1900 *:* 1560 UDP 192.168.56.1:54831 *:* 1560 UDP 192.168.72.1:137 *:* 4 UDP 192.168.72.1:138 *:* 4 UDP 192.168.72.1:1900 *:* 1560 UDP 192.168.72.1:54829 *:* 1560 UDP 192.168.124.1:137 *:* 4 UDP 192.168.124.1:138 *:* 4 UDP 192.168.124.1:1900 *:* 1560 UDP 192.168.124.1:54830 *:* 1560 UDP 192.168.178.11:137 *:* 4 UDP 192.168.178.11:138 *:* 4 UDP 192.168.178.11:1900 *:* 1560 UDP 192.168.178.11:54828 *:* 1560 UDP [::]:3540 *:* 3332 UDP [::]:3702 *:* 1184 UDP [::]:3702 *:* 1184 UDP [::]:3702 *:* 1560 UDP [::]:3702 *:* 1560 UDP [::]:5004 *:* 2996 UDP [::]:5005 *:* 2996 UDP [::]:5355 *:* 1280 UDP [::]:59626 *:* 1560 UDP [::]:59833 *:* 1184 UDP [::]:64574 *:* 1184 UDP [::1]:1900 *:* 1560 UDP [::1]:54827 *:* 1560 UDP [fe80::2163:2550:50b2:79c0%28]:1900 *:* 1560 UDP [fe80::2163:2550:50b2:79c0%28]:54826 *:* 1560 UDP [fe80::4858:69ff:5cbf:51a2%16]:546 *:* 908 UDP [fe80::4858:69ff:5cbf:51a2%16]:1900 *:* 1560 UDP [fe80::4858:69ff:5cbf:51a2%16]:54823 *:* 1560 UDP [fe80::6571:d088:edd8:be09%20]:546 *:* 908 UDP [fe80::6571:d088:edd8:be09%20]:1900 *:* 1560 UDP [fe80::6571:d088:edd8:be09%20]:54824 *:* 1560 UDP [fe80::689d:54bf:721a:617a%21]:1900 *:* 1560 UDP [fe80::689d:54bf:721a:617a%21]:54825 *:* 1560 C:\Windows\system32> . Odnośnik do komentarza
kaadam Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Jeszcze raz dziękuję za pomoc Picasso. Przeglądam forum i jest pod wrażeniem ile mega pracy wykonujecie i pomagacie internautom. Wielki szacunek. Jakie Ty Picasso polecasz oprogramowanie aby na przyszłość zabezpieczyć się przed taką infekcją? Przepraszam jeśli już jest gdzieś odpowiedź na forum na to pytanie, ewentualie podlinkuj mi. KIlka miesięcy temu wyinstalowałem ESET NOD32 i to był chyba błąd. Poleć coś komercyjnego i freewarowego. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Wg raportów aktualnie masz już program ESET NOD32 Antivirus i OK. Rozważ dorzucenie całkiem innego typu ochrony, czyli izolacje wirtualne takie jak: SandBoxie czy GeSWall Freeware. . Odnośnik do komentarza
Rekomendowane odpowiedzi