470a1245.exe

[sally20]

witam,

mimo prób samodzielnej walki z robactwem, nie udało mi się zwyciężyć. Proszę o pomoc.

Extras.Txt

OTL.Txt

[picasso]

1. Odinstaluj zbędny downloader Akamai NetSession Interface.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-1354966880-4038376751-2791873687-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKU\S-1-5-21-1354966880-4038376751-2791873687-1001..\Run: [isdydg] C:\Users\Kamil\AppData\Roaming\Isdydg.exe (Avira GmbH)
[2013/01/21 22:44:40 | 000,000,000 | ---D | C] -- C:\Users\Kamil\AppData\Roaming\DYA_GLRWNJPTKECSRVMPL
[2013/01/21 22:44:40 | 000,000,000 | ---D | C] -- C:\ProgramData\DYA_GLRWNJPTKECSRVMPL
[2011/04/27 21:17:56 | 000,000,000 | ---D | M] -- C:\Users\Kamil\AppData\Roaming\Askom
 
:Files
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Skoryguj domyślne wyszukiwarki Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Search bar"=-
"Secondary Start Pages"=-
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

 

.

[sally20]

Dziękuję. Oto kolejny plik z OTL

OTL2.Txt

[picasso]

Zadania wykonane. Na teraz kolejne akcje:

 

1. Został użyty USBFix i zimmunizowano wszystkie dyski tworząc fałszywe foldery autorun.inf:

 

O32 - AutoRun File - [2013/01/26 17:27:49 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2013/01/26 17:27:49 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]

 

To ma skutki uboczne na Windows 7: KLIK. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej po kolei te komendy (po każdej ENTER):

 

rd /s /q \\?\C:\Autorun.inf

rd /s /q \\?\D:\Autorun.inf

 

2. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie, które skasuje z dysku OTL i jego kwarantannę.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zainstaluj Malwarebytes Anti-Malware. Przy instalacji zostanie zadane pytanie o typ wersji, wybierz darmową a nie próbną (to nie wprowadzi rezydenta, który potencjalnie mógłby kolidować z TrendMicro). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

 

.

[sally20]

co z zainfekowanymi kartami pamięci i pendrive'ami??

MBAM-log-2013-01-30 (00-05-52).txt

[picasso]

MBAM wykrył cracki, nic związanego z problemem zasadniczym.

 

 

co z zainfekowanymi kartami pamięci i pendrive'ami??

 

Dopiero teraz o tym mówisz. Opisz dokładnie problem. Podepnij zainfekowane urządzenia i zrób log USBFix z opcji Listing.

 

 

 

.

[sally20]

Przeniosłem 470a1245exe na pozyczonym pendrive. Po zainfekowaniu komputera, na każdej podłączonej pamięci pojawiały sie skróty folderów. Przeniosłem tez infekcję na drugiego laptopa. Poniżej logi z usbfix.

UsbFix.txt

[picasso]

Tu chyba oglądam urządzenia po czyszczeniu lub nie te urządzenia które były zainfekowane. Nie widzę żadnych objawów tej infekcji na dyskach F, J i K: brak skrótów LNK oraz brak ukrytych folderów przez atrybuty HS. Uściślij, czy problem infekcji nadal gdzieś istnieje.

 

 

 

.

[sally20]

Tak. Używałem wcześniej usbfix, stąd te zimmunizowane dyski. Czy to oznacza, że już nie ma nigdzie infekcji?

[picasso]

Infekcja roznosząca skróty na dyski została już tu usunięta, czyli ten wpis uwzględniony w pierwszym skrypcie OTL:

 

O4 - HKU\S-1-5-21-1354966880-4038376751-2791873687-1001..\Run: [isdydg] C:\Users\Kamil\AppData\Roaming\Isdydg.exe (Avira GmbH)

 

Urządzenia są też wyczyszczone, czyli sprawa usuwania infekcji zamknięta. Odinstaluj USBFix.

 

Na zakończenie wykonaj aktualizacje: KLIK. Tu konkretnie system nie ma SP1, do usunięcia stare wersje Adobe | Java | Silverlight oraz aktualizacja Opery:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.0 MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)
"Opera 11.51.1087" = Opera 11.51

 

I jeszcze widzę dramat Gadu-Gadu 6.1. To taki archaizm i tak słabo zabezpieczony, że strach używać. Nowoczesne komunikatory z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Wszystkie opisy tu: KLIK.

 

 

 

.