Alexoss Opublikowano 2 Lutego 2013 Zgłoś Udostępnij Opublikowano 2 Lutego 2013 Witam ponownie, Xgen-a zdaje się usunął mbam, ale dwa kolejne wracają i chciałbym wszystko wyczyścić. Problemów z systemem wynikających z ich działania na tą chwilę jeszcze nie zauważam. Doklejam logi i proszę o pomoc. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2013 Zgłoś Udostępnij Opublikowano 2 Lutego 2013 "dwa kolejne wracają" = ale pokaż te wyniki, nazwy zagrożeń to za mało, ścieżki dostępu się liczą. W podanych tu raportach brak oznak infekcji. Tylko drobne kosmetyczne działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.selectedEngine: "Facemoods Search" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\jqs@sun.com: C:\Program Files\Java\jre6\lib\deploy\jqs\ff O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) [2011-09-13 13:39:49 | 000,000,435 | ---- | C] () -- C:\Documents and Settings\Piotr\Dane aplikacji\A3687480a [2011-09-13 13:39:49 | 000,000,025 | ---- | C] () -- C:\Documents and Settings\Piotr\Dane aplikacji\a3687442a SRV - File not found [Auto | Stopped] -- -- (CSIScanner) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 2. Odinstaluj sfatygowany Prevx oraz Firefox 3.6.18. . Odnośnik do komentarza
Alexoss Opublikowano 5 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2013 Poniżej wynik z avasta: no i akurat dziś moja stronka którą obsługuję filezillą, złapała JS:Redirector-ACH ale czy to może być przyczyną, bo raczej chyba nie ? Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2013 Zgłoś Udostępnij Opublikowano 5 Lutego 2013 (edytowane) no i akurat dziś moja stronka którą obsługuję filezillą, złapała JS:Redirector-ACH ale czy to może być przyczyną, bo raczej chyba nie ? I sądzę, że to Twoja zainfekowana strona robi wyniki w systemie. Wg Avasta wyniki HTML:Agent-DJ są w Tymczasowych plikach internetowych, czyli wizytowano szkodliwą stronę. Swoją stronę musisz wyczyścić ze złego kodu oraz zmienić wszystkie hasała do FTP. Ten ostatni wynik win32:MalOb-IP to nie wiadomo co to jest i czy prawdziwa infekcja. To rekord z System Volume Information (folder Przywracania systemu), plik ma zmienioną nazwę i jest kopią innego pliku. Wyczyść foldery Przywracania systemu: KLIK. . Edytowane 7 Marca 2013 przez picasso 7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi