Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Przekierowania z wyszukiwarki Google, ukash + wyłączone Centrum zabezpieczeń

mabenek

Przez mabenek
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

mabenek

mabenek

Opublikowano
Opublikowano

witam

szukam pomocy bo jak widze z forum sam nie poradze

od 2 tygodni przekierowuje mi wyniki wyszukiwania w google na dziwne strony - niezbyt czesto bo mniej wiecej raz na kilkanascie prob ale ewidentnie oprocz mnie i windy jest ktos jeszcze. widze tez ze pomimo recznego wlaczania centrum zabezpieczen poprzez services.msc usluga za kazdym razem natychmiast jest wylaczana, podobnie microsoft antimalware

wczoraj doszla jeszcze blokada ukash - te udalo sie (na razie?) usunac za pomoca combofix - wiem juz z forum ze az taki zamach nie byl potrzebny, przyjmuje skruche. niestety zanim doczytalem usunalem logi z combofixa

obecnosc stpd i innych sterownikow emulacji napedow spradzalem - brak, dolaczam logi z otl i gmer

 

dzieki za pomoc, pzdr

pawel

Extras.Txt

gmer.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Infekcja, która przekierowuje wyniki Google i wyłącza Centrum, składa się z tych dwóch plików:

 

[2013-02-15 14:25:28 | 000,090,112 | RHS- | C] () -- C:\WINDOWS\System32\lanman6.dll
[2013-02-15 14:25:28 | 000,000,300 | ---- | C] () -- C:\WINDOWS\tasks\EUKZEWMYK.job

 

A ComboFix wcale nie wyczyścił infekcji UKASH do końca, na dysku ciągle pliki udające "Skype".

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\lanman6.dll
C:\WINDOWS\tasks\EUKZEWMYK.job
C:\Documents and Settings\Paweł\Dane aplikacji\skype.dat
C:\Documents and Settings\Paweł\Dane aplikacji\skype.ini
C:\Documents and Settings\Paweł\Doctor Web
C:\Documents and Settings\All Users\Dane aplikacji\PC Tools
C:\Program Files\Common Files\PC Tools
C:\Program Files\PC Tools
C:\WINDOWS\System32\drivers\PCTSD.sys
 
:OTL
IE - HKCU\..\SearchScopes\{61F0DD1B-6051-4689-B103-0803F63A6FAB}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=302398&p={searchTerms}"
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre1.6.0_20\bin\jp2ssv.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} "https://merlin.merlinx.pl/iris_plus/jinstall-1_5_0_04-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ANDROIDUSB.sys -- (HTCAND32)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Wyczyść Firefox ze starych naleciałości po aktualizacjach i martwych preferencji: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie narusza zakładek + haseł, ale będziesz musiał przeinstalować używane rozszerzenia / skórki.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Drobna poprawka na odpadkowe wpisy Java w Firefox (na liście zainstalowanych brak pozycji Java). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre1.6.0_20\bin\new_plugin\npjp2.dll File not found

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Adobe Reader oraz sprawdź czy Foxit najnowszy: KLIK.

 

PS. I jeszcze widać tu GG10. Zainteresuj się albo najnowszym GG11 (jest nieco lepiej), albo alternatywnymi programami (WTW, Kadu, Miranda NG, AQQ). Opisy: KLIK.

 

 

czy ten typ infekcji moze sie rozprzestrzeniac na inne komp w LAN ?

 

Nie. I nie sugeruj się nazwą pliku "lanman6.dll". Ta infekcja tworzy losowe pliki (u każdego inny zestaw nazw), a "lanman" ma tu tylko sugerować, że plik jest prawidłowy.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...