Dziwne skanowanie...

kontestator · 12 Kwietnia 2013

podczas pracy wyskakuje mi takie okienko jak na screenie poniżej, jakieś dziwne skanowanie...

w załączeniu skany z otl

pomóżcie proszę

pozdrawiam

Marcin

OTL.Txt

Extras.Txt

picasso · 18 Kwietnia 2013

Log z OTL zrobiony na złym ustawieniu, opcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. Nie został dostarczony obowiązkowy log z GMER. Obrazek nieczytelny, nie wiadomo co jest w oknie CMD.

Na razie to widzę: szczątki infekcji, tajemnicze zadania At*.job oraz adware. Ponadto, jest tu dziwna świeżo utworzona usługa"BannerBlocker2" i wszystkie poniżej zakreślone pliki to wspólne źródło (KLIK).

SRV - [2013-04-11 11:04:58 | 000,159,744 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\adblock.exe -- (BannerBlocker2)
 

[2013-04-11 11:04:58 | 000,159,744 | ---- | M] () -- C:\WINDOWS\System32\adblock.exe

[2013-04-05 12:26:42 | 000,528,398 | ---- | M] () -- C:\WINDOWS\System32\adnav.exe

[2013-04-05 12:26:42 | 000,192,512 | ---- | M] () -- C:\WINDOWS\System32\libidn-11.dll

[2013-04-05 12:26:42 | 000,170,496 | ---- | M] (The libssh2 library, http://www.libssh2.org/) -- C:\WINDOWS\System32\libssh2.dll

[2013-04-05 12:26:42 | 000,133,632 | ---- | M] () -- C:\WINDOWS\System32\librtmp.dll

[2013-04-05 12:26:42 | 000,110,094 | ---- | M] (libusb.org) -- C:\WINDOWS\System32\libusb-1.0.dll

[2013-04-05 12:26:42 | 000,044,727 | ---- | M] () -- C:\WINDOWS\System32\diablo130302.cl

[2013-04-05 12:26:42 | 000,043,810 | ---- | M] () -- C:\WINDOWS\System32\poclbm130302.cl

[2013-04-05 12:26:42 | 000,030,802 | ---- | M] () -- C:\WINDOWS\System32\diakgcn121016.cl

[2013-04-05 12:26:42 | 000,023,811 | ---- | M] () -- C:\WINDOWS\System32\scrypt130302.cl

[2013-04-05 12:26:42 | 000,013,062 | ---- | M] () -- C:\WINDOWS\System32\phatk121016.cl

 

[2013-04-12 10:05:44 | 001,064,960 | ---- | C] (The OpenSSL Project, http://www.openssl.org/) -- C:\WINDOWS\System32\libeay32.dll

[2013-04-12 10:05:44 | 000,200,704 | ---- | C] (The OpenSSL Project, http://www.openssl.org/) -- C:\WINDOWS\System32\ssleay32.dll

[2013-04-12 10:05:44 | 000,176,128 | ---- | C] (The cURL library, http://curl.haxx.se/) -- C:\WINDOWS\System32\libcurl.dll

[2013-04-12 10:05:44 | 000,170,496 | ---- | C] (The libssh2 library, http://www.libssh2.org/) -- C:\WINDOWS\System32\libssh2.dll

[2013-04-12 10:05:44 | 000,110,094 | ---- | C] (libusb.org) -- C:\WINDOWS\System32\libusb-1.0.dll

[2013-04-12 10:05:44 | 000,069,827 | ---- | C] (Open Source Software community project) -- C:\WINDOWS\System32\libpthread-2.dll

[2013-04-12 10:05:44 | 000,060,273 | ---- | C] (Open Source Software community project) -- C:\WINDOWS\System32\pthreadGC2.dll
 

[2013-04-12 10:05:44 | 000,318,019 | ---- | C] () -- C:\WINDOWS\System32\libcurl-4.dll

[2013-04-12 10:05:44 | 000,304,845 | ---- | C] () -- C:\WINDOWS\System32\adstop.exe

[2013-04-12 10:05:44 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\libidn-11.dll

[2013-04-12 10:05:44 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\adblock.exe

[2013-04-12 10:05:44 | 000,133,632 | ---- | C] () -- C:\WINDOWS\System32\librtmp.dll

[2013-04-12 10:05:44 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\zlib1.dll

[2013-04-12 10:05:44 | 000,044,727 | ---- | C] () -- C:\WINDOWS\System32\diablo130302.cl

[2013-04-12 10:05:44 | 000,043,810 | ---- | C] () -- C:\WINDOWS\System32\poclbm130302.cl

[2013-04-12 10:05:44 | 000,043,008 | ---- | C] () -- C:\WINDOWS\System32\libgcc_s_dw2-1.dll

[2013-04-12 10:05:44 | 000,030,802 | ---- | C] () -- C:\WINDOWS\System32\diakgcn121016.cl

[2013-04-12 10:05:44 | 000,023,811 | ---- | C] () -- C:\WINDOWS\System32\scrypt130302.cl

[2013-04-12 10:05:44 | 000,013,062 | ---- | C] () -- C:\WINDOWS\System32\phatk121016.cl

[2013-04-12 10:05:44 | 000,011,362 | ---- | C] () -- C:\WINDOWS\System32\mingwm10.dll

Nie wiem co to jest, ale wygląda podejrzanie i będę usuwać.

1. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, opcjonalnie możesz też usunąć Bing Bar. Otwórz Google Chrome, wejdź do ustawień i zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń Search the web (Babylon) z listy.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-1275210071-1770027372-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=050412_30b&babsrc=SP_ss&mntrId=9c5d66fe00000000000000223ffd4007
SRV - [2013-04-11 11:04:58 | 000,159,744 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\adblock.exe -- (BannerBlocker2)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake)
 
:Files
C:\Documents and Settings\geober\Dane aplikacji\Boduu
C:\Documents and Settings\geober\Dane aplikacji\Byoq
C:\Documents and Settings\geober\Dane aplikacji\Laevo
C:\Documents and Settings\geober\Dane aplikacji\Oski
C:\Documents and Settings\geober\Dane aplikacji\Ozvuo
C:\Documents and Settings\geober\Dane aplikacji\Ripoku
C:\Documents and Settings\geober\Dane aplikacji\Tuqu
C:\Documents and Settings\geober\Dane aplikacji\Urfyyz
C:\Documents and Settings\geober\Dane aplikacji\Ylrik
C:\WINDOWS\tasks\At*.job
C:\WINDOWS\System32\adnav.exe
C:\WINDOWS\System32\adstop.exe
C:\WINDOWS\System32\libgcc_s_dw2-1.dll
C:\WINDOWS\System32\libcurl.dll
C:\WINDOWS\System32\libcurl-4.dll
C:\WINDOWS\System32\libeay32.dll
C:\WINDOWS\System32\libidn-11.dll
C:\WINDOWS\System32\libpthread-2.dll
C:\WINDOWS\System32\libssh2.dll
C:\WINDOWS\System32\librtmp.dll
C:\WINDOWS\System32\libusb-1.0.dll
C:\WINDOWS\System32\mingwm10.dll
C:\WINDOWS\System32\pthreadGC2.dll
C:\WINDOWS\System32\ssleay32.dll
C:\WINDOWS\System32\zlib1.dll
C:\WINDOWS\System32\diablo130302.cl
C:\WINDOWS\System32\poclbm130302.cl
C:\WINDOWS\System32\diakgcn121016.cl
C:\WINDOWS\System32\scrypt130302.cl
C:\WINDOWS\System32\phatk121016.cl
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\explorer.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i zaległy GMER. By GMER prawidłowo się uruchomił, należy usunąć programy emulacyjne i sterownik SPTD wg instrukcji: KLIK.

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (asred20r)
DRV - [2012-04-12 13:59:30 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

Dołącz też log utworzony przez AdwCleaner oraz czytelny fragment co widać w tym oknie CMD (o ile nadal to będzie wyskakiwać).

.

Edytowane 18 Maja 2013 przez picasso
18.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Dziwne skanowanie...

Rekomendowane odpowiedzi

kontestator

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność