scorpions84 Opublikowano 15 Maja 2013 Zgłoś Udostępnij Opublikowano 15 Maja 2013 Witam Dziś mój windows został zainfekowany, nie mogę nic zrobić na koncie administratora, na szczęście działa drugie konto. Ściągnąłem na nim OTL i zrobiłem szybki scan...zamieszczam w plikach logi. Próbowałem zainstalować combofix ale niestety nie da rady ponieważ program chce przeprowadzić instalację z poziomu administratora. SpyHunter również nie chce się zainstalować, wyskakuje jakiś błąd podczas instalacji. Za pomoc będę bardzo wdzięczny. Pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2013 Zgłoś Udostępnij Opublikowano 16 Maja 2013 nie mogę nic zrobić na koncie administratora, na szczęście działa drugie konto. Ściągnąłem na nim OTL i zrobiłem szybki scan... Skan bezużyteczny i nic nie pokazuje, bo jest skanowane zdrowe konto. Logi muszą być zrobione z poziomu konta na którym jest infekcja. Przenieś OTL do ścieżki neutralnej, czyli zmień lokalizację z C:\Users\Żaneta\Downloads\OTL.exe na C:\OTL.exe. Zastartuj do Trybu awaryjnego z Wierszem polecenia, zaloguj się na konto Scorpions, w linii komend wklep komendę C:\OTL.exe i ENTER. Dostarcz logi. SpyHunter również nie chce się zainstalować, wyskakuje jakiś błąd podczas instalacji. Skaner wątpliwej reputacji. . Odnośnik do komentarza
scorpions84 Opublikowano 16 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2013 Miałem małe problemy z przeniesieniem pliku do głównego katalogu ze względu na dostępy, ale udało się założyć na C: katalog OTL i tam wrzuciłem program. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2013 Zgłoś Udostępnij Opublikowano 16 Maja 2013 1. Będąc zalogowanym na koncie Scorpions uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Files C:\Users\Scorpions\AppData\Roaming\skype.dat C:\Users\Scorpions\AppData\Roaming\skype.ini C:\Users\Scorpions\AppData\Roaming\javavm.exe C:\Users\Scorpions\AppData\Roaming\googleupdates.exe C:\Users\Scorpions\AppData\Roaming\zeuss.exe C:\Users\Scorpions\AppData\Roaming\java updates :OTL FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: File not found IE - HKU\S-1-5-21-1391598657-3817779323-1146527837-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found O3 - HKU\S-1-5-21-1391598657-3817779323-1146527837-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. O4 - Startup: C:\Users\Scorpions\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk = File not found O7 - HKU\S-1-5-21-1391598657-3817779323-1146527837-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. System zostanie odblokowany. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Wyczyść Firefox z adware i starych preferencji: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z wynikami usuwania OTL + log utworzony przez AdwCleaner. . Odnośnik do komentarza
scorpions84 Opublikowano 16 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2013 05162013_175348.log Nie masz uprawnień do wysyłania tego typu plików Musze wkleic recznie zawartosc pliku OTL z usuwania: All processes killed ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell not found. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. ========== FILES ========== File\Folder C:\Users\Scorpions\AppData\Roaming\skype.dat not found. File\Folder C:\Users\Scorpions\AppData\Roaming\skype.ini not found. C:\Users\Scorpions\AppData\Roaming\javavm.exe moved successfully. C:\Users\Scorpions\AppData\Roaming\googleupdates.exe moved successfully. C:\Users\Scorpions\AppData\Roaming\zeuss.exe moved successfully. C:\Users\Scorpions\AppData\Roaming\java updates folder moved successfully. ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin\ deleted successfully. Registry value HKEY_USERS\S-1-5-21-1391598657-3817779323-1146527837-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}\ not found. Registry value HKEY_USERS\S-1-5-21-1391598657-3817779323-1146527837-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C86EB8A9-CCC2-4B6C-B75D-73576ED591BF}\ not found. C:\Users\Scorpions\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk moved successfully. Registry value HKEY_USERS\S-1-5-21-1391598657-3817779323-1146527837-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HideSCAHealth deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: NeroMediaHomeUser.4 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: Scorpions ->Temp folder emptied: 361993 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 28415979 bytes ->Flash cache emptied: 732 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Żaneta ->Temp folder emptied: 724 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 3856283 bytes ->Flash cache emptied: 492 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 31,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 05162013_175348 Files\Folders moved on Reboot... C:\Users\Scorpions\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... OTL.Txt FSS.txt AdwCleanerS3.txt Odnośnik do komentarza
picasso Opublikowano 17 Maja 2013 Zgłoś Udostępnij Opublikowano 17 Maja 2013 Raportu z usuwania OTL nie mogłeś załączyć, gdyż ma rozszerzenie *.LOG. Załączniki akceptują tylko *.TXT. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. Albo skrypt był uruchamiany "na raty", albo infekcję usunąłeś czymś przed jego uruchomieniem, gdyż akurat obiektów infekcji nie widział i nie skasował ("not found"). Ogólnie wszystko wykonane i idziemy dalej: 1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zostały wyłączone usługi Centrum zabezpieczeń + Windows Defender. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender pomijam, gdyż powinien się pojawić program antywirusowy, który przejmie jego rolę. 3. Plik HOSTS nie ma zawartości idealnie zgodnej z Windows 7. Zresetuj plik narzędziem Fix-it: KB972034. 4. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 5. Wyczyść foldery Przywracania systemu: KLIK. 6. Posiadasz już zainstalowany Malwarebytes Anti-malware. Upewnij się, że ma zaktualizowane definicje. Zrób pełny skan. Jeśli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
scorpions84 Opublikowano 17 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2013 Wszystko zrobione, Malwarebytes nie wykazał żadnych zagrożeń. Czyli wszystko już jest wyczyszczone i pozostałości po wirusie nie ma? Odnośnik do komentarza
picasso Opublikowano 17 Maja 2013 Zgłoś Udostępnij Opublikowano 17 Maja 2013 Przecież gdybym widziała jakieś "pozostałości", to byś od razu miał to powiedziane. I odbył się też skan MBAM, który nic nie wykazał. Na zakończenie wykonaj aktualizacje: KLIK. Konkretnie u Ciebie chodzi o te wersje zainstalowanych programów: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit) "Adobe Flash Player ActiveX 64" = Adobe Flash Player 10 ActiveX 64-bit "Office14.PROPLUS" = Microsoft Office Professional Plus 2010 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8 "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl) "Mozilla Thunderbird 17.0.4 (x86 pl)" = Mozilla Thunderbird 17.0.4 (x86 pl) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation) Czyli: Odinstaluj starsze wersje Adobe, wszystkie Java (to m.in. jej luki są przyczyną infekcji) i Silverlight, a jeśli potrzebne zainstaluj najnowsze wersje. Zaktualizuj też produkty Mozilla, Skype i Office 2010 (instalacja SP1). Dodatkowa uwaga poboczna: Gadu-Gadu 10. Program stary i czas z niego zrezygnować. Albo obejrzyj najnowsze GG11 (jest lepsze), albo alternatywne programy (WTW, Kadu, Miranda NG, AQQ): KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi