Sanch0 Opublikowano 19 Maja 2013 Zgłoś Udostępnij Opublikowano 19 Maja 2013 Znajomy wchodząc na jakąś stronę zainstalował sobie wyżej opisany program. Złośliwy kod wykorzystał prawdopodobnie javę w przeglądarce do instalacji. Nie miałem wcześniej styczności z tą imitacją antywirusa więc załączam logi. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 19 Maja 2013 Zgłoś Udostępnij Opublikowano 19 Maja 2013 Log z GMER zrobiłeś w złych warunkach, przy czynnym sterowniku SPTD emulacji napędów wirtualnych: DRV:64bit: - [2010-02-09 13:32:26 | 000,834,544 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd) Tu nie tylko System Care Antivirus, także podrobiony "SonyAgent" oraz adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [sonyAgent] C:\Windows\Temp\temp74.exe () O4 - HKU\S-1-5-21-3829192350-1106481819-3590728672-1000..\RunOnce: [C89B0CBB1193A1930000C89A4426A76D] C:\ProgramData\C89B0CBB1193A1930000C89A4426A76D\C89B0CBB1193A1930000C89A4426A76D.exe () IE - HKU\S-1-5-21-3829192350-1106481819-3590728672-1000\..\SearchScopes\{134AD8F3-FA96-4CAB-B376-AEEEA763CB00}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2670199 IE - HKU\S-1-5-21-3829192350-1106481819-3590728672-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms} O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-3829192350-1106481819-3590728672-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Files C:\ProgramData\C89B0CBB1193A1930000C89A4426A76D C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus C:\Users\Konrad\Desktop\System Care Antivirus.lnk C:\Users\Konrad\par72eu9azjnk.exe C:\Users\Konrad\1z9mh1ude6psl.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Odinstaluj adware Free Lunch Design TB Toolbar w dwóch miejscach: w Firefox w Dodatkach + przez Panel sterowania. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. . Odnośnik do komentarza
Sanch0 Opublikowano 19 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 19 Maja 2013 Faktycznie zapomnialem o wyłączeniu emulowanych napędów. Załączam nowe logi. AdwCleanerS1.txt 05192013_114032.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Maja 2013 Zgłoś Udostępnij Opublikowano 19 Maja 2013 Wszystko zrobione. Kolejne działania: 1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Usuń narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób dla pewności skan w Malwarebytes Anti-Malware. Jeśli coś znajdzie, przedstaw raport. . Odnośnik do komentarza
Sanch0 Opublikowano 21 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2013 Wszystko działa jak należy. MBAM nic nie znalazł. Wyłączyłem użytkownikowi javę w domyślnej przeglądarce i zaktualizowałem podatny na ataki soft. Dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi