de4r Opublikowano 7 Lipca 2013 Zgłoś Udostępnij Opublikowano 7 Lipca 2013 Witaj, Pobrałem dzisaij uTorrenta gdzie była opcja instalacji V9 - odznaczyłem, pomimo to i tak zostalo zainstalowane. Przegladarka V9 pojawiała sie na stronach startowychw Firefoxie, Cgrome i IE. Zmieniłem strone głowna oraz we właściwosciach skrótu Element docelowy. Myślałem ze pozbyłem sie jej, lecz jak sei okazało przegladarki działaja strasznie powolnie. Znacznie zwiekszył mi sei ping oraz rozłacza mi rozmowy na Skype. Oto logi z OTL i GMER: Edit: Przedchwilą wystapił Blue Screen. Skype zaczął działać normalnie. Edit2: Aktualnie wyszystko działa tak jak powinno, mimo tego nadal chcę aby te logi były sprawdzone. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2013 Zgłoś Udostępnij Opublikowano 9 Lipca 2013 Zmieniłem strone głowna oraz we właściwosciach skrótu Element docelowy. Nie wszystko od v9 usunąłeś, konfiguracja IE jest nadal zmanipulowana. Poza tym, w systemie ładuje się trojan kradnący hasła, wpis konsoli Java w starcie i powiązane pliki JAR: O4 - HKU\S-1-5-21-4120719057-1652689158-3555372742-1000..\Run: [Oracle Java] C:\Windows\SysWow64\javaw.exe (Oracle Corporation) [2013-05-02 06:53:35 | 001,335,014 | ---- | C] () -- C:\Users\Michał\AppData\Roaming\sqlite.jar [2013-05-02 06:53:31 | 000,803,999 | ---- | C] () -- C:\Users\Michał\AppData\Roaming\java_u.jar 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Oracle Java"=- [HKEY_CURRENT_USER\Software\mozilla\Firefox\Extensions] "support@mozilla.com"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" :Files C:\Users\Michał\AppData\Roaming\sqlite.jar C:\Users\Michał\AppData\Roaming\java_u.jar C:\Users\Michał\AppData\Roaming\Chrome_manager C:\Users\Michał\AppData\Roaming\eIntaller C:\Users\Michał\AppData\Roaming\support@mozilla.com C:\ProgramData\eSafe :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHD322HJ_S17AJ9AQ417887&ts=1373224995 IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://en.v9.com/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHD322HJ_S17AJ9AQ417887&ts=1373224995 IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHD322HJ_S17AJ9AQ417887&ts=4325442 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHD322HJ_S17AJ9AQ417887&ts=1373224995 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://en.v9.com/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHD322HJ_S17AJ9AQ417887&ts=1373224995 IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHD322HJ_S17AJ9AQ417887&ts=4325442 IE - HKU\S-1-5-21-4120719057-1652689158-3555372742-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHD322HJ_S17AJ9AQ417887&ts=4325442 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
de4r Opublikowano 9 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2013 Wszystko wykonane. Oto logi : OTL.Txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2013 Zgłoś Udostępnij Opublikowano 11 Lipca 2013 Akcje pomyślnie wykonane. Zadania końcowe: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Odinstaluj Tibia MULTI-ip changer. Jest to podejrzany element, te trojany tu zanotowane pochodzą właśnie z lewych paczek Tibia. 3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. W związku z obecnością trojana parającego się kradzieżą haseł, zmień we wszystkich serwisach hasła logowania. 6. Usuń stare wersje Adobe i Java, zaktualizuj pakiet Office 2007 (instalacja SP3) oraz cały Windows (instalacja SP1 + IE10 + reszty łat): KLIK. Wg raportu są tu zainstalowane: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417015FF}" = Java 7 Update 15 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217013FF}" = Java 7 Update 13 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "ENTERPRISE" = Microsoft Office Enterprise 2007 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll () . Odnośnik do komentarza
de4r Opublikowano 11 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2013 Wszystko wykonane zgodnie z instrukcjami. Dziękuje za fachowa pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi