WILOS78 Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Witam Znów zaatakował mnie trojan policyjny pomimo antywirusa AVAST INTERNET SECURITY wersja pełna . DLACZEGO ? ANTYWIRUS wykrywa trojana a za chwile wyskakuje prezydent KOMOROWSKI Proszę o pomoc w usunieciu tego dziadostwa OTL.Txt Extras.Txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Trojan zmodyfikował usługę Winmgmt (Instrumentacja Windows). Należy ją przekierować z powrotem na poprawny plik WMIsvc.dll. Akurat załączenie linii w narzędziu FRST ma wyjątek i resetuje Parameters usługi a nie usuwa usługę, więc od razu przez FRST pójdzie korekta. 1. Otwórz Notatnik i wklej w nim: C:\Users\WILO\*.exe Startup: C:\Users\WILO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\unuuqscgwoknyijugfd.lnk ShortcutTarget: unuuqscgwoknyijugfd.lnk -> C:\Users\WILO\AppData\Local\Temp\dfgujiynkowgcsquunu.bfg (Microsoft Corporation) S2 Winmgmt; C:\PROGRA~2\dfgujiynkowgcsquunu.bfg [x] S2 Update WebConnect; C:\Program Files\WebConnect\updateWebConnect.exe [206632 2013-08-27] (WebConnect) HKCU\...\Run: [NTRedirect] - C:\Users\WILO\AppData\Roaming\BabSolution\Shared\enhancedNT.dll [187888 2013-08-22] () HKCU\...\Runonce: [Del1272765] - cmd.exe /Q /D /c del "C:\Users\WILO\AppData\Local\Temp\0.del" [x] HKLM\...\Runonce: [Del1272765] - cmd.exe /Q /D /c del "C:\Users\WILO\AppData\Local\Temp\0.del" [x] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=74EF0013E824E803&affID=119357&tsp=4989 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=74EF0013E824E803&affID=119357&tsp=4989 BHO: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files\WebConnect\WebConnectbho.dll (Web Connect) BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com) CHR HKLM\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\WILO\AppData\Roaming\BabSolution\CR\Delta.crx CHR HKLM\...\Chrome\Extension: [ieakfmpjhljbpbfpldjkddkjmmgjmgon] - C:\Program Files\WebConnect\ieakfmpjhljbpbfpldjkddkjmmgjmgon.crx CHR HKLM\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files\vShare.tv plugin\vshareplg.crx Task: {40A07398-57BB-41A8-B9F2-C9AC3BA19DCC} - System32\Tasks\{42AFD9EF-69E3-4295-8F47-8FB58A54A84F} => C:\Users\WILO\Desktop\USBXTAFGUI_v44.exe No File Task: {42B9B2AF-792A-469F-96E4-2DFE6E2B066A} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files\e-file\e-pity2012\signxml.exe No File Task: {59610701-B2AE-47DE-B703-DDFD7A7A5031} - System32\Tasks\e-pity2012_styczen => C:\Program Files\e-file\e-pity2012\signxml.exe No File Task: {AC854DCB-A104-46ED-922E-CBA990B14833} - System32\Tasks\{2E477E0B-3AC3-4CCD-BC51-E0D8EAC29093} => C:\Users\WILO\Desktop\USBXTAFGUI_v44.exe No File C:\Users\WILO\Downloads\DownloadManagerSetup.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system i wejdź w Tryb normalny. Odinstaluj adware: - Przez Panel sterowania: Delta Chrome Toolbar, Delta toolbar, MiPony 2.0.2, Mipony Download Manager Packages, Update for Mipony Download Manager, WebConnect 3.0.0 - Google Chrome: ustaw "Po uruchomieniu" na "Otwórz stronę nowej karty", w Rozszerzeniach odinstaluj vshare plugin. 3. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (ma powstać po raz kolejny plik Addition). Dołącz fixlog.txt oraz log AdwCleaner. . Odnośnik do komentarza
WILOS78 Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Witaj Picasso Dziękuję za pomoc w załączeniu logi po czyszczeniu. PS: Dlaczego Avast przepuścił tego trojana pomimo informacji że go wykrył. Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2013 Nie podałeś mi głównego nowego skanu FRST. PS: Dlaczego Avast przepuścił tego trojana pomimo informacji że go wykrył. Nie wiem, ale antywirus to nie wszystko i jest dużo czynników dlaczego infekcja w piewszej kolejności w ogóle była możliwa. W tym zakresie jest nieaktualizowane oprogramowanie. Tu u Ciebie zwraca uwagę m.in. sfatygowana Java. Jednakże aktualizacje oprogramowania zawsze wdrażam na końcu, gdy czyszczenie systemu zostanie ukończone. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się