OjcieC74 Opublikowano 17 Września 2013 Zgłoś Udostępnij Opublikowano 17 Września 2013 Witam, skanując komputer pojawia mi się informacja, iż jest zarażony przez Win32 BProtekt-A ilość wirusów trzy. Pomoże ktoś rozwiązać mój problem? Logi: http://www.wklej.org/id/1131994/ OTL http://www.wklej.org/id/1131995/ EXTRAS http://www.wklej.org/id/1132015/ FRST http://www.wklej.org/id/1132011/ Addition Odnośnik do komentarza
picasso Opublikowano 17 Września 2013 Zgłoś Udostępnij Opublikowano 17 Września 2013 Posty sklejam, tak by temat wyglądał jak należy. Nie podałeś gdzie jest widziany "Win32 BProtekt-A" (w jakiej ścieżce dostępu). Uzupełnij tę informację. W raportach nie widzę nic dopasowanego, są tylko drobne resztki adware. Dodam, że adware Delta Toolbar + BrowserDefender jest charakterystyczne dla dobrychprogramów.pl i "Asystenta pobierania", który pakuje gnojowisko w system. Na teraz przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [ROC_roc_ssl_v12] - "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 [x] HKLM-x32\...\Run: [ROC_ROC_NT] - "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT [x] HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={54A1D414-A489-4615-ABFC-D64ADEAAD323}&mid=c126844db6a74417a613f2b0635575cf-6dbab0a18b68cb1e36055466b1a16c52be46746d&lang=pl&ds=ik011&pr=&d=2012-10-26 06:12:08&v=13.2.0.4&sap=dsp&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&tt=120613_ndt&babsrc=SP_ss&mntrId=F24FB4749F834D2A SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={54A1D414-A489-4615-ABFC-D64ADEAAD323}&mid=c126844db6a74417a613f2b0635575cf-6dbab0a18b68cb1e36055466b1a16c52be46746d&lang=pl&ds=ik011&pr=&d=2012-10-26 06:12:08&v=13.2.0.4&sap=dsp&q={searchTerms} SearchScopes: HKCU - {E0887DC3-104E-47B5-AF46-1B02182C1F4E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^YYYYYY^YY^PL&apn_uid=E172ADE7-83A9-4002-9D49-D9669F269B76&apn_sauid=303CD1C9-4F36-4CC2-BBD8-F6B5C621E9F2 Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml Task: {72EF921F-2EF8-447E-BD9B-BE9E16394304} - System32\Tasks\{9672B9BD-D240-40A7-9A09-5F920A3824D4} => Chrome.exe Task: {AAF5B0F5-4DBF-40CB-8107-19FA5F53CB3D} - System32\Tasks\{B1C4895A-2633-4BC2-BFB5-BEDC4D77FBD2} => Firefox.exe Task: {CC831C08-02BF-4940-9E01-C6AB26843068} - System32\Tasks\{30E090C8-7223-4CE2-A6F8-02BB651CEC91} => Chrome.exe Task: {F5BCF784-FFCF-4836-8927-EFBFCDFBCDF3} - System32\Tasks\{80E94084-74F3-4169-BBFA-51E71F63E2AC} => Chrome.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
OjcieC74 Opublikowano 17 Września 2013 Autor Zgłoś Udostępnij Opublikowano 17 Września 2013 A wiec tak : wirus był na dysku C , ścieżki nie pamiętam ponieważ był skanowany avastem przed uruchomieniem komputera tylko zapisałem sobie co to za wirus . FRST http://www.wklej.org/id/1132050/ Fixlog http://www.wklej.org/id/1132051/ AdwCleaner http://www.wklej.org/id/1132055/ Odnośnik do komentarza
picasso Opublikowano 17 Września 2013 Zgłoś Udostępnij Opublikowano 17 Września 2013 Akcje wykonane, zanim zadam czynności końcowe: A wiec tak : wirus był na dysku C , ścieżki nie pamiętam ponieważ był skanowany avastem przed uruchomieniem komputera tylko zapisałem sobie co to za wirus . To nic mi nie mówi, nawet nie można potwierdzić co to faktycznie było. Najważniejsza jest ścieżka dostępu (pełna aż do pliku docelowego), a nie nazwa zagrożenia. Wejdź do Dzienników Avast i sprawdź czy nagrał się ten rekord. Na razie mogę tylko tyle powiedzieć: Nazwa Win32:BProtect-A sugeruje, że to żaden wirus tylko reklamodawcze adware i pasuje to wspominane przeze mnie, czyli: załadowane prawdopodobnie przez "Asystent pobierania" dobrychprogramów lub inny portal stosujący "download wrapper". Jak mówiłam, asystent instaluje Delta Toolbar (u Ciebie ewidentne znaki obecności) z "protectorem" ustawień, tenże "protector" może mieć różne nazwy: Browser Protect, Browser Defender, ostatnio zaś BitGuard. AdwCleaner czyścił szczątki "protectora": ***** [ Browsers ] ***** -\\ Internet Explorer v8.0.7600.17267 Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls [bProtectTabs] I coś mało owych szczątków, co sugeruje, że to jakaś stara niedokończona kiedyś tam sprawa. . Odnośnik do komentarza
OjcieC74 Opublikowano 18 Września 2013 Autor Zgłoś Udostępnij Opublikowano 18 Września 2013 Witam serdecznie , w dzienniku skanowania - wygląda to tak http://files.tinypic.pl/i/00447/gre8rdl4yqyx.png Poziom zagrożenia niski - z kolei te trzy zagrożenia które wyskakiwały mi kilka razy z rzędu troszkę mnie przestraszyły - nie wiem na ile ten poziom jest ważny dopiero teraz widzę w dzienniku że jest niski a dwa z nich niby się naprawiły - choć wyskakiwały za każdym razem w trakcie skanowania . Odnośnik do komentarza
picasso Opublikowano 18 Września 2013 Zgłoś Udostępnij Opublikowano 18 Września 2013 Przesuń suwakiem na obrazku, by te "kropki" zostały rozwinięte i pełna ścieżka była widoczna, lub przeklej te wyniki z raportu wprost do posta w postaci tekstowej. Odnośnik do komentarza
OjcieC74 Opublikowano 18 Września 2013 Autor Zgłoś Udostępnij Opublikowano 18 Września 2013 http://pics.tinypic.pl/i/00447/1ez035sdlukw.png http://pics.tinypic.pl/i/00447/23v2fw69tjdv.png http://pics.tinypic.pl/i/00447/sbtdy604sk20.png Odnośnik do komentarza
picasso Opublikowano 18 Września 2013 Zgłoś Udostępnij Opublikowano 18 Września 2013 Nie ma troski. Wygląda na to, że omyłkowo pobierałeś coś, co miało doczepione adware. To wyniki z Tymczasowych plików Internetowych (lokalizacja i tak adresowana przez zastosowany TFC), a dokładniej z wnętrza archiwum pack.7z. Tu masz wyciągi z sandboxa co ta paczka próbuje instalować: KLIK / KLIK. I kończymy sprawy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj cały system oraz Java (luki bezpieczeństwa! przyczyna infekcji "policyjnych"!): KLIK. Stan notowany w raporcie: Windows 7 Home Premium (X64) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ======================= Gadu-Gadu 10 (x32) Java 7 Update 17 (x32 Version: 7.0.170) Co do Gadu-Gadu 10: program straszny (żarcie zasobów, nadmiar reklam, więcej śmieci niż funkcji) i wymarły (i tak wiele serwisów zintegrowanych w nim nie działa). Albo zaktualizuj go wersji GG11 (jest lepsza, mniej reklam, kilka pomocnych nowych funkcji stricte związanych z komunikacją), albo zainteresuj się alternatywnym chudym WTW. Wszystkie opisy tu: KLIK. . Odnośnik do komentarza
OjcieC74 Opublikowano 18 Września 2013 Autor Zgłoś Udostępnij Opublikowano 18 Września 2013 Dzięki serdeczne za pomoc - wszystko śmiga jak się należy Odnośnik do komentarza
Rekomendowane odpowiedzi