Skocz do zawartości

Suspicious.Cloud.7.F


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W trakcie instalacji gry na moim PC NIS2014 zameldował wykrycie infekcji

w obawie o prawidłową instalację gry przywróciłem ten plik z kwarantanny ech.

 

Poczytałem w necie co zacz ten Suspicious i mi się włosy zjeżyły.

Nie podane żadne detale charakterystyczne, czyli w czym (jaka ścieżka dostępu) zostało wykryte zagrożenie. A sama nazwa o niczym jeszcze nie świadczy i nie identyfikuje zagrożenia jednoznacznie.

 

tamir, i proszę dostosuj się do zasad działu, które już od dawna są inne. Aktualnie w skład wymaganych raportów obowiązkowych wchodzi FRST. Podany log OTL i tak niepełny, brak pliku Extras (opcja "Rejestr - skan dodatkowy" nie zaznaczona), brak też GMER. Za to podany raport DDS, który nie ma być dostarczany, o ile nie padnie taka prośba.

 

 

 

.

Odnośnik do komentarza

tamir, w związku z brakiem danych gdzie to zagrożenie zostało wykryte, nie jestem w stanie nic powiedzieć na jego temat, ani ocenić czy to było warte zachodu / nerwów (nie jest wykluczony przecież fałszywy alarm). Nazwa jest niewystarczająca do oceny. Aczkolwiek są tu podejrzenia co mogło być wykryte (patrz niżej). I jedna uwaga: używałeś SpyHunter Enigmy, program wątpliwej reputacji, stosuje typowe techniki naciągaczy (zainstaluj > pokażemy Ci wyniki > płać).

 

W systemie jest zainstalowane adware. Ogólnie śmietnik w przeglądarkach (wszystkich), które na dodatek są w starych wersjach. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {113D8EA0-37EC-465A-9B76-8B8B33D977B4} - System32\Tasks\{413C6A7D-F657-4A15-9960-E420264401E9} => G:\Winamp Pro\RAR instaler\Winamp Pro v5.571 Multilingual Incl. Keymaker-CORE\keygen.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{0E665E24-A715-43A9-B571-9AD8A7BD0BF1}.exe
Task: C:\Windows\Tasks\EPUpdater.job => C:\Users\Tadek\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe 
Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe
HKCU\...\Policies\Explorer: []
HKU\UpdatusUser\...\Run: [ROC_JAN2013_TB] - C:\Program Files (x86)\AVG Secure Search\ROC_JAN2013_TB.exe [1177168 2013-01-30] ()
HKU\UpdatusUser\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] - C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe [1266712 2013-05-31] (AVG Secure Search)
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=A05EBC5FF405A41C
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.meotinhoc.com/
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=A05EBC5FF405A41C
URLSearchHook: HKLM-x32 - Winamp Toolbar Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120518155740569&tb_oid=18-05-2012&tb_mrud=18-05-2012
SearchScopes: HKLM-x32 - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120518155740569&tb_oid=18-05-2012&tb_mrud=18-05-2012
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss&mntrId=A05EBC5FF405A41C
SearchScopes: HKCU - {73BB86FB-65C8-4AE1-955B-1EB4CFF1D74D} URL = http://www.portableall.com
SearchScopes: HKCU - {90FDFFE2-6E23-4CC1-9F07-87C1B3A3BCA2} URL = http://www.meotinhoc.com
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={648E05E8-38CD-425D-BE58-1C64A73690CD}&mid=543fe47b4a1c47d09add6d16b2e14def-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=bm012&pr=sa&d=2013-01-01 12:26:32&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120518155740569&tb_oid=18-05-2012&tb_mrud=18-05-2012
BHO: Surf anD keeep - {14920DE8-13E4-3A83-3ECF-B6FF12618204} - C:\Program Files (x86)\Surf anD keeep\K0n9oD.x64.dll ()
BHO: YoutubeAdblocker - {445AA0E9-2A5A-6AAF-2085-B28A2DF9AC21} - C:\Program Files (x86)\YoutubeAdblocker\SyOHxLTuC.x64.dll ()
BHO-x32: Surf anD keeep - {14920DE8-13E4-3A83-3ECF-B6FF12618204} - C:\Program Files (x86)\Surf anD keeep\K0n9oD.dll ()
BHO-x32: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll No File
BHO-x32: YoutubeAdblocker - {445AA0E9-2A5A-6AAF-2085-B28A2DF9AC21} - C:\Program Files (x86)\YoutubeAdblocker\SyOHxLTuC.dll ()
Toolbar: HKLM-x32 - Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll No File
FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll No File
FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll No File
C:\Program Files\Enigma Software Group
C:\Users\Tadek\AppData\Roaming\BabSolution
C:\Users\Tadek\AppData\Roaming\Babylon
C:\Users\Tadek\AppData\Roaming\Delta
C:\Users\Tadek\AppData\Roaming\FileOpen
C:\Users\Tadek\AppData\Roaming\NCdownloader
C:\Users\Tadek\AppData\Roaming\OpenCandy
C:\Users\Tadek\AppData\Roaming\Thinstall
C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP
Reg: reg delete HKCU\Software\Classes\.exe /f
CMD: copy "C:\Users\Tadek\AppData\Local\Google\Chrome\User Data\Default\Preferences" C:\Users\Tadek\Desktop

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware: Download Updater (AOL LLC), SK.Enhancer, Surf anD keeep, YoutubeAdblocker.

 

3. Przeglądarki są stare, więc czyścić się nie opłaca. Należy je odinstalować (to hurtem usunie śmietnik adware w preferencjach), a następnie zamienić najnowszymi.

  • Firefox: o ile potrzebne, za pomocą MozBackup skopiuj zakładki + hasła (i nic więcej, by nie zabrudzić nowej wersji). Następnie odinstaluj Firefox, przy pytaniu o usuwanie danych użytkownika potwierdź.
  • Google Chrome: z poziomu opcji przeglądarki wyeksportuj zakładki. Następnie odinstaluj przeglądarkę, przy pytaniu o usuwanie danych osobistych potwierdź.
  • Opera: najmniej istotna w zestawie, gdyż słabo się jej imają adware, ale też odinstaluj.
  • Również należy odinstalować wszystkie sfatygowane produkty Adobe wtyczkujące przeglądarki: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 6.0.1, Adobe Reader XI - Polish.
Nie instaluj na razie nowych wersji, w pierwszej kolejności system musi być dokładnie wyczyszczony z szamba.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition) + OTL (bez Extras). Dołącz plik fixlog.txt i log z AdwCleaner. Na Pulpicie powstał też plik Preferences, shostuj go gdzieś i podaj link do niego.

 

 

 

.

Odnośnik do komentarza

Poprawki na odpadki. Otwórz Notatnik i wklej w nim:

 

BHO-x32: No Name - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No File
C:\ProgramData\dc07068979db453a
C:\Users\Tadek\AppData\Local\Google
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

ad3. wykonane poza Opera

Operę i tak należy zaktualizować.

 

 

 

.

Odnośnik do komentarza

Wszystko wykonane. Przejdź do finalizacji:

 

1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK. O ile jest co czyścić. Stan pierwotny wykazywał brak punktów Przywracania systemu. Nie wiem czy od momentu rozpoczęcia tematu coś uległo zmianie.

 

3. Możesz zainstalować najnowsze wersje przeglądarek i korespondujące wtyczki Adobe Flash oraz zaktualizować Internet Explorer i Thunderbird: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...