Trojan.Ransom?

[kitek]

Witam serdecznie.

MBAM znajduje na lapku takie dwa wpisy, z którymi nie może sobie poradzić. Nie wiem czy to jakaś czynna infekcja czy jakieś strzępki. Proszę bardzo rzucić okiem.

Spróbuję jeszcze w międzyczasie poGMERAĆ.

MBAM-log-2014-03-11 (17-37-41).txt

FRST.txt

Addition.txt

Shortcut.txt

OTL.Txt

Extras.Txt

[picasso]

Są to "strzępki" robaka Gamarue. MBAM nie umie usunąć tego wpisu (w istocie jeden), gdyż jest zablokowany przez uprawnienia. FRST umie takie wpisy załatwić (jest autoreset uprawnień). Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3331423257-2520070200-3785123888-1000\...\CurrentVersion\Windows: [Load] C:\Users\Ania\LOCALS~1\Temp\ccanvuef.scr 
HKLM-x32\...\Run: [] - [X]
HKLM-x32\...\Run: [NPSStartup] - [X]
Task: {134E21AB-9468-49B8-9542-EEA86A55F4B8} - \DealPly No Task File
Task: {935F277F-3E24-463B-B4AC-7CDE080FF3B9} - \DealPlyUpdate No Task File
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {2D2A6FBC-210C-4982-836C-2813490DB157} URL = http://www.tangosearch.com/?q={searchTerms}&a=SEARCH
SearchScopes: HKCU - {2D2A6FBC-210C-4982-836C-2813490DB157} URL = http://www.tangosearch.com/?q={searchTerms}&a=SEARCH
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
Toolbar: HKLM-x32 - No Name - {E85E1320-D9EE-403B-969F-4A021940F5D8} - No File
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKCU - No Name - {E85E1320-D9EE-403B-969F-4A021940F5D8} - No File
R3 ALSysIO; \??\C:\Users\Ania\AppData\Local\Temp\ALSysIO64.sys [X]
S1 bndcawmt; \??\C:\Windows\system32\drivers\bndcawmt.sys [X]
S1 hiuupysm; \??\C:\Windows\system32\drivers\hiuupysm.sys [X]
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
S1 zptfncra; \??\C:\Windows\system32\drivers\zptfncra.sys [X]
C:\Users\Ania\AppData\Local\Temp*.html
C:\Users\Ania\AppData\Local\tmp*.*
C:\Users\Ania\AppData\Roaming\_MDLogs
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Winamp Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\ezSharedSvc /s

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Na wszelki wypadek użyj jeszcze TFC - Temp Cleaner.

 

3. Przedstaw plik fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

 

 

.

[kitek]

Dzięki, załączam.

Fixlog.txt

[picasso]

Skrypt pomyślnie wykonany. Na koniec:

 

1. Odinstaluj Tango, w logu były przekierowania tangosearch.com. Do eliminacja także ta kolekcja staroci:

 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.32.18 - Adobe Systems Incorporated)

Adobe Reader 9.1 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated)

Adobe Shockwave Player (HKLM-x32\...\{AD72CFB4-C2BF-424E-9DF0-C7BAD1F30A11}) (Version: 11.0 - Adobe Systems, Inc.)

Java™ 6 Update 15 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416015FF}) (Version: 6.0.150 - Sun Microsystems, Inc.)

Java™ 6 Update 30 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216015FF}) (Version: 6.0.300 - Sun Microsystems, Inc.)

Java™ SE Development Kit 6 Update 15 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0160150}) (Version: 1.6.0.150 - Sun Microsystems, Inc.)

 

I Gadu-Gadu 7.7 czas zamienić. Po deinstalacjach ponów operację TFC.

 

2. Zastosuj DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

 

.

[kitek]

Nie mogę usunąć tego Tango, wyskakuje tylko okienko z napisem POLITYKA PRYWATNOŚCI

[picasso]

Skorzystaj z Revo Uninstaller Freeware.

[kitek]

Wielkie dzięki, wszystko zrobione. Zamknij proszę jeszcze mój poprzedni temat z 25.02:

Zablokowane konto bankowe z powodu trojana.

 

Komputer już musiałem oddać.