Skocz do zawartości

Ściągnięty niebezpieczny plik - Facebook


Rekomendowane odpowiedzi

Witam,

Zainfekowałem sobie komputer poprzez kliknięcie w link na FB (chat). Byłem jeszcze niedobudzony i nim zdążyłem przerwać ściąganie to już miałem plik na kompie. Usunąłem to co się ściągnęło i szczęśliwie nie powysyłałem tego typu wiadomości do znajomych.

Proszę serdecznie o pomoc w odzyskaniu bezpieczeństwa. Temat założyłem również na: http://forum.pclab.pl/topic/962162-Ściągnięty-niebezpieczny-plik-Facebook/ jednak nikt nie odpowiedział niestety. Tam są inne wymogi, stąd poniższe LOGi:

 

OTL;  EXTRAS; AdwCleaner; MBAM.

 

Dzisiejsze, najnowsze LOGi:

 

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

GMER - brak pre-skanowania?

AdwCleaner-usuwanie

 

 

Co zrobić z tym co wykrył (tym razem z niecierpliwości kliknąłem na czyszczenie ) AdwCleaner - zawsze wierzyć mu = usuwać zaproponowane pliki czy prosić jednak by ktoś (np. z forum) przejrzał je? Jak postępować ze znalezionymi rzeczami przez programy antywirusowe, w tym MBAM? One same proponują kwarantannę.. 

 

Dziwne rzeczy dzieją się na komputerze, stąd prośba o dokładne sprawdzenie LOG-ów :)

 

 

Dziękuję z góry za wszelką pomoc.

 

Logi są już czyste czy jeszcze coś siedzi? Malware niczego nie wykrył już.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach nie notuję oznak infekcji. Tylko drobne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKCU - {AF9F92CA-19B8-47D6-BCE5-B9B3419D7462} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=902615&p={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [cikkkfooompgefbcjlgdjejfdknkheaj] - C:\Program Files (x86)\Common Files\Spigot\GC\DomainErrorHelper_1.0_0.crx [2013-09-02]
CHR HKLM-x32\...\Chrome\Extension: [gpiifgmgnfdiblgpaepbmfdkcheicgof] - C:\Program Files (x86)\Common Files\Spigot\GC\nta_1.0_0.crx [2013-09-02]
HKU\S-1-5-21-382561098-1241728398-2634279966-1000\...\Run: [Tiny download manager] => C:\Users\Filip\AppData\Local\DM\TinyDM.exe [288728 2014-01-22] (http://www.tinydm.com/)
C:\Windows\SysWOW64\sqlite3.dll
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. W związku z tym, iż AdwCleaner grzebał mocno w preferencjach przeglądarek, a w Firefox są nadal preferencje przekierowane na Yahoo, najlepiej zresetuj ich ustawienia:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie FireFTP trzeba będzie przeinstalować.

- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone i należy je ponownie zaktywować.

 

3. Odinstaluj Tiny Download Manager, prawdopodobnie to instalacja niechciana.

 

4. Uruchom TFC - Temp Cleaner.

 

 

Dziwne rzeczy dzieją się na komputerze

Uściślij o co konkretnie chodzi.

 

 

Co zrobić z tym co wykrył (tym razem z niecierpliwości kliknąłem na czyszczenie ) AdwCleaner - zawsze wierzyć mu = usuwać zaproponowane pliki czy prosić jednak by ktoś (np. z forum) przejrzał je? Jak postępować ze znalezionymi rzeczami przez programy antywirusowe, w tym MBAM? One same proponują kwarantannę..

AdwCleaner jest prostym programem, którego detekcja opiera się głównie na raportach community parającego się usuwaniem infekcji, tu nie ma klasycznej sygnaturowej bazy danych. Zasada podstawowa: najpierw należy się starać odinstalować śmieci adware poprzez Panel sterowania oraz menedżery przeglądarek, a AdwCleaner stosować jako program poprowkowy. AdwCleaner może mieć fałszywe alarmy, toteż zawsze warto się skonsultować na temat wyników jego pracy. Nie można też ustalić ogólnej zasady co robić z wynikami różnych skanerów, są ustawione domyślne akcje (kwarantanna to asekuracja na wypadek, gdyby jednak wpis miał wrócić na miejsce), ale fałszywe alarmy są możliwe.

 

Swoją drogą to AdwCleaner wykrył głównie śmieci wprowadzane instalacją produktów IObit (komponenty "Spigot"). IObit to nie jest marka godna zaufania. Darmowe produkty są wspomagane sponsorami (instalacja adware), a sama firma ma niezbyt chlubną historię m.in. bezczelną kradzież bazy danych MBAM. Więcej o IOBit: KLIK. Tu na forum nie polecam żadnych produktów tej firmy.

 

 

 

 

.

Odnośnik do komentarza

Fixlog.txt

 

W trakcie deinstalacji Tiny Download Manager dowiedziałem się, że został on już usunięty z mojego komputera - alert pod tytułem: 

"An error occurred while trying to uninstall Tiny Download Manager (remove only). It may have been already been uninstalled.

Would you like to remove Tiny Download Manager (remove only) from the Programs and Features list? "

Mniej więcej w tym samym czasie od "Avasta" dostałem alert:

 

post-13337-0-70898400-1400175934_thumb.png

 

 

Natomiast w czasie ostatniego, czwartego kroku miałem przez około 5 minut zawieszony komputer. 

 

Co się dzieje? Często zawiesza się komputer, wolno uruchamia się. Już ponad dwa razy miałem problem z procesem pod tytułem Explorer - w sumie ani razu nie obyło się bez "hard resetu". Wczoraj przed położeniem się wcisnąłem akcję "uśpij" a on warczał mi przez cały ten czas na najwyższych obrotach - odgłosy oraz ciepły był... W końcu obudziłem się i znów potraktowałem komputer Hard resetem bo nie chciał się "obudzić".

W zasadzie to tyle (aż tyle). 

Może to kwestia liczby procesów w tle ale wątpię bo nie uruchamiam gier etc. Szczególnie, że akcję "sleep" włączyłem przy otwartych samych dokumentach Wordowskich i Powerpoint. Z racji chęci szybkiego wznowienia pracy podczas drogi na studia :)

Co do Programu "ochrony etc." IOBit - w takim razie usunę to. Nie ukrywam, że ściągnąłem tę całą paczkę programów razem z jakimś jednym programem - nie wydawał się podejrzany w odróżnieniu do różnych oferowanych toolbarów ;). Dodatkowo starałem się wyczytać różne opinie nt. ściąganego programu, bodajże program "Smart defrag". 
 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...