karolas888 Opublikowano 22 Maja 2011 Zgłoś Udostępnij Opublikowano 22 Maja 2011 Witam, wczoraj podczas przeglądania stron nagle zamknęła się przeglądarka i uruchomił się skaner win 7 security 2011. Zablokował mi on przeglądarki - Firefoxa, jak i IE. Korzystając z drugiego komputera dowiedziałem się, że jest to wirus. Niestety jestem zielony jeżeli chodzi o komputery, dlatego zwracam się o pomoc do Was. Jeżeli ktoś mógłby mi pomóc będę bardzo wdzięczny. Z tym, że mam jeszcze jeden problem. Wiem, że potrzebne będą logi mojego komputera, ale w związku z tym, że ten wirus blokuje mi dostęp do stron, jestem zmuszony pisać tego posta, jak i wysłać logi na niezainfekowany komputer. Jedynym wyjściem jest przerzucić je za pomocą pendrive'a, ale czy to jest bezpieczne? Boje się aby ten wirus nie przedostał się za jego pomocą na "czysty" komputer, czy moglibyście mi coś doradzić? Odnośnik do komentarza
Landuss Opublikowano 22 Maja 2011 Zgłoś Udostępnij Opublikowano 22 Maja 2011 Możesz przenieść logi za pomocą pendrive. Ta infekcja nie przenosi się w taki sposób. Czekamy w takim razie na logi bo bez tego nie ruszymy. Odnośnik do komentarza
picasso Opublikowano 22 Maja 2011 Zgłoś Udostępnij Opublikowano 22 Maja 2011 Z tym, że mam jeszcze jeden problem. Wiem, że potrzebne będą logi mojego komputera, ale w związku z tym, że ten wirus blokuje mi dostęp do stron, jestem zmuszony pisać tego posta, jak i wysłać logi na niezainfekowany komputer. Jedynym wyjściem jest przerzucić je za pomocą pendrive'a, ale czy to jest bezpieczne? To nie jest wirus w wykonywalnych, w rozumieniu przenoszenia się na inne pliki, dlatego też spodziewam się, że za pomocą pendrive: przeniesiesz narzędzia OTL i GMER na zainfekowany komputer, zrobisz raporty, raporty przetransportujesz z powrotem, by móc je tu pokazać. Jedna uwaga: być może narzędzia w wersjach *.EXE nie będą chciały się uruchomić, dlatego też od razu pobierz OTL w wersji *.COM, oraz zmień nazwę pobranego pliku GMER z *.EXE na *.COM. EDIT: Pisałam nie widząc odpowiedzi Landussa. . Odnośnik do komentarza
karolas888 Opublikowano 22 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2011 (edytowane) Oto logi, które udało mi się przerzucić: OTL.Txt Extras.Txt Edytowane 22 Maja 2011 przez picasso Zbędny log z GMER na 64-bitach usuwam. //picasso Odnośnik do komentarza
Landuss Opublikowano 22 Maja 2011 Zgłoś Udostępnij Opublikowano 22 Maja 2011 (edytowane) Masz system 64-bitowy. Gmer to nie jest program dla takich systemów i nie działa poprawnie, ale tego nie wiedzieliśmy wcześniej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3212485663-2536987246-658786658-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ironto" FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&q=" [2011-01-15 19:45:10 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Users\Karol\AppData\Roaming\mozilla\Firefox\Profiles\1m65s9o2.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2011-01-15 19:45:09 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Karol\AppData\Roaming\mozilla\Firefox\Profiles\1m65s9o2.default\extensions\engine@conduit.com [2010-12-08 16:46:22 | 000,000,929 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\1m65s9o2.default\searchplugins\conduit.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [setwallpaper] File not found O4 - HKU\S-1-5-21-3212485663-2536987246-658786658-1000..\Run: [ALLUpdate] File not found O4 - HKU\S-1-5-21-3212485663-2536987246-658786658-1000..\Run: [sRS Audio Sandbox] File not found O35 - HKU\S-1-5-21-3212485663-2536987246-658786658-1000..exefile [open] -- "C:\Users\Karol\AppData\Local\evy.exe" -a "%1" %* () O37 - HKU\S-1-5-21-3212485663-2536987246-658786658-1000\...exe [@ = exefile] -- "C:\Users\Karol\AppData\Local\evy.exe" -a "%1" %* () [2011-05-18 23:44:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge [2011-05-22 17:38:33 | 000,009,050 | -HS- | M] () -- C:\Users\Karol\AppData\Local\1hae4q380451ms3t48du670jf5554i0sm4bjn3g03klk4t2 [2011-05-22 00:37:01 | 000,009,180 | -HS- | M] () -- C:\ProgramData\1hae4q380451ms3t48du670jf5554i0sm4bjn3g03klk4t2 [2011-05-22 00:30:59 | 000,335,872 | -HS- | M] () -- C:\Users\Karol\AppData\Local\evy.exe [2011-05-22 00:30:57 | 000,000,000 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\9326758.exe [2011-05-22 00:30:57 | 000,000,000 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\7215999.exe [2011-05-22 00:30:57 | 000,000,000 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\580605.exe [2011-05-22 00:30:57 | 000,000,000 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\1943041.exe [2011-05-22 00:30:56 | 000,335,872 | -HS- | M] () -- C:\Users\Karol\AppData\Local\bml.exe [2011-05-22 00:30:55 | 000,335,872 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\2792882.exe :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj z apletu usuwania programów następujące pozycje - Google Toolbar / Windows Live Toolbar / Conduit Engine / Softonic-Eng7 Toolbar / RelevantKnowledge 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Edytowane 22 Maja 2011 przez picasso Korekta: Google Toolbar + Windows Live Toolbar nie można traktować tak samo jak resztę..... Dorzucam za to adware Revelant Knowledge. //picasso Odnośnik do komentarza
karolas888 Opublikowano 22 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2011 Oto log po zrobieniu wszystkiego wg instrukcji: OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 22 Maja 2011 Zgłoś Udostępnij Opublikowano 22 Maja 2011 Infekcja w całości usunięta. Przejdźmy do czynności kończących proces. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj koniecznie aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK. Odnośnik do komentarza
karolas888 Opublikowano 22 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2011 Ogromne dzięki za uratowanie komputera! Wszystko działa jak nalezy, a nawet lepiej Odnośnik do komentarza
Rekomendowane odpowiedzi