daniels Opublikowano 27 Maja 2011 Zgłoś Udostępnij Opublikowano 27 Maja 2011 Witam. Znów zwracam się z pomocą do ekspertów. Ostatnio znalazłam na swojej stronie wirusa. Oczywiście rozpoczęłam skanowanie komputera i Malwarebytes' Anti-Malware znalazł zainfekowany folder i dwa pliki. Problem jest, ale szczerze boję się sama go rozwiązywać bez pomocy fachowców... SKANY: Malwarebytes' Anti-Malware 1.50.1.1100 http://wklejto.pl/98341 GMER http://wklejto.pl/98353 OTL http://www.wklejto.pl/98342 http://www.wklejto.pl/98343 (extras) Zrobiłam pełne skanowanie z OTL, nie te szybkie. Nie wiem czy to ma związek z tym, ale zauważyłam, że ostatnio gdy chcę włożyć do komputera jakąkolwiek (nawet nową) kartę pamięci z telefonu/aparatu, to traci mi sie obraz i komputer się zawiesza. USB natomiast działa bez zażutów Chciałam dodac, ze tera zna dodatek zaczyna mi się zacinać muzyka gdy procesor chodzi szybciej:( Sorry za pisanie psota pod postem, ale proszę, zainteresujcie się moim problemem, bo przez niego cała moja praca stoi bo jak zaloguję się na jakiejś z swoich stron to będę mieć wirusa znów:( Odnośnik do komentarza
picasso Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 daniels odpowiadamy w takim czasie w jakim potrafimy i gdy jesteśmy obecni. Log z GMER robiony w złym środowisku, przy czynnej emulacji SPTD (KLIK): DRV - [2009-07-08 13:50:42 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) W logach nie widać znaków infekcji czynnej. Wyniki z MBAM trudno ocenić, to zresztą wygląda na pliki o charakterze niewykonywalnym i jeśli pochodzą z infekcji, to są to pliki poboczne a nie główne body. Ale widzę że nie podjęłaś tu żadnej akcji ("No action taken") i plik wykrywany przez MBAM nadal jest na dysku: [2005-12-24 01:02:54 | 000,211,704 | -H-- | C] () -- C:\Users\Kate s\AppData\Roaming\cglogs.dat Co najwyżej drobnostki można tu skorygować, usuwając resztki po paskach narzędziowych Ask i DAEMON. To rzecz jasna nie ma nic wspólnego z infekcją. 1. W spisie zainstalowanych programów widzę pozycję DAEMON Tools Toolbar. Spróbuj to odinstalować (choć możliwe, że to tak nędzny odpadek iż się nie da). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2011-03-07 15:44:53 | 000,002,567 | ---- | M] () -- C:\Users\Kate s\AppData\Roaming\Mozilla\Firefox\Profiles\rf1p5gm4.default\searchplugins\askcom.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [EA Core] File not found O4 - HKCU..\Run: [RMF FM Miasto Muzyki] File not found :Commands [emptyflash] [emptytemp] Rozpocznij proces opcją Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log. 3. Przedstaw log z usuwania i nowy log z OTL wyprodukowany opcją Skanuj (Extras mi niepotrzebne po raz drugi). Ostatnio znalazłam na swojej stronie wirusa. Oczywiście rozpoczęłam skanowanie komputera i Malwarebytes' Anti-Malware znalazł zainfekowany folder i dwa pliki. Powyższe wyniki z MBAM raczej nie mogą mieć tu związku. Jeśli infekcję znalazłaś na swojej stroie (w jaki sposób / czym / oraz w czym), to jest to sprawa strony serwerowaj i tego nie jestem w stanie "wyleczyć". Należy: - Ręcznie usunąć infekcję z kodu strony. - Pozmieniać wszystkie hasła dostępowe (FTP etc.) i nie korzystać z ich autozapamiętywania w klientach FTP - Zaktualizować klienta FTP, u Ciebie jest FileZilla Client 3.3.5.1, a najnowsza wersja to FileZilla Client 3.5.0. - Zainteresować się jak szczelny jest soft na którym postawiono stronę. Strona może zostać zainfekowana ponownie, z winy oprogramowania strony serwerowej. . Odnośnik do komentarza
daniels Opublikowano 28 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2011 Picasso, jesteś wielka. Na lepszego eksperta trafić nie mogłam:) Już biorę się do roboty, i w editcie zaraz wrzucę logi. Z GMERem spróbuję jeszcze raz, ale nie wiem cyz isę uda, bo ostatnie dwie próby włączenia go przy innych ustawieniach skończyły się tym samym co włożenie karty pamięci. Odnośnik do komentarza
picasso Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 Nie zapomnij w MBAM usunąć tego co znalazł. Nie odpowiedziałaś mi na pytanie: "Jeśli infekcję znalazłaś na swojej stroie (w jaki sposób / czym / oraz w czym)". Czyli co odnotowało infekcję na stronie i w jakim jej składniku była ona obecna. Z GMERem spróbuję jeszcze raz, ale nie wiem cyz isę uda, bo ostatnie dwie próby włączenia go przy innych ustawieniach skończyły się tym samym co włożenie karty pamięci. To nie jest potrzebne, bo w GMER nie widzę nic szkodliwego. Tylko komentowałam, że środowisko złe i na przyszłość należy dokładnie wykonać instrukcje z ogłoszenia. . Odnośnik do komentarza
daniels Opublikowano 28 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2011 A tak, zapomniałam - infekcja na stornie nie wiem w jaki sposób się znalazła. Możliwe, że dostała się z komputera drugiego admina, który mógł miec hasła zapisane w kliencie ftp:/ Usunęłam to co znalazł MBAM, zrobiłam ponowny skan z niego oraz z OTL po wykonaniu skryptu. OTL http://wklejto.pl/98451 MBAM (wykazął, że jest czysto ale i tak dodaję) http://wklejto.pl/98452 Odnośnik do komentarza
picasso Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 Czyli rozumiem, że infekcja została usunięta ze strony? Możesz jeszcze przeskanować swoją stronę tymi skanerami: Unmask Parasites + Wepawet. A poza tym, tu na Twoim komputerze w OTL nadal widzę poniższy plik, ale skan OTL został wykonany przed skanem MBAM, więc zakładam, że OTL pokazuje to co już nie istnieje. [2005-12-24 01:02:54 | 000,211,704 | -H-- | C] () -- C:\Users\Kate s\AppData\Roaming\cglogs.dat Zakończ sprawę: 1. Jakoś ominęłam ten pusty wpis: O4 - Startup: C:\Users\Kate s\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Multiply AutoUploader.lnk = File not found Wejdź do widzianego tu folderu i ręcznie skasuj martwy skrót. 2. W OTL uruchom Sprzątanie. 3. Aktualizacje: Internet Explorer (Version = 7.0.6002.18005) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 24"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8"{977CCCA9-B420-405A-9A4A-2A610F28D10F}" = Opera 11.10"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"FileZilla Client" = FileZilla Client 3.3.5.1"Mozilla Firefox (3.5.17)" = Mozilla Firefox (3.5.17)"Nowe Gadu-Gadu" = Nowe Gadu-Gadu ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome - (Obowiązkowo) O Filezilli już mówiłam..... Zaktualizuj wszystkie przeglądarki, Java i Adobe Reader: INSTRUKCJE. - (Opcjonalnie) Nowe Gadu-Gadu można zastąpić lżejszym programem, bez reklam. W temacie Darmowe komunikatory popatrz na opisy WTW i Mirandy. Skype też wypada zaktualizować.... 4. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. . Odnośnik do komentarza
daniels Opublikowano 28 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2011 Wielkie dzięki:)) Zastosuję się do powyższych. a z tym cglogs.dat to rzeczywiście przypomniało mi sie o nim, jak było już ponad połowę zeskanowane w OTLu więc pewnie dlatego tam się znalazł w raporcie. Odnośnik do komentarza
Rekomendowane odpowiedzi