Ragazza Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 Witam, dzisiaj przez własną głupotę ściągnęłam sobie 'coś' na kompa, w dodatku sama to uruchomiłam. Wyłączyłam na chwile Noda, gdyż nie pozwalał na ściągniecie tego pliku, twierdząc, że to koń trojański...i chyba miał rację. Najpierw wyskoczyło powiadomienie z Centrum akcji, że usługa Centrum zabezpieczeń systemu Windows jest wyłączona, co więcej, nie można jej włączyć bo pojawia się komunikat, że nie można uruchomić usługi. Następnie zaczęły otwierać mi się samoistnie strony z jakimiś bzdurami przez Internet Explorera ( ja używam Mozilli) Potem próbując wyszukać jakąś stronę w Mozilli często otwierało mi się również coś zupełnie innego. Przeskanowałam komputer Dr. Web, wykrył jedynie jakąś zmianę w pliku systemowym. Teraz skanuję go Nodem, wyskoczyło mi powiadomienie o koniu trojańskim, ale nie wiem czy w końcu został usunięty bo akurat w tamtym momencie nie mogłam zresetować kompa. Bardzo proszę o poradę jak 'dla blondynki', gdyż słabo się znam na systemach. Mój system to Windows 7/x64 OTL: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 Tak, niewątpliwie jest tu infekcja.... Przy okazji będą też czyszczone nieszkodliwe wpisy puste, resztki paska narzędziowego WinAmp Toolbar w Firefox, pliki-śmieci nabite przez GG10 (te o modelu nazwy Temp*.html). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job C:\windows\tasks\Kvsyj.job C:\windows\Xricua.exe C:\Users\Aneta\AppData\Local\Temp*.html sc config wscsvc start= delayed-auto /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\] :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" FF - prefs.js..network.proxy.no_proxies_on: "localhost,127.0.0.1" [2009-04-14 17:07:54 | 000,001,196 | ---- | M] () -- C:\Users\Aneta\AppData\Roaming\Mozilla\Firefox\Profiles\macrz7r0.default\searchplugins\winamp-search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-4266092680-46305878-3171284640-1003\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found. O4 - HKLM..\Run: [sunJavaUpdateSched] File not found O4 - HKU\S-1-5-21-4266092680-46305878-3171284640-1003..\Run: [4ECYTQ9SIC] C:\Users\Aneta\AppData\Local\Temp\Xpg.exe (Simon Tatham) O4 - HKU\S-1-5-21-4266092680-46305878-3171284640-1003..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-4266092680-46305878-3171284640-1003..\Run: [ALLUpdate] File not found O4 - HKU\S-1-5-21-4266092680-46305878-3171284640-1003..\Run: [Music Manager] File not found O4 - HKU\S-1-5-21-4266092680-46305878-3171284640-1003..\Run: [nodenable] File not found :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z tego działania. 2. Przejdź do apletu deinstalacji programów i odinstaluj zbędnik Akamai NetSession Interface. 3. Wygeneruj nowy log z OTL do oceny opcją Skanuj. Dołącz log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
Ragazza Opublikowano 28 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2011 Dzięki, wszystko zrobione. Niestety nie zapisałam loga z pkt.1 Myślałam, że sam się zapisuje jak poprzednie i zamknęłam go Wklejam nowy log. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 Niestety nie zapisałam loga z pkt.1Myślałam, że sam się zapisuje jak poprzednie i zamknęłam go Log jest zapisany na dysku. Znajduje się w katalogu C:\_OTL. Ale w sumie nie jest mi potrzebny. Po wyglądzie aktualnego OTL widzę, że zadanie zostało wykonane. Teraz do wykonania: 1. W OTL wywołaj funkcję Sprzątanie, co zlikwiduje kwarantannę OTL oraz sam program z dysku. Funkcja wymaga restartu komputera. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE 3. Przeskanuj system Malwarebytes' Anti-Malware i zgłoś się tu z wynikami. . Odnośnik do komentarza
Ragazza Opublikowano 28 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2011 Wszystko zrobione, faktycznie Anti-Malware coś znalazł. Na pewno zniknęły problemy, o których pisałam wcześniej. Załączam log mbam-log-2011-05-28 (20-22-31).txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 To co wykrył MBAM, to były szczątki tego miotu infekcyjnego. 1. Zostały aktualizacje do wykonania: Internet Explorer (Version = 8.0.7601.17514) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java 6 Update 16"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish"Gadu-Gadu 10" = Gadu-Gadu 10"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) - (Obowiązkowo) Obie przeglądarki, Java w wersji 32-bit i Adobe Reader do aktualizacji: INSTRUKCJE. - (Opcjonalnie) GG10 można zamienić lepszym, lższejszym programem bez reklam. W temacie Darmowe komunikatory są opisy alternatyw. Dla systemu 64-bit sugeruję WTW lub Mirandę. 2. Na koniec jeszcze raz wyczyść foldery Przywracania systemu, bo zaszły tu kolejne zmiany konfiguracyjne. I to by było na tyle. . Odnośnik do komentarza
Ragazza Opublikowano 28 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2011 Dzięki wielkie za pomoc Już prawie wszystko zaktualizowałam. Przy okazji mam pytanie: w folderze pobrane został mi taki element z jakiegoś dokumentu Worda o rozszerzeniu .docx Samego dokumentu już tam dawno nie ma, ale on nie chce się usunąć, wyskakuje powiadomienie 'nie można znaleźć elementu' Czy można go jakoś usunąć? Odnośnik do komentarza
picasso Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 Przy okazji mam pytanie: w folderze pobrane został mi taki element z jakiegoś dokumentu Worda o rozszerzeniu .docxSamego dokumentu już tam dawno nie ma, ale on nie chce się usunąć, wyskakuje powiadomienie 'nie można znaleźć elementu' Czy można go jakoś usunąć? Wypróbuj program Delete FXP Files. Wprawdzie to demo, ale masz gwarantowane 5 darmowych kasacji. Odnośnik do komentarza
Ragazza Opublikowano 28 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2011 (edytowane) Picasso, jesteś genialna ! Ogromne dzięki za wszystko, plik usunięty, komputer śmiga Pozdrawiam Edytowane 28 Maja 2011 przez picasso Temat rozwiązany. Zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi