Prawdopodobnie keylogger (kradzież haseł) i inne problemy

brutusgsm · 3 Lipca 2011

Witam.

Proszę o sprawdzenie logów OTL.

Ostatnio blokuje mi dostęp do konta bankowego, coś może mi kraść hasła. Mam też problemy z połączeniem sieciowym w domu, nie mogę udostępniać plików w sieci. Próbowałem już wszystkiego, ustawienia są na pewno dobrze. Problem także z ActiveX, bo nie wyświetlają się żadne listy w services.msc, chociaż sobie z tym poradziłem, usunąłem jakiś krzaczek w regedit, wg jakiejs instrukcji.

OTL.txt:

http://wklej.org/id/556440/

Extras.txt:

http://wklej.org/id/556441/

Proszę o pomoc i instrukcje.

Pozdrawiam

picasso · 4 Lipca 2011

OTL konfigurowane wg ustawień z obcego forum, proszę nie zakładać że wszędzie jest prośba o identyczną konfigurację. Zestaw logów niekompletny, zabrakło GMER, a system nie jest przygotowany do uruchomienia narzędzia, gdyż działają ofensywne sterowniki emulatorów napędów wirtualnych:

DRV - [2011-02-08 13:41:31 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01)DRV - [2010-07-12 19:31:44 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

Do wykonania instrukcje z ogłoszenia: KLIK. Czyli: usunięcie Alcohol + DAEMON oraz sterownika SPTD dedykowanym narzędziem.

Problem także z ActiveX, bo nie wyświetlają się żadne listy w services.msc, chociaż sobie z tym poradziłem, usunąłem jakiś krzaczek w regedit, wg jakiejs instrukcji.

To ten przypadek: KLIK. Infekcja nie jest usunięta do końca, ale zanim przejdę w ogóle do usuwania muszę zweryfikować coś całkiem innego, czyli pokazanie się w Autostarcie root kont:

O4 - Startup: C:\Users\All Users\Adobe [2010-06-20 12:53:44 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Apple [2010-04-05 16:28:13 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Apple Computer [2010-04-05 16:29:19 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Application Data [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\CanonBJ [2010-12-26 18:17:45 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\All Users\DAEMON Tools Lite [2011-02-08 13:40:43 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Dane aplikacji [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\DatacardService [2011-03-30 16:48:28 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Desktop [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Documents [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Dokumenty [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\ESET [2010-04-03 20:18:01 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Favorites [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Intel [2010-04-02 22:45:36 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Lenovo [2010-04-02 23:38:08 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Menu Start [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Microsoft [2010-07-21 01:13:17 | 000,000,000 | --SD | M]

O4 - Startup: C:\Users\All Users\OpenFM [2011-02-13 16:54:18 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\PCDr [2010-04-02 23:10:05 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Pulpit [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Real [2010-04-10 14:44:02 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Skype [2010-04-03 20:42:24 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Start Menu [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Sun [2010-07-16 19:18:30 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Szablony [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Templates [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Ulubione [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\WinZip [2010-07-30 17:52:30 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Default\AppData [2009-07-14 04:37:05 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\Default\Application Data [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Cookies [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Dane aplikacji [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Desktop [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Documents [2010-04-02 21:40:38 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Downloads [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Favorites [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Links [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Local Settings [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Menu Start [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Moje dokumenty [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Music [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\My Documents [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NetHood [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NTUSER.DAT ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG1 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG2 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\Default\Pictures [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\PrintHood [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Recent [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Saved Games [2009-07-14 04:04:25 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Default\SendTo [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Start Menu [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Szablony [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Templates [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Ustawienia lokalne [2010-04-02 21:40:38 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Videos [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\.gstreamer-0.10 [2010-07-13 11:37:33 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Monia\AppData [2010-04-02 21:42:35 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\Monia\Contacts [2010-04-02 21:42:49 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\Cookies [2010-04-02 21:42:34 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\Dane aplikacji [2010-04-02 21:42:34 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\Desktop [2011-07-03 12:53:05 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\DoctorWeb [2010-04-16 20:30:44 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Monia\Documents [2011-05-30 18:54:58 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\Downloads [2010-07-16 19:15:54 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\Favorites [2010-04-03 15:06:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\Links [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\Martus [2010-06-27 21:50:58 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Monia\Menu Start [2010-04-02 21:42:35 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\Moje dokumenty [2010-04-02 21:42:34 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\Music [2011-01-29 14:32:08 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\NetHood [2010-04-02 21:42:35 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\ntuser.dat ()

O4 - Startup: C:\Users\Monia\ntuser.dat.LOG1 ()

O4 - Startup: C:\Users\Monia\ntuser.dat.LOG2 ()

O4 - Startup: C:\Users\Monia\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\Monia\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\Monia\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\Monia\ntuser.dat{f60f4bfe-2ba3-11e0-abd6-feb057db18ad}.TM.blf ()

O4 - Startup: C:\Users\Monia\ntuser.dat{f60f4bfe-2ba3-11e0-abd6-feb057db18ad}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\Monia\ntuser.dat{f60f4bfe-2ba3-11e0-abd6-feb057db18ad}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\Monia\ntuser.ini ()

O4 - Startup: C:\Users\Monia\Pictures [2011-01-29 14:32:08 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\PrintHood [2010-04-02 21:42:35 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\Recent [2010-04-02 21:42:35 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\Saved Games [2010-04-02 22:22:29 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Monia\Searches [2010-04-03 00:42:04 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Monia\secupdat.dat ()

O4 - Startup: C:\Users\Monia\SendTo [2010-04-02 21:42:35 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\Szablony [2010-04-02 21:42:35 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\Ustawienia lokalne [2010-04-02 21:42:35 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Monia\Videos [2011-01-29 14:32:08 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Desktop [2011-04-11 09:04:26 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Documents [2011-02-14 03:41:43 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Downloads [2011-02-14 03:41:43 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Favorites [2011-02-13 17:08:12 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Lenovo [2011-02-13 17:45:57 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Public\Libraries [2011-07-03 12:19:14 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Music [2011-02-13 17:49:55 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Pictures [2011-02-13 17:16:23 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Public.rar ()

O4 - Startup: C:\Users\Public\Recorded TV [2011-03-04 00:57:16 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Videos [2011-02-13 17:51:48 | 000,000,000 | R--D | M]

To nie jest prawidłowe i sugeruje, że nastąpiła rekonfiguracja folderów powłoki. Poproszę o dostosowany skan w OTL. Uruchom program, wszystkie opcje ustaw na Brak / Żadne, a w sekcji Własne opcje skanowania / skrypt wklej:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Klik w Skanuj (a nie Wykonaj skrypt!) i przedstaw log. I zaległy GMER też.

.

brutusgsm · 4 Lipca 2011

Witam, dziękuję za wskazówki.

Wykonałem wszystkie polecenia wg powyższego postu. Oprogramowanie emulujące usunięte, sterowniki odinstalowane.

Log z GMER'a:

http://www.wklej.org/id/557386/

Log z OTL:

http://www.wklej.org/id/557389/

Dodatkowy wpis rejestru "L" usunięty.

Proszę o dalsze wskazówki.

picasso · 5 Lipca 2011

Dodatkowy wpis rejestru "L" usunięty.

Link dostałeś tylko poglądowo, dla orientacji. Infekcja nie jest usunięta do końca, klucz "L" po usuwaniu mógł już wrócić. Wspólne usuwanie tego wszystkiego było planowane po otrzymaniu dodatkowego skanu.

Na temat skanu: klucz HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders jest praktycznie spustoszony (ma tylko specyfikację folderu CD Burning) i należy go uzupełnić.

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"AppData"="C:\\Users\\Monia\\AppData\\Roaming"
"Local AppData"="C:\\Users\\Monia\\AppData\\Local"
"My Video"="C:\\Users\\Monia\\Videos"
"{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Libraries"
"My Pictures"="C:\\Users\\Monia\\Pictures"
"Desktop"="C:\\Users\\Monia\\Desktop"
"History"="C:\\Users\\Monia\\AppData\\Local\\Microsoft\\Windows\\History"
"NetHood"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Network Shortcuts"
"{56784854-C6CB-462B-8169-88E350ACB882}"="C:\\Users\\Monia\\Contacts"
"Cookies"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Cookies"
"Favorites"="C:\\Users\\Monia\\Favorites"
"SendTo"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\SendTo"
"Start Menu"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu"
"My Music"="C:\\Users\\Monia\\Music"
"Programs"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs"
"Recent"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Recent"
"PrintHood"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Printer Shortcuts"
"{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}"="C:\\Users\\Monia\\Searches"
"{374DE290-123F-4565-9164-39C4925E467B}"="C:\\Users\\Monia\\Downloads"
"{A520A1A4-1780-4FF6-BD18-167343C5AF16}"="C:\\Users\\Monia\\AppData\\LocalLow"
"Startup"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup"
"Administrative Tools"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Administrative Tools"
"Personal"="C:\\Users\\Monia\\Documents"
"{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}"="C:\\Users\\Monia\\Links"
"Cache"="C:\\Users\\Monia\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files"
"Templates"="C:\\Users\\Monia\\AppData\\Roaming\\Microsoft\\Windows\\Templates"
"{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}"="C:\\Users\\Monia\\Saved Games"
"Fonts"="C:\\Windows\\Fonts"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch"
IE - HKU\S-1-5-21-415363420-3941459264-2947334961-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch"
O4 - HKU\S-1-5-21-415363420-3941459264-2947334961-1000..\Run: [4ECYTQ9SIC]  File not found
[2011-06-19 23:47:46 | 000,000,286 | -H-- | C] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011-06-19 23:46:57 | 000,045,568 | -H-- | C] () -- C:\Windows\System32\secupdat.dat
[2011-06-19 23:46:57 | 000,045,568 | -H-- | C] () -- C:\Users\Monia\secupdat.dat
[2011-06-19 23:47:14 | 000,114,688 | ---- | M] () -- C:\Users\Monia\AppData\Roaming\1DCD.exe
[2011-06-19 23:47:19 | 000,139,264 | ---- | M] () -- C:\Users\Monia\AppData\Roaming\2FF6.exe
[2011-06-20 10:12:29 | 000,139,264 | ---- | M] () -- C:\Users\Monia\AppData\Roaming\CD70.exe
[2011-05-18 15:06:52 | 000,000,632 | ---- | M] () -- \Users\Monia\AppData\Roaming\Mozilla\Firefox\Profiles\hkd70j5m.default\searchplugins\startsear.xml
@Alternate Data Stream - 746922 bytes -> C:\Windows\Temp:temp
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System będzie restartował, po restarcie powinien się otworzyć log z wynikami.

3. Wejdź do apletu deinstalacji oprogramowania i usuń adware facemoods Toolbar oraz wątpliwej reputacji wtyczkę vShare.tv plugin. Ponadto, co to za Facebook Plug-In?

4. Generujesz nowy log z OTL z opcji Skanuj. Podaj i log uzyskany z usuwania w punkcie 2. Dorzuć log trybu skanu z AD-Remover.

.

brutusgsm · 5 Lipca 2011

Witam

Wszystkie punkty wykonane.

Log z AD-Remover:

http://www.wklej.org/id/557840/

Log OTL z usuwania:

http://www.wklej.org/id/557841/

Logi z najnowszego skanowania:

OTL: http://www.wklej.org/id/557842/

Extras: http://www.wklej.org/id/557842/

Jak przedstawia się sytuacja?

Te facemoods toolbar i podobne, to jakieś dodatki, bodajże do programu jDownloader.

Pozdrawiam

picasso · 6 Lipca 2011

Podałeś dwa razy ten sam log z OTL a nie OTL Extras.

Te facemoods toolbar i podobne, to jakieś dodatki, bodajże do programu jDownloader.

Rzeczywiście. Dawno nie sprawdzałam tego programu, nie miałam podejrzeń na temat takich sztuczek przemytniczych, a tu proszę śmieci:

Po imporcie FIX.REG sytuacja z folderami powłoki wróciła do porządku, OTL przestał pokazywać te dziwaczne zapisy O4. Skrypt z OTL prawie wykonany, za wyjątkiem pliku podejrzanej wyszukiwarki w Firefox:

Files\Folders moved on Reboot...

File move failed. \Users\Monia\AppData\Roaming\Mozilla\Firefox\Profiles\hkd70j5m.default\searchplugins\startsear.xml scheduled to be moved on reboot.

1. Zamknij Firefox i sprawdź jakie są uprawnienia dla poniższego pliku, bazując na tutorialu: KLIK.

C:\Users\Monia\AppData\Roaming\Mozilla\Firefox\Profiles\hkd70j5m.default\searchplugins\startsear.xml

Dodatkowo, skasuj z rejestru wpis tej wyszukiwarki nadal obecny w konfigu IE. Start > w polu szukania wklep regedit > skasuj klucz:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}

2. Zrób pełny skan za pomocą Malwarebytes' Anti-Malware i przedstaw raport wynikowy.

.

brutusgsm · 6 Lipca 2011

Przepraszam, mój bląd. Tutaj log extras:

http://www.wklej.org/id/557989/

Resztę postaram się zrobić później i dam znać. Piszę z innego komputera.

Dziękuję za pomoc.

brutusgsm · 7 Lipca 2011

1.

Wpis rejestru usunięty.

2.

http://www.wklej.org/id/558905/

Wszystkie pliki usunięte zostały potem poprzez "Usuń zaznaczone"

Po usunięciu: http://www.wklej.org/id/558934/

picasso · 8 Lipca 2011

1. Wedle widoku uprawnień plik startsear.xml nie jest zablokowany. Sprawdź czy możesz go skasować ręcznie przez SHIFT+DEL (Firefox ma być zamknięty!). Przy wystąpieniu błędu zainstaluj LockHunter, gdy wykryje szczególne procesy blokujące ten plik, zdejmij za jego pomocą uchwyty i plik wykończ ręcznie.

2. Usuń odpadki po używanych narzędziach: w OTL skorzystaj ze Sprzątania + odinstaluj AD-Remover.

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

4. Zmień hasła logowania w serwisach.

5. Aktualizacje:

Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.8.3 (Full)
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

- System należy uzupełnić o SP1+IE9, a pozostałe zakreślone zaktualizować: INSTRUKCJE.

- NGG proponuję wymienić alternatywą. W temacie Darmowe komunikatory są opisane strawne wymienniki: AQQ, Kadu, WTW i Miranda. Osobiście polecam WTW, nawet archiwum Nowego Gadu nie utracisz (można je zaimportować w WTW).

Oczywistym pytaniem jest czy nadal występują te dwa problemy:

Ostatnio blokuje mi dostęp do konta bankowego, coś może mi kraść hasła.

Tak naprawdę tego problemu nie opisałeś dostatecznie szczegółowo, ani nie wyraziłeś się jasno czy były jakieś konkretne zdarzenia wycieku haseł. Możesz rozwinąć tę myśl?

Mam też problemy z połączeniem sieciowym w domu, nie mogę udostępniać plików w sieci. Próbowałem już wszystkiego, ustawienia są na pewno dobrze.

Jeśli to nadal ma miejsce, sprawdź ewentualny wpływ oprogramowania zabezpieczającego (NOD), a przy braku rezultatów załóż nowy temat w dziale Sieci.

.

Edytowane 23 Października 2011 przez picasso
12.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Prawdopodobnie keylogger (kradzież haseł) i inne problemy

Rekomendowane odpowiedzi

brutusgsm

Odnośnik do komentarza

picasso

Odnośnik do komentarza

brutusgsm

Odnośnik do komentarza

picasso

Odnośnik do komentarza

brutusgsm

Odnośnik do komentarza

picasso

Odnośnik do komentarza

brutusgsm

Odnośnik do komentarza

brutusgsm

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność