Skocz do zawartości

System zainfekowany złośliwym oprogramowaniem


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Ten crack Adobe wprowadził aż 6 wpisów ładowania.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [conhost] C:\Users\Michal\AppData\Roaming\Microsoft\conhost.exe (GravesClaremont ParetoMontclair TuscaroraUkrainianBritainRomeo Sheila)
O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [Adobe CS 5.5 Keygen] C:\Users\Michal\AppData\Local\Temp\winlogon.exe ()
O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [conhost] C:\Users\Michal\AppData\Roaming\Microsoft\conhost.exe (GravesClaremont ParetoMontclair TuscaroraUkrainianBritainRomeo Sheila)
F3:64bit: - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001 WinNT: Load - (C:\Users\Michal\AppData\Local\Temp\csrss.exe) - C:\Users\Michal\AppData\Local\Temp\csrss.exe ()
F3 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001 WinNT: Load - (C:\Users\Michal\AppData\Local\Temp\csrss.exe) -C:\Users\Michal\AppData\Local\Temp\csrss.exe ()
[2011-10-03 09:12:52 | 000,181,760 | ---- | C] () -- C:\Users\Michal\AppData\Roaming\dwm.exe
[2011-10-03 09:12:33 | 000,009,392 | ---- | C] () -- C:\Users\Michal\AppData\Roaming\6418.A8D
[2011-01-02 20:44:01 | 000,000,000 | ---D | M] -- C:\Users\Michal\AppData\Roaming\ProgSense
[2010-10-20 15:40:12 | 000,000,923 | ---- | M] () -- C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\a2w6fta7.default\searchplugins\conduit.xml
@Alternate Data Stream - 1301 bytes -> C:\Users\Michal\AppData\Local\CJCxpbJgIGoKWH1:ucjUhuAVYiUnJamhDarqlsxp
IE - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57414
FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@qq.com/npqscall,version=1.0.0: %commonprogramfiles%\tencent\NPQSCALL\npqscall.dll File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany, powinien się automatycznie otworzyć log z wynikami usuwania.

 

2. Wygeneruj do oceny nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję) oraz AD-Remover z opcji Scan. Dołącz też log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

.

Odnośnik do komentarza

Zadanie pomyślnie wykonane.

 

1. AD-Remover widzi drobne odpadki adware. Uruchom go w trybie Clean. Po skończeniu operacji możesz narzędzie odinstalować.

 

2. W OTL uruchom Sprzątanie, mające na celu likwidację kwarantanny OTL z dysku.

 

3. Wykonaj pełne skanowanie za pomocą Malwarebytes' Anti-Malware i przedstaw wynikowy raport (o ile coś zostanie wykryte).

 

 

 

.

Odnośnik do komentarza

Oceniając wyniki:

 

- Wszystkie keygeny / keymakery Adobe zlokalizowane w C:\Users\Michal\documents + downloads definitywnie do usunięcia. Dodatkowa przestroga: aktualnie coś co ma postać "*key*.exe" to nazwa dla naiwnych, w większości przypadków można obstawiać trojany i nie ściągać takich rzeczy (!).

- Ten plik C:\Windows\installer\MSIC3B.tmp również skasuj.

- Wszystkie wyniki z katalogu c:\Users\Michal\AppData\Local\thinstall to prawdopodobnie fałszywy alarm. MBAM nie lubi paczek robionych wirtualizacyjną metodą Thinstall. Tu wygląda to na tzw. "wersję portable" WinPCap, a jakie to "portable" widać po katalogu na dysku. Jeśli już to usunąłeś, cały katalog thinstall też możesz skasować.

- Ostatnie dwa wyniki są dla mnie niejasne, bo to pliki Windows:

 

c:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49\wininit.exe (Trojan.FakeMS) -> No action taken.

c:\Windows\winsxs\Backup\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49_wininit.exe_7a527f28 (Trojan.FakeMS) -> No action taken.

 

EDIT: To fałszywe alarmy MBAM, omiń te dwa pliki.

 

 

 

.

Edytowane przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...