Alicja Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Witam, niestety otworzyłam link od kolegi na Skype i teraz po każdym uruchomieniu S. do wszystkich moich kontaktów rozsyłany jest link hxxp://videoj9l. f5m.in/?id=0. Po zalogowaniu się na Facebooku też zaczęło się rozsyłanie do znajomych. Poza tym pokazuje mi się okienki Kontroli konta użytkownika z informacją, że Program Adobe Systems Incorporated próbuje dokonać zmian na moim komputerze. Po kliknięciu na NIE pojawia się nieustannie na nowo. Skanowałam MBAM (pełny skan), po ponownym uruchomieniu i włączeniu Skype przez chwilę był spokój - żadnego rozsyłania, ale nie trwało to długo i problem wrócił. Będę wdzięczna za pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Tak, niestety ów "link od kolegi" (i to zapewne nie świadome działanie kolegi, tylko albo jest sam zainfekowany i rozsyła, albo jego konto zostało przejęte) zaszczepił infekcję. Przechodzimy do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [0F4.exe] C:\Users\Alicja\AppData\Roaming\Microsoft\366F\0F4.exe () O4 - HKCU..\Run: [doecuc] C:\Users\Alicja\doecuc.exe () F3:64bit: - HKCU WinNT: Load - (C:\Users\Alicja\AppData\Roaming\E99D1\lvvm.exe) - C:\Users\Alicja\AppData\Roaming\E99D1\lvvm.exe () F3 - HKCU WinNT: Load - (C:\Users\Alicja\AppData\Roaming\E99D1\lvvm.exe) - C:\Users\Alicja\AppData\Roaming\E99D1\lvvm.exe () O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found :Files C:\Users\Alicja\*.com C:\Users\Alicja\*.exe C:\Users\Alicja\AppData\Roaming\*.exe C:\Users\Alicja\AppData\Roaming\E99D1 C:\Users\Alicja\AppData\Roaming\FAFE9 C:\Users\Alicja\AppData\Roaming\Microsoft\366F C:\Users\Alicja\AppData\Local\hm560nq36q82lyd11iy6ke C:\ProgramData\hm560nq36q82lyd11iy6ke :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyEnable"=- "ProxyServer"=- :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania. 2. Wygeneruj nowy log z OTL opcją Skanuj (bez Extras). Przedstaw także log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
Alicja Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Zrobione według zaleceń, trochę to trwało, bo w międzyczasie zablokowało mi otwieranie większości stron w IE. Przeskanowałam jeszcze raz MBAM, usunęłam jeden plik i dopiero internet zaczął działać normalnie. Chętnie dołącze logi, ale coś nie widzę opcji "załącz". Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Chętnie dołącze logi, ale coś nie widzę opcji "załącz". Edytor musi być otworzony w trybie pełnym a nie ekspresowym. Odnośnik do komentarza
Alicja Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Po wykonaniu skryptu (tego akurat załączyć nie mogłam): All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\0F4.exe deleted successfully. C:\Users\Alicja\AppData\Roaming\Microsoft\366F\0F4.exe moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\doecuc deleted successfully. C:\Users\Alicja\doecuc.exe moved successfully. C:\Users\Alicja\AppData\Roaming\E99D1\lvvm.exe moved successfully. 64bit-Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\Users\Alicja\AppData\Roaming\E99D1\lvvm.exe deleted successfully. File C:\Users\Alicja\AppData\Roaming\E99D1\lvvm.exe not found. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\Users\Alicja\AppData\Roaming\E99D1\lvvm.exe deleted successfully. Registry key HKEY_CURRENT_USER\Software\Classes\.exe\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Classes\exefile\ not found. HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully! ========== FILES ========== C:\Users\Alicja\bueqan.com moved successfully. C:\Users\Alicja\lauviv.com moved successfully. C:\Users\Alicja\2zec.exe moved successfully. C:\Users\Alicja\3zec.exe moved successfully. C:\Users\Alicja\4zec.exe moved successfully. C:\Users\Alicja\notes.exe moved successfully. C:\Users\Alicja\PEiHS70ho3.exe moved successfully. C:\Users\Alicja\AppData\Roaming\iexplore.exe moved successfully. C:\Users\Alicja\AppData\Roaming\E99D1 folder moved successfully. C:\Users\Alicja\AppData\Roaming\FAFE9 folder moved successfully. C:\Users\Alicja\AppData\Roaming\Microsoft\366F folder moved successfully. C:\Users\Alicja\AppData\Local\hm560nq36q82lyd11iy6ke moved successfully. C:\ProgramData\hm560nq36q82lyd11iy6ke moved successfully. ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Alicja ->Temp folder emptied: 146924724 bytes ->Temporary Internet Files folder emptied: 242940973 bytes ->Java cache emptied: 2164328 bytes ->Flash cache emptied: 82506 bytes User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56504 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 108245133 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes RecycleBin emptied: 2458832130 bytes Total Files Cleaned = 2,822.00 mb OTL by OldTimer - Version 3.2.33.2 log created on 02242012_012157 Files\Folders moved on Reboot... C:\Users\Alicja\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VL0L3OUV\advdyn[5].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VL0L3OUV\advdyn[6].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VL0L3OUV\communicator[2].html moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VL0L3OUV\mail[2].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VL0L3OUV\search[1].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VL0L3OUV\search[2].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\SF4347J6\search[1].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\SF4347J6\search[2].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\98GKC1RV\like[6].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\98GKC1RV\mail[2].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\98GKC1RV\search[1].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\98GKC1RV\search[3].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8H5FWSPE\csshover[1].htc moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8H5FWSPE\fastbutton[3].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8H5FWSPE\index[8].html moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8H5FWSPE\mail[1].txt moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8H5FWSPE\search[1].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8H5FWSPE\search[2].htm moved successfully. C:\Users\Alicja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully. Registry entries deleted on Reboot... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 (tego akurat załączyć nie mogłam) Zasady działu i Pomoc forum wyjaśniają dlaczego: Załączniki akceptują tylko format *.TXT a nie *.LOG. A log krótki, to i może być wklejony wprost do posta. Skrypt pomyślnie wykonany, szkodniki skasowane. Pozostało proxy w Internet Explorer, które mimo rzekomego usunięcia nadal widnieje: IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57414 1. Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings Skasuj wartości ProxyEnable + ProxyServer. Zresetuj system. 2. Wykonaj (mam nadzieję, że ostatni) log z OTL opcją Skanuj dla potwierdzenia wykonania zadania z punktu 1. . Odnośnik do komentarza
Alicja Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 ProxyEnable skasowałam. ProxySerwer nie widzę (czy to była jedna wartość?). Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 To dwie osobne wartości. Skoro nie widzisz, to może i już się cudem ulotniło (w ostatnim logu jednak było widoczne). Zresetuj system i zrób nowy log z OTL. Odnośnik do komentarza
Alicja Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Log po usunięciu i po restarcie. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Wpisy zlikwidowane. Czynności końcowe: 1. W OTL uruchom Sprzątanie, które usunie z dysku program OTL i jego kwarantannę z trojanami. Funkcja wymaga restartu. 2. Dla pewności wykonaj dogłębne skanowanie potwierdzające czystość, za pomocą posiadanego MBAM. Zgłoś się tu z wynikami i podsumowaniem czy problem z wysyłaniem linków ustąpił. . Odnośnik do komentarza
Alicja Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 OK, zgłoszę się po skanowaniu, ale już teraz bardzo dziękuję. Jestem pod wrażeniem - nie spodziewałam się, że uzyskam taką profesjonalną pomoc w Internecie, w dodatku konkretnie i dobrze przekazaną. Pozdrawiam. Nie mam pod ręką wyników skanowania przez MBAM, ale nie wykryto niczego do usunięcia. Problem z wysyłaniem linków (zarówno Skype jak i Facebook) zniknął. Jeszcze raz dziękuję Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Na zakończenie wykonaj drobne aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych widnieją: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"Gadu-Gadu" = Gadu-Gadu 7.7 Sugeruję też rozpatrzenie wymiany kalekiego GG7 na alternatywę: KLIK. Przyjrzyj się na takie propozycje jak WTW, Kadu czy Miranda. . Odnośnik do komentarza
Alicja Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Dzięki za sugestie, poczytam, rozważę. Odnośnik do komentarza
Rekomendowane odpowiedzi