tanatosp Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Po otwarciu linka z FB komp zwariował. Nie otwiera się przeglądarka, msconfig nie działa. Skróty do programów a kompie przestają działać. Po przeskanowaniu esetem online: C:\ProgramData\F4D561F30000319B03997A2BB4EB23C1\F4D561F30000319B03997A2BB4EB23C1.exe odmiana zagro?enia Win32/Kryptik.ACAS ko? troja?ski wyleczony przez usuni?cie - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\ cn.exe prawdopodobnie odmiana zagro?enia Win32/Fbphotofake.H robak wyleczony przez usuni?cie - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\ cn1.exe prawdopodobnie odmiana zagro?enia Win32/Fbphotofake.B robak wyleczony przez usuni?cie - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\1A72.tmp Win32/Fbphotofake.B robak wyleczony przez usuni?cie (po nast?pnym uruchomieniu) - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\1A83.tmp Win32/Fbphotofake.J robak wyleczony przez usuni?cie (po nast?pnym uruchomieniu) - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\1D70.tmp Win32/Fbphotofake.J robak wyleczony przez usuni?cie (po nast?pnym uruchomieniu) - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\7DD6.tmp Win32/Fbphotofake.B robak wyleczony przez usuni?cie - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\7DD7.tmp Win32/Fbphotofake.J robak wyleczony przez usuni?cie - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\7E83.tmp Win32/Fbphotofake.J robak wyleczony przez usuni?cie - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\8B0.tmp Win32/Fbphotofake.B robak wyleczony przez usuni?cie - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\8B1.tmp Win32/Fbphotofake.J robak wyleczony przez usuni?cie - poddany kwarantannie C:\Users\oem\AppData\Local\Temp\8C1.tmp Win32/Fbphotofake.J robak wyleczony przez usuni?cie - poddany kwarantannie C:\Users\oem\AppData\Roaming\cqt.exe prawdopodobnie odmiana zagro?enia Win32/Fbphotofake.B robak wyleczony przez usuni?cie (po nast?pnym uruchomieniu) - poddany kwarantannie C:\Users\oem\AppData\Roaming\poyc.exe prawdopodobnie odmiana zagro?enia Win32/Fbphotofake.H robak wyleczony przez usuni?cie - poddany kwarantannie D:\Downloads\album.exe odmiana zagro?enia Win32/Injector.ORR ko? troja?ski wyleczony przez usuni?cie - poddany kwarantannie Inny program który też przestał działać Smart Fortress 2012 (antywirus) pokazywał keyloggera, którego nazwy nie zdążyłem spisać (nie pracuję na tym komputerze). Przeglądarka Mozilla nie otwiera się -> wybierz program, którego chcesz użyt do otwarcia pliku. gmer zrobił to samo, ale wybrałem go jako program którym ma otworzyć i odpalił. GMER: po chwili skanowania: program przestał odpowiadać. Ściągnąłem drugi raz, zadzałał. OTL też nie chciał sie bezpośrednio odpalić. Results of screen317's Security Check version 0.99.31 Windows 7 Service Pack 1 x86 (UAC is disabled!) Internet Explorer 9 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! ESET Online Scanner v3 WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Spybot - Search & Destroy CCleaner Java™ 6 Update 29 Java version out of date! Adobe Flash Player 11.1.102.55 Adobe Reader 9 Adobe Reader out of date! Mozilla Firefox (10.0.2) Mozilla Thunderbird (x86 pl..) ```````````````````````````````` Process Check: objlist.exe by Laurent ESET ESET Online Scanner OnlineScannerApp.exe ESET ESET Online Scanner OnlineCmdLineScanner.exe ``````````End of Log```````````` GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Raporty proszę wstawiaj w Załączniki, ciężko się czyta długi post. Brak kompletu logów z OTL, zabrakło Extras. Wróć do przyklejonego do zamalonego na różowo bloku opisującego dlaczego tak się dzieje: KLIK. Przeglądarka Mozilla nie otwiera się -> wybierz program, którego chcesz użyt do otwarcia pliku.gmer zrobił to samo, ale wybrałem go jako program którym ma otworzyć i odpalił. (...) OTL też nie chciał sie bezpośrednio odpalić W przyklejonym jest zaadresowany ten przypadek, należało pobrać OTL w wersji COM lub SCR a nie EXE. Problem z otwieraniem programów jest związany z przejęciem rozszerzenia EXE przez trojana: O37 - HKCU\...exe [@ = F4D56] -- "C:\ProgramData\F4D561F30000319B03997A2BB4EB23C1\F4D561F30000319B03997A2BB4EB23C1.exe" -s "%1" %* Inny program który też przestał działać Smart Fortress 2012 (antywirus) pokazywał keyloggera, którego nazwy nie zdążyłem spisać (nie pracuję na tym komputerze). Smart Fortress 2012 to jest fake, podróbka, część infekcji której właśnie doświadczasz. Opis tej fałszywki: KLIK. To tylko link poglądowy, nie podejmuj kroków tam opisanych. Przechodzimy do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O37 - HKCU\...exe [@ = F4D56] -- "C:\ProgramData\F4D561F30000319B03997A2BB4EB23C1\F4D561F30000319B03997A2BB4EB23C1.exe" -s "%1" %* [2012-03-06 18:21:50 | 000,000,000 | ---D | C] -- C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart Fortress 2012 [2012-03-06 18:17:26 | 000,000,000 | ---D | C] -- C:\ProgramData\F4D561F30000319B03997A2BB4EB23C1 :Files C:\Users\oem\AppData\Local\Temp*.html :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, automatycznie otworzy się log, a jeśli wszystko pójdzie sprawnie to i programy zaczną się otwierać. 2. Wygeneruj nowy log z OTL z opcji Skanuj. Przypominam o zaległym Extras oraz technice Załączników. Ponadto: Start > w polu szukania wpisz services.msc > czy na liście widzisz usługę Centrum zabezpieczeń? . Odnośnik do komentarza
tanatosp Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Tak, w services.msc jest widoczna usługa Centrum zabezpieczeń, ma status wyłączony. OTL po wykonaniu skryptu.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 Tak, w services.msc jest widoczna usługa Centrum zabezpieczeń, ma status wyłączony. Dwuklik na usługę, Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Jeżeli pojawi się tu jakiś błąd, dokładnie mi go przepisz. Skrypt pomyślnie wykonany i programy zostały odkojarzone (powinny uruchamiać się już normalnie), za wyjątkiem jednej rzeczy: ========== OTL ==========Folder C:\ProgramData\F4D561F30000319B03997A2BB4EB23C1\ not found. OTL nie widzi katalogu, nie wiem jakim cudem. To już nie pierwszy log gdzie mam taką sprawę. Katalog jest widoczny i kasowalny bez żadnych sztuk dodatkowych, bo co dopiero leczyłam na żywo cudzy komputer z tej gnidy Smart Fortress i ręcznie usuwałam obiekt. Po tym fałszywym "antywirusie" pozostał jeszcze wpis na liście zainstalowanych. 1. Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Fortress 2012] :Files rd /s /q C:\ProgramData\F4D561F30000319B03997A2BB4EB23C1 /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W OTL uruchom Sprzątanie, które zlikwiduje z dysku OTL wraz z kwarantanną. 3. Na Twojej liście zainstalowanych widnieją: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 29"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy"{D5A6D02F-3CBB-4FBF-8F65-C3A6D721E8A4}" = OpenOffice.org 3.2"0979-3113-6504-1007" = System Informacji Oświatowej 3.11.3"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Akamai" = Akamai NetSession Interface Service"InstallShield_{7CFA46E3-CC2F-4355-82AE-6012DC3633FD}" = NVIDIA ForceWare Network Access Manager - Odinstaluj: Akamai NetSession Interface (zbędnik), Spybot Search & Destroy (archaizm słabo przydatny w bieżących warunkach - poza tym już masz "Spybota" w systemie = Windows Defender to ten typ) oraz NVIDIA ForceWare Network Access Manager (problematyczna zapora nVidia) - Reszta do aktualizacji, szczegóły: KLIK. 4. Wyczyść foldery Przywracania: KLIK. . Odnośnik do komentarza
tanatosp Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Zrobione, jeszcze jakis log przedstawić? Niby wszystko hula jak trzeba. Dziękuje Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 Skoro nie proszę o log, to oznacza, że nie potrzebuję tego już. Jeśli na pewno wykonałeś wszystko, to temat możemy uznać za zakończony. Odnośnik do komentarza
Rekomendowane odpowiedzi