Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus malware html fakealert

alef

Przez alef
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

alef

alef

Opublikowano
Opublikowano

Przepraszam z góry za nomenklaturę - jestem typowym komputerowym ignorantem.

 

Komputer startuje, potem, przy wyborze jednego z użytkowników pojawia się strona policji, gdzie każą płacić :). Wykorzystałam ściągniętego z internetu trojan killera - teraz czasem pojawia się strona policji, a czasem strona internet explorera (z którego nie korzystałam) i informuje, że są problemy z łącznością z internetem. Poza tym ekran nie jest aktywny, została tylko tapeta. Gdy loguję się jako drugi użytkownik, nie ma problemu.

Skorzystałam jeszcze z hijackthis - przeskanowałam, wkleiłam na odpowiednią stronę raport z tego skanowania (logi rejestru?!) i pokazane jako podejrzane starałam się usunąć - nic z tego, nie da się.

Poza tym ccleaner do tej pory po skanowaniu (integralność rejestru) usuwał problemy, teraz po pierwszym skanowaniu pokazuje 10 nieprawidłowych - usuwam, potem 7 - usuwam, a po chwili, gdy znowu skanuje, są te same.

Sciągnęłam też otl - przeskanowałam, posprzątałam, ciągle nie ma poprawy.

A, wszystko powtórzyłam kilka razy bo wyczytałam gdzieś, że trzeba chwilowo wyłączyć blokadę miejsc przywracania systemu (teraz nie mogę znależć gdzie to było - gdzieś w panelu sterowania).

Na komputerze miałam avirę, ale chyba przypadkowo wyłączyłam, może nie zaktualizowałam.

Załączam logi zgodnie z instrukcją i bardzo proszę o pomoc. Taką dla "wymagających".

 

Przepraszam, zapomniałąm, mam win 7, 64bit

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano
Skorzystałam jeszcze z hijackthis - przeskanowałam, wkleiłam na odpowiednią stronę raport z tego skanowania (logi rejestru?!) i pokazane jako podejrzane starałam się usunąć - nic z tego, nie da się.

 

HijackThis to program przestarzały i nie wolno go używać w dzisiejszych czasach, w dodatku brak wsparcia dla systemów 64 bitowych, a z automatów do analizy nie radzę korzystać. Logi analizować powinien człowiek a nie automat bo wychodzą z tego czasami spore błędy. Czyli program usuń z dysku i zapomnij o nim na zawsze.

 

Poza tym ccleaner do tej pory po skanowaniu (integralność rejestru) usuwał problemy, teraz po pierwszym skanowaniu pokazuje 10 nieprawidłowych - usuwam, potem 7 - usuwam, a po chwili, gdy znowu skanuje, są te same.

 

Tutaj też mam uwagę i radzę być ostrożny w tego typu automatach do czyszczenia rejestru. Proszę nic nim nie usuwać bo możesz narobić sobie więcej problemów niż pożytku. Tego typu programy nie zawsze prawidłowo oceniają dane wpisy i niepotrzebnie mogą je usuwać.

 

wyczytałam gdzieś, że trzeba chwilowo wyłączyć blokadę miejsc przywracania systemu (teraz nie mogę znależć gdzie to było - gdzieś w panelu sterowania).

 

Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj

 

Przepraszam, zapomniałąm, mam win 7, 64bit

 

Nie musisz tego pisać, przecież my to wszystko widzimy w logach.

 

Jeśli chodzi o raporty to jest tu aktywna infekcja.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Users\alef\AppData\Roaming\*.exe
 
:Reg
[HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"=-
[-HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
 
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (no name) - {851552F5-B878-4B03-904F-2AD6A4CC8994} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 22388 = C:\PROGRA~3\LOCALS~1\Temp\msiiytic.scr
O7 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 7-Zip = C:\Users\alef\AppData\Roaming\EC1B19.exe (Veoj)
O7 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
 
:Commands
[emptytemp]

 

2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano
Czy konfigurację dysku z windows mam robić przed skanowaniem?

 

Ja ci tylko przypomniałem gdzie szukać tej opcji, ale przywracania systemu to się tymczasowo wyłącza dopiero po usuwaniu infekcji na samym końcu. Jednak ty już to wyłączyłaś wcześniej jak wspominałaś więc wykonywac tego nie będziesz, natomiast samo przywracanie możesz ponownie włączyć gdyż ta opcja na systemie Windows 7 jest przydatna.

Odnośnik do komentarza
alef

alef

Opublikowano
  • Autor
Opublikowano

Użyłam z opcją delete. Załączam wynik. Bałam się nawet patrzeć - nie, problemy NIE WYSTĘPUJĄ! Chapeau bas, jesteś wielki! Z ciekawości, co to było? Zaraz muszę avirę zaktualizować by znowu nie wpadło.A już wczoraj wieczorem myślałam o formatowaniu...

 

Coś niepokojącego jednak jest. Komunikat z nagłówkiem RunDLL. Wystąpiły problemy podczas uruchamiania pliku C:\Users\alef\AppData\Local\Temp\F201.tmp Nie można odnależć określonego modułu.

Mimo tego można działać.

wielka bomba.txt

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Raport niczego nie wykazał więc myslę, że można przejść do czynności końcowych.

 

1. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z AdwCleaner

 

2. Zaktualizuj system do stanu Service Pack 1 oraz poniżej wymienione oprogramowanie do najnowszych wersji:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation

 

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish

"Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

8 Giga? Gdzie tak masz napisane? Instalator SP1 dla Windows 7 w wersji 64 bitowej (takiej jak twój) waży dokładnie 903 MB

Ty masz pobrać pozycję windows6.1-KB976932-X64.exe

 

A z miejscem na partycji systemowej rzeczywiście nie wesoło ale to swoją drogą.

Do analizy miejsca i śledzenia zajętości dysku możesz wykorzystać przydatny program SpaceSniffer. Wywołany przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space. W taki sposób dowiesz się co zajmuje ci najwięcej miejsca.

Odnośnik do komentarza
alef

alef

Opublikowano
  • Autor
Opublikowano

Service Pack 1 zainstalowany. Przy logowaniu się na konto gdzie miałam wirusa cały czas występuje komunikat RunDLL C:\Users\alef\AppData\Local\Temp\F201.tmp Nie można odnależć określonego modułu. Pisałam o tym już wczoraj, potem przestał się pojawiać. To w zasadzie nie przeszkadza. Po trzech kliknięciach się wyłącza i można działać.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mam pytanie: czy logi z OTL na pewno były zrobione z poziomu tego konta, na którym jest problem? Widzę, że logowałaś się jako systemowy Administrator (konto serwisowe, nie do normalnego użytku), podczas gdy na dysku jest też folder konta o nazwie "alef":

 

Computer Name: ALEFALEF | User Name: Administrator | Logged in as Administrator.
 
[2012/03/31 22:49:12 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\Opera
[2012/04/01 01:38:26 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\TestApp
[2012/03/31 15:40:36 | 000,000,000 | ---D | M] -- C:\Users\alef\AppData\Roaming\BESTplayer
[2011/05/26 01:19:37 | 000,000,000 | ---D | M] -- C:\Users\alef\AppData\Roaming\COWON
....

 

Jeżeli logi z OTL były zrobione z poziomu konta, na którym błąd nie występuje, jest przedstawiany inny rejestr użytkownika, logi muszą być wygenerowane na koncie, które ma usterkę.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...