Aninaj Opublikowano 5 Maja 2012 Zgłoś Udostępnij Opublikowano 5 Maja 2012 Wczoraj od godzin południowych awast co kilka minut dawał mi komunikat o zagrożeniu i przeniesieniu zainfekowanego pliku do kwarantanny. Były to naprzemiennie Win32::Sirefef-AO(Rtk) i Win 64:Sirefef-A(trj) Wszystkie ulokowane w C:\Windows\Installer\ciąg cyfr i liter\U Avast informuje,że jest to Proces : C:\Windows\system32\services.exe a po resecie komputera zmienił sie proces na C;\Windows\system32\svchost.exe W sumie tych blokowań za cały dzień buło około 150. W międzyczasie skanowałam komputer programem antizeroacces i TDSSKiller: AntiZeroAccess_Log.txt TDSSKiller.2.7.34.0_04.05.2012_18.47.44_log.txt Od momentu gdy wyłączyłam osłony awasta dla skanowania OTL i Gmer po włączeniu awast zaczął blokować pomimo,że nie wchodziłam na żadne strony co kilkanaście minut zagrożenie z adresu URL: hxxp//njsszobw.cen/new/links2php?w =503&i=1927495037 Proces C:\Windows\system32\svchost.exe Infekcja : URL:Mal W załączeniu wstawiam logi z OTL i Gmer: OTL.Txt Extras.Txt http://wklej.org/hash/10163ab6e8f/ Nie mogłam dodać loga z Gmera- informacja,że nie mam uprawnień. Po skanowaniu Gmerem była informacja o zmianach w plikach systemowych na skutek infekcji -Rootkita PS. Zapomniałam dodać,że międzyczasie została zaktualizowana baza wirusów awasta. Odnośnik do komentarza
Landuss Opublikowano 5 Maja 2012 Zgłoś Udostępnij Opublikowano 5 Maja 2012 Zacznij od zastosowania ComboFix i wklej wynikowy raport. Odnośnik do komentarza
Aninaj Opublikowano 6 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 6 Maja 2012 Mam problem z ComboFixem. Pozamknięciu avasta ściągnęłam Combo z pierwszego linku Uruchomiłam z dwukliku. Zapytał o zgode i zaczął inicjacje wypakowywania pplików. Mniej więcej gdy pasek instalacji był w 2/3 okno zniknęło.Mijały mjinuty i nic sie nie działo. Conajmniej po 15 minutach bezruchu kliknęłam w ikonę ponownie i zaczął inicjację instalacji, tym razem nie pytając juz o zgodę i znów sytuacja sie powtórzyła. Tym razem czekałam pół godziny i nic sie nie działo.Próbowałam pobrać program z drugiego adresu, ale tam po kliknięciu na dowland otwiera się strona z "krzaczkami" i nie da się ściągnąc programu. Ściągnęłam więc ponownie z pierwszego adresu zapisując jako ComboFix1 i znów cała sytuacja sie powtórzyła. Podkreślam,że avast całkowicie wyłączony z opcją na stałe, bo nie chciałam, aby sie uruchamiał przy ew. ponownym starcie systemu. Innych programów tego typu nie mam zainstalowanych. Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 Pobieranie ComboFix z różnych linków nic tu nie zdziała, bo to cały czas dokładnie ta sama wersja. Narzędzie może być blokowane przez infekcję. Poza tym, posiadasz nowy inny wariant tej infekcji i ComboFix i tak tego by nie ruszył. Podaj skan identyfikacyjny. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Klik w Skanuj i przedstaw wynikowy log. . Odnośnik do komentarza
Aninaj Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Log wynikowy ze skanowania OTL: OTL logfile created on: 2012-05-07 02:30:51 - Run 2 OTL by OldTimer - Version 3.2.42.2 Folder = C:\Documents and Settings\Private\Pulpit\na forum fixitpc Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 511,48 Mb Total Physical Memory | 276,54 Mb Available Physical Memory | 54,07% Memory free 2,47 Gb Paging File | 1,99 Gb Available in Paging File | 80,75% Paging File free Paging file location(s): [binary data over 100 bytes] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 37,25 Gb Total Space | 9,70 Gb Free Space | 26,03% Space Free | Partition Type: NTFS Drive D: | 37,27 Gb Total Space | 34,11 Gb Free Space | 91,52% Space Free | Partition Type: NTFS Drive G: | 29,28 Gb Total Space | 22,27 Gb Free Space | 76,06% Space Free | Partition Type: FAT32 Drive H: | 203,58 Gb Total Space | 89,00 Gb Free Space | 43,72% Space Free | Partition Type: NTFS Computer Name: NN-04FCDEF7E0AE | User Name: Private | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days ========== Custom Scans ========== < HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s > [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel" = Both "" = C:\Documents and Settings\Private\Ustawienia lokalne\Dane aplikacji\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\n. < HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s > "" = Microsoft WBEM New Event Subsystem [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] "" = \\.\globalroot\systemroot\Installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\n. "ThreadingModel" = Both < End of report > Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 Skan OTL podał precyzyjne dane skąd to się ładuje. Przechodzimy do usuwania zasadniczego: 1. Przygotuj plik importujący dane do rejestru. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\\WINDOWS\\system32\\wbem\\wbemess.dll" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Default_Page_URL"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Default_Page_URL"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Plasmoo] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik FIX.REG umieść wprost na C:\. 2. Uruchom Avenger i do okna wklej: Folders to delete: C:\Documents and Settings\Private\Ustawienia lokalne\Dane aplikacji\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb} C:\Windows\Installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb} Files to delete: C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job C:\WINDOWS\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job Programs to launch on reboot: regedit /s C:\FIX.REG Klik w Execute. Zatwierdź restart komputera. Powinien otworzyć się po restarcie log z wynikami narzędzia. 3. Przejdź do Dodaj / Usuń programy i odinstaluj śmiecia adware V9 HomeTool. Po tym zastosuj AdwCleaner z opcji Delete. 4. Po ukończeniu akcji zrób nowe logi: OTL z opcji Skanuj (zostaw wszędzie Użyj filtrowania, ale do okna wklej to samo co podałam wcześniej) + GMER. Dołącz log wygenerowany przez Avenger w punkcie 2 oraz log wygenerowany przez AdwCleaner w punkcie 3. By logi z GMER i usuwania OTL się dołączyły jako Załącznik, należy zmienić nazwę zmieniając rozszerzenie *.LOG na *.TXT. Odnośnik do komentarza
Aninaj Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Po uruchomieniu Avenger ze skryptem i restarcie komputera Windows się nie otworzył.W rezultacie zresetowałam komputer. Może byłam zbyt niecierpliwa, ale czekałam około 10 minut ładowania Windowsa. Po resecie notatnik Avengera był pusty. Nie wiem co mam zrobić. Czy dalej to co poleciłaś, czy powtórzyć operację z Avengerem. Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 Przejdź do kolejnych czynności i wygeneruj nowe logi jak przedstawiłam. Na ich podstawie zobaczymy co się dzieje. Odnośnik do komentarza
Aninaj Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Nie mogę uruchomić żadnej z trzech opcji OTL. Notatnik z Avengera tak jak pisałam pusty. V9Home Tool usunęłam log z gmera po czyszczeniu.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 Objaśnij co to oznacza i na czym polega "Nie mogę uruchomić żadnej z trzech opcji OTL", o jakich Ty opcjach w ogóle mówisz (tu nie było podane nic innego niż opcja Skanuj + wkleić do okna klucze, pozostałe funkcje "Wykonaj skrypt" + "Sprzątanie" nie mają tu w ogóle w aktualnej fazie zastosowania). W związku z tym, że brak tu skanu o który mi chodzi: Uruchom SystemLook i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :folderfind {3a4846c0-715a-083c-d5cc-5e73f2bb38eb} Kliknij w Look i przedstaw raport. . Odnośnik do komentarza
Aninaj Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Przepraszam wyraziłam się nie precyzyjnie.Chodziło mi o to,że żaden z 3 pobranych OTL tzn jako OTL, jako wygaszacz i jako aplikacja MS-Dos nie chce mi sie uruchomić. Po kliknięciu na ikonę na moment pojawia się klepsydra i znika, a program sie nie uruchamia. Wstawiam log z System Look: SystemLook 30.07.11 by jpshortstuff Log created at 05:14 on 07/05/2012 by Private Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\Private\Ustawienia lokalne\Dane aplikacji\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\n." "ThreadingModel"="Both" ========== folderfind ========== Searching for "{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}" C:\Documents and Settings\Private\Ustawienia lokalne\Dane aplikacji\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb} d--hs-- [23:43 03/08/2004] C:\WINDOWS\Installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb} d--hs-- [23:43 03/08/2004] -= EOF =- Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 Niestety sytuacja bez zmian. Wszystkie komponenty trojana obecne. Spróbujmy innego narzędzia. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: "C:\Documents and Settings\Private\Ustawienia lokalne\Dane aplikacji\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}" C:\Windows\Installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb} Execute: C:\fix.bat Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Zrób nowy log z SystemLook na te same warunki co podane wcześniej. Wklej też wprost do posta zawartość raportu BlitzBlank. . Odnośnik do komentarza
Aninaj Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\private\ustawienia lokalne\dane aplikacji\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\private\ustawienia lokalne\dane aplikacji\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\private\ustawienia lokalne\dane aplikacji\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\private\ustawienia lokalne\dane aplikacji\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}\U\800000cb.@", destinationFile = "(null)", replaceWithDummy = 0 LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat" SystemLook 30.07.11 by jpshortstuff Log created at 06:18 on 07/05/2012 by Private Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" ========== folderfind ========== Searching for "{3a4846c0-715a-083c-d5cc-5e73f2bb38eb}" No folders found. -= EOF =- Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 Wygląda na to, że BlitzBlank podołał zadaniu, usunął foldery i zaimportował dane rejestru. Sprawdź czy jesteś w stanie wykonać nowy log z OTL na ustawieniu Skanuj (nic nie wklejaj do okna, skan SystemLook już to zaadresował). Potwierdź, że Avast się uciszył i nic już nie wykrywa. Odnośnik do komentarza
Aninaj Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 OTL uruchomił się bez problemu. Zapomniałam jednak odznaczyc pozycji filtra w Rejestr -skan dodatkowy. Jeśli jest to konieczne to zrobię ponowny skan. Tak avast siedzi cicho, już wcześniej nie krzyczał. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 Log Extras nie jest mi potrzebny po raz kolejny. I możemy przejść do części kosmetycznej, tzn. usuwanie wpisów szczątkowych / pustych i czyszczenie lokalizacji tymczasowych. 1. Przeglądarka Google Chrome ma ustawioną wyszukiwarkę Conduit: ========== Chrome ========== CHR - default_search_provider: Conduit (Enabled)CHR - default_search_provider: search_url = "http://search.conduit.com/Results.aspx?q={searchTerms}&hl=en&SelfSearch=1&SearchSource=49&ctid=CT2269050"CHR - default_search_provider: suggest_url = "http://search.conduit.com/" Wejdź do Opcji do zarządzania wyszukiwarkami, przestaw domyślną wyszukiwarkę np. na Google zaś Conduit usuń z listy. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1993962763-113007714-854245398-1003\..\SearchScopes\Plasmoo: "URL" = "http://plasmoo.com/index.htm?SearchMashine=true&q={searchTerms}" [2012-04-07 18:04:08 | 000,000,000 | ---D | C] -- C:\Program Files\v9Soft [2012-01-07 20:02:36 | 000,000,450 | ---- | M] () -- C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job [2012-01-07 20:02:39 | 000,000,450 | ---- | M] () -- C:\WINDOWS\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job SRV - File not found [Disabled | Stopped] -- -- (OMSI download service) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Private\USTAWI~1\Temp\73d167cc38.tmp -- (SirefefRemover) DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\yhkedse.sys -- (nczvrrt) DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd) O16 - DPF: {CAFEEFAC-0017-0000-0002-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab" (Reg Error: Key error.) :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 3. Wygeneruj nowy log z OTL z opcji Skanuj, wklej do okna Własne opcje skanowania / skrypt: hklm\software\clients\startmenuinternet|command /rs Dołącz log z wynikami przetwarzania skryptu. . Odnośnik do komentarza
Aninaj Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Wykonane. Wyszukiwarka usunięta. Logi ze skryptu i opcji Skanuj: Log z pierwszego skryptu OTL.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 Dwie rzeczy nie zostały wykonane: 1. Wyszukiwarka Conduit nadal stoi w Google Chrome. Czy to na pewno log z OTL już po rekonfiguracji Google Chrome? 2. Podobnie jest z wyszukiwarką Plasmoo w Internet Explorer. OTL nie przetwarza poprawnie tej linii. Start > Uruchom > regedit i wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes Wyszukaj w nim podklucz kierujący do Plasmoo i skasuj. . Odnośnik do komentarza
Aninaj Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Był cały folder Plasmoo z podkluczami i go usunęłam W chrome usuwałam po skanie bo jej nie używam i troche mi zeszło zanim tę wyszukiwarkę znalazłam Odnośnik do komentarza
picasso Opublikowano 7 Maja 2012 Zgłoś Udostępnij Opublikowano 7 Maja 2012 W porządku. Przechodzimy do wykończeń: 1. Porządki po narzędziach: W OTL uruchom funkcję Sprzątanie, co usunie z dysku składniki OTL oraz nieszczęsne fragmenty ComboFix, zaś w AdwCleaner wykorzystaj Uninstall. Resztę narzędzi i raportów usuń ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek wykonaj pełne skanowanie systemu za pomocą Avast. Zgłoś się tu z wynikami. . Odnośnik do komentarza
Aninaj Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Ok. Na razie dziękuję za pracowitą noc. Jesteś super. Przystępowałam do tego czyszczenia z robactwa z wielką obawą czy podołam, czy wszystko zrozumiem ze względu na "wiek nie komputerowy" Ale było wszystko tak jasne, że chyba niewiele zrobiłam błędów? Zgłoszę się jutro. Miłego dnia. Odnośnik do komentarza
Aninaj Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 Zrobiłam skan pełny Avastem i wykrył 1 zagrożenie: Plik przeniosłam do kwarantanny zgodnie z sugestią Avasta. Zrobiłam tez zgodnie z sugestią Avasta skan przy starcie komputera. Avast nic nie wykrył chyba, bo nie było żadnego komunikatu po tym skanie. Próbowałam znaleźć coś na temat tego trojana w sieci, ale w j.polskim nie było absolutnie żadnych informacji. Ponieważ nie dawał mi spokoju pokazaną ścieżką w Avaście, weszłam do folderu Documents and Settings, znalazłam ten plik i go ręcznie wywaliłam. Potem wywaliłam z kosza. Wyłączyłam Przywracanie systemu, zresetowałam komputer i jeszcze raz sprawdziłam czy nie wrócił na miejsce i okazało się, że go tam nie ma. Następnie przeskanowałam Avastem folder "Ustawienia Lokalne" ze ścieżki C:\Documents and Settings i Avast nie wykrył zagrożeń. Czy w związku z tym mogę domniemywać, że ten trojan już nie istnieje w moim komputerze, czy też może lepiej ponownie wstawić logi do przeanalizowania ? Odnośnik do komentarza
picasso Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Ta pierwsza wykryta pozycja pochodzi z cache Java (przyrównaj to do "Tymczasowych plików internetowych", tylko od aplikacji Java). Zostało to usunięte i nie sądzę, że jest to problem. Dodatkowo możesz wejść do Panelu sterowania, otworzyć aplet Java i posłużyć się tam wbudowaną ogólną opcją czyszczenia plików tymczasowych Java. Możemy przejść do finalizacji: 1. Dla bezpieczeństwa na wszelki wypadek zmień hasła logowania w serwisach. 2. Wykonaj drobne aktualizacje: KLIK. Na liście zainstalowanych widzę: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83217002FF}" = Java 7 Update 2"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player"Gadu-Gadu" = Gadu-Gadu 7.7"Gadu-Gadu 10" = Gadu-Gadu 10"Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Konkretnie chodzi mi o: - Są dwie gałęzie Java, obie są w nowszych wersjach i należy je z osobna zaktualizować. Linię 6 należy zachować, masz OpenOffice, który nie interpretuje Java 7. - Starszy Adobe Reader odinstaluj, sprawdź czy na pewno posiadasz najnowsze wersje wtyczek Adobe Flash (log nie podaje dokładnej wersji). - Najwyższy czas aktualizować Firefox do drugiej wysokiej linii. Gałąź 3.x zakończyła żywot. - Uwaga poboczna: ten duplikat Gadu nie wygląda "zdrowo", w rozumieniu że GG7 nawet nie potrafi obsłużyć własnej sieci i ma niski poziom zabezpieczeń, zaś GG10 jest po prostu straszne (więcej reklam i śmieci niż "komunikatora"). Rozważ alternatywę. Do wglądu artykuł Darmowe komunikatory i opisy: AQQ, Kadu, WTW, Miranda. . Odnośnik do komentarza
Aninaj Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 Zrobiłam jeszcze skan MAM i wykrył jeszcze cos takiego: Aktualizacje Windowsa robiłam na bieżąco chyba jeszcze z m-c temu, a potem zaczęło mi sie coś dziać i dostawałam komunikat,że nie można zainstalować jakichś aktualizacji no i wyłaczyłam automatyczne. Na bieżąco aktualizuje mi się Adobe.Co jakiś czas wyskakuje okno z aktualizacją i zatwierdzam. Myśłałam,że to się wszystko aktualizuje. Zastanawiałam się tylko czy wszystkie są mi potrzebne.Adobe Raider 8 mam odinstalować tak ?Może coś z tego można jeszcze odinstalować. GG rzadko używam, a 10 wcale bo mi sie nie podobała ta nadmierna rozbudowa. Raczej korzystam ze skypa. Miałam aktualizację automatyczną ale od " 5" bodajże nie widzi mojej.kamery. Każe kupić polecaną przez Skypa i dlatego musiałam wrócić do starszej wersji i wyłaczyć automatyczną aktualizację. Jeśli chodzi o FF to tez musiałam wyłaczyć aktualizację z 2 powodów. Mam dodatek ScrapBook i tam mnóstwo zapisanych stron.Nowsze wersje FF nie mają tego dodatku- to po pierwsze, a po drugie Nie mogę z nowszej wersji zalogować sie na forum na którym bywam codziennie. Stronę wyświetla, ale nie wyświetla opcji logowania..Chrome mi sie nie podoba. Już nawet zastanawiałam się na opcją zainstalowania nowszej wersji FF na innym dysku z inną nazwą, ale nie wiem czy to możliwe. Nad komunikatorem pomyślę. Aktualizację Windowsa już mi wiszą na pasku, ale czekałam z uruchomieniem do załatwienia sprawy tych trojanów, coby już nie mieszać.SP 3 jak widać mam zainstalowanego, tylko nie zwróciłam uwagi czy mi sie aktualizuje.Podobno może z tym byc problem, gdzies chyba tu czytałam na forum na ten temat.Muszę na to popatrzeć, Jeśli chodzi o Javę to pobrałam już 7 update4 ze strony Java, tylko trzeba odinstalować i zainstalować na nowo. Gorzej będzie z Tą Java 6 ale będę szukała nowszych wersji, choć zawsze mam z tym problem co pobrać. Acha mam pytanie bo nie wiem jak odinstalować ten programik BlitzBlank. Nie widzę tam opcji uninstall Jeszcze raz Ci ślicznie dziękuję za pomoc, i poświęcenie mi czasu. Odnośnik do komentarza
picasso Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Zrobiłam jeszcze skan MAM i wykrył jeszcze cos takiego. Te wyniki są bez znaczenia. To PUM = "Potencjalnie niepożądana modyfikacja", a konkretnie wyłączone powiadomienia Centrum zabezpieczeń. Alerty mogą zostać zdeaktywowane: ręcznie przez użytkownika, za pomocą tweakera, przez infekcję. MBAM wszystkie scenariusze wykryje w taki sam sposób, gdyż nie jest w stanie zidentyfikować pochodzenia tej edycji. I niezależnie od tego kto/co to modyfikowało, są to tylko wyłączone powiadomienia. Jeśli pragniesz je przywrócić, "usuń" te wyniki przez MBAM (będzie to równoznaczne z rekonfiguracją w rejestrze a nie faktycznym "usuwaniem") lub ręcznie w Panelu sterowania skonfiguruj powiadomienia Centrum. Acha mam pytanie bo nie wiem jak odinstalować ten programik BlitzBlank. Nie widzę tam opcji uninstall Program jest bezinstalacyjny. Wystarczy skasować ręcznie jego plik EXE oraz log tekstowy, który utworzył na dysku systemowym. Aktualizacje Windowsa robiłam na bieżąco chyba jeszcze z m-c temu, a potem zaczęło mi sie coś dziać i dostawałam komunikat,że nie można zainstalować jakichś aktualizacji no i wyłaczyłam automatyczne. Czy problem z Automatycznymi aktualizacjami nadal występuje? Na bieżąco aktualizuje mi się Adobe.Co jakiś czas wyskakuje okno z aktualizacją i zatwierdzam. Myśłałam,że to się wszystko aktualizuje. Zastanawiałam się tylko czy wszystkie są mi potrzebne.Adobe Raider 8 mam odinstalować tak ?Może coś z tego można jeszcze odinstalować. Zadałam po prostu pytanie czy Adobe Flash jest w najnowszej wersji, bo log z OTL nie dostarcza precyzyjnego buildu. Skoro aktualizujesz, to w porządku. Tak, masz odinstalować stary Adobe Reader 8. Posiadasz już najnowszą wersję 10.1.3, zakreśliłam ją, by stworzyć porównanie. Jeśli chodzi o Javę to pobrałam już 7 update4 ze strony Java, tylko trzeba odinstalować i zainstalować na nowo. Gorzej będzie z Tą Java 6 ale będę szukała nowszych wersji, choć zawsze mam z tym problem co pobrać. Ależ Java 6 jest też podana na stronie do pobrania: KLIK. Zjedź na pozycję Java SE 6 Update 32, w kolumnie JRE kliknij w Download. Jeśli chodzi o FF to tez musiałam wyłaczyć aktualizację z 2 powodów. Mam dodatek ScrapBook i tam mnóstwo zapisanych stron.Nowsze wersje FF nie mają tego dodatku- to po pierwsze, a po drugie Nie mogę z nowszej wersji zalogować sie na forum na którym bywam codziennie. Stronę wyświetla, ale nie wyświetla opcji logowania.. Niestety będziesz zmuszona prędzej czy później wykonać krok aktualizacji Firefox. Wersja 3.x jest oficjalnie wycofana z użytku, brak wsparcia, nie będzie żadnych aktualizacji bezpieczeństwa. Posługiwanie się przestarzałą wersją może narazić na infekcje. W kwestii problemów nowszej wersji: - ScrapBook: na stronie addonów jest wersja KLIK, która zdaje się być zgodna z najnowszym Liskiem. Bez problemu zainstalowałam to na Firefox 12.0. - Logowanie na forum: może nie wyczyszczone cache lub wadliwy dodatek, może należy przeprowadzić czystą instalację Firefox na świeżym profilu. Podaj o jaką stronę chodzi (o ile to nie "ścisła tajemnica"), to sprawdzę jak na najnowszym Firefox widać tę stronę. . Odnośnik do komentarza
Rekomendowane odpowiedzi