arci Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Witam, jestem kolejną ofiarą ataku w trakcie przeglądania internetupojawiło się okno, którego nijak nie można obejść. Wcześniejsze poszukiwnia skierowały mnie na combofix - i dopiero trafiając do Was, widzę, że błąd zrobiłem skanując lapka tym programem. Wg Waszych wskazówek załączam również log z combo. proszę o pomoc. aj logcombo.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 ComboFix nie adresuje usuwania tej infekcji (przynajmniej na dzień dzisiejszy) więc tym bardziej głupota go stosować. 1. Wejdź w panel usuwania programów i odinstaluj śmieci: Ask Toolbar (CocoonSoftware Toolbar) / Babylon toolbar / Deinstalator Strony V9 / Vuze Remote Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1333884056_679271 [2010-11-17 17:36:40 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-04-08 13:20:56 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
arci Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Witam, punkt pierwszy - nie do końca udany - część tylko udało się odinstalować (tryb awaryjny tylko+odinsalowany dawno temu IE - może dlatego nie mógł ruszyć tego). reszta poszła ok. LOG w załączniku. Dzięki za pomoc - teraz już system działa normalnie.....dziwi mnie tylko, że caspersky nie uchonił..... OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Należy tu wykonać skrypt poprawkowy o takiej zawartości: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333884056_679271 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1333884056_679271 IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627 IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=CCS&o=15777&src=crm&q={searchTerms}&locale=en_EU FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" [2012-06-03 20:39:30 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lva729pj.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-05-09 11:37:46 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lva729pj.default\extensions\engine@conduit.com [2012-01-12 17:52:18 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lva729pj.default\extensions\ffxtlbr@babylon.com [2010-08-06 21:49:22 | 000,002,242 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lva729pj.default\searchplugins\askcom.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [reboot] Nowy log z OTL pokazujesz. Odnośnik do komentarza
arci Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 witam, sorry, że tak późno - ale dopiero z pracy wróciłem. w załącziku nowy log - po skrypcie. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4.Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
arci Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 4.Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci. wszystkie hasła - czy tylko te zapamiętane? chodzi mi głównie o bankowość - bo społecznościówki wszystkie to nie problem... Odnośnik do komentarza
Landuss Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Zmień te zapamiętane, najważniejsze. Odnośnik do komentarza
arci Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 wielkie dzięki!!... Odnośnik do komentarza
Rekomendowane odpowiedzi