PsychOPAT Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Przyszedł dzisiaj do mnie sąsiad z problemem... Standardowe okienko, że to niby pornografia dziecięca i prośba o haracz... Zanim tutaj trafiłem, gdzieś zobaczyłem opis, że Combofix usuwa problem. Po odpaleniu i przeskanowaniu nic nie pomogło... wtedy trafiłem tutaj. Do postu dołączam pliki logów wymaganych + od razu z Combofixa (był odpalony jako pierwszy). W imieniu podłamanego sąsiada z góry dziękuję za pomoc. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... combo.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Cytat Do postu dołączam pliki logów wymaganych + od razu z Combofixa (był odpalony jako pierwszy). To psychOPAT-tyczne. Tyle logów nie jest wymaganych! Obowiązkowym zestawem jest tylko OTL (dla systemów 32-bit także GMER). Pozostałe (DDS | OTS | RSIT) to alternatywy dla sytuacji gdy z jakiś względów nie można uruchomić OTL. Odcinam nadwyżkę. W kwestii użytkowania ComboFix: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [sdchange] C:\Users\Wiktoria\AppData\Local\Microsoft\Windows\4891\sdchange.exe () O3 - HKU\S-1-5-21-973390671-3818227494-1813708451-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-973390671-3818227494-1813708451-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=5f609b49-6d43-11e1-acaa-c80aa9194793&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={04293316-E672-48F7-8358-67D11618DCCE}" IE - HKU\S-1-5-21-973390671-3818227494-1813708451-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-973390671-3818227494-1813708451-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={04293316-E672-48F7-8358-67D11618DCCE}" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&barid={04293316-E672-48F7-8358-67D11618DCCE}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" :Files C:\Users\Wiktoria\AppData\Local\Microsoft\Windows\4891 C:\Users\Wiktoria\AppData\Roaming\hellomoto C:\Users\Wiktoria\AppData\Roaming\Mozilla\Firefox\Profiles\ghgz8hk5.default\searchplugins\sweetim.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{248F7516-4122-4D55-BD83-9CDEF0A67B15}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany). W katalogu F:\_OTL powstanie log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj LiveVDO plugin 1.3 (nośnik adware). 3. Otwórz Google Chrome i menedżerze wyszukiwarek przestaw domyślną z bieżącego śmiecia Web Search na cokolwiek innego (np. Google), następnie usuń Web Search z listy. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. I pytanie, czy te pliki są zdefiniowane / znane, co to jest: Pokaż ukrytą zawartość [2012-03-17 19:32:17 | 001,319,391 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG_5501.JPG [2011-11-26 17:36:06 | 000,069,438 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpGABINET3.JPG [2011-02-24 10:56:21 | 001,160,483 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmp(00)21022011333.JPG [2011-02-03 10:53:48 | 001,159,369 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPTEK.JPG [2011-02-03 10:53:34 | 000,349,080 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPCIA OGLADA.JPG [2011-02-03 10:53:22 | 001,184,945 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPCIA GLASKANA PRZEZ TATE.JPG [2011-02-03 10:53:06 | 000,034,155 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpRESIZE_JA Z SZYNSZYLA.JPG [2011-02-03 10:52:52 | 000,128,586 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpGLASKANIE TUPTUSI.JPG [2011-02-03 10:52:36 | 001,182,201 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPTUSIA.JPG [2011-02-03 10:50:05 | 001,217,176 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPCIA OGLADA.0 [2011-02-03 10:45:51 | 000,447,712 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpGLASKANIE TUPTUSI.0 [2010-09-04 21:58:52 | 000,657,013 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG015.JPG [2010-09-04 21:58:51 | 000,793,736 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG015.0 [2010-09-04 21:40:52 | 000,735,275 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG007.JPG [2010-09-04 21:40:52 | 000,733,837 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG007.2 [2010-09-04 21:40:17 | 000,735,645 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG007.1 [2010-09-04 21:40:11 | 000,876,966 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG007.0 [2010-09-04 21:37:16 | 000,836,588 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG010.0 [2010-09-04 21:37:16 | 000,690,320 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG010.JPG [2010-09-04 21:35:28 | 000,759,207 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG012.JPG [2010-09-04 21:35:27 | 000,920,496 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG012.0 . Odnośnik do komentarza
PsychOPAT Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Te pliki to jakieś zdjęcia. Nie są jakieś ważne, mogę je wywalić, jeśli stwarzają jakieś zagrożenie. 07102012_153547.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Cytat Te pliki to jakieś zdjęcia. Nie są jakieś ważne, mogę je wywalić, jeśli stwarzają jakieś zagrożenie. Ja po prostu pytam co to jest, bo pliki dziwnie wyglądają i leżą w dziwnym miejscu (tu nie należy się spodziewać zapisu takich plików). Rozszerzenie JPG o niczym nie świadczy. Zresztą ... pliki JPG też mogą być zainfekowane (trik z metadata i wstawieniem URL wykonawczego). Sprawa rozwiązana. Przejdź do kolejnych czynności: 1. Na wszelki wypadek usuń w/w pliki. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe (za to inne odpadki narzędzia widoczne), pobierz więc ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Wiktoria\Desktop\ComboFix.exe /uninstall 3. Gdy komenda ukończy, w OTL uruchom Sprzątanie, które dokasuje z dysku OTL i jego kwarantannę z trojanem. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Jeśli brak wyników, przejdź do: 5. Podstawy aktualizacyjne: KLIK. Kontra fragmentaryczny wyciąg wersji z systemu: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416015FF}" = Java 6 Update 15 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 24"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX . Odnośnik do komentarza
Rekomendowane odpowiedzi