tomekkawior Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Witam Infekcja Weelsof/Ukash ;-/ *czy zmieniony User Agent w Firefox - mógł miec wpływ na infekcję ? tzn. "jajcarska nazwa" mogła otworzyć przeglądarkę dla tego trojana ? *czy można wskazać źródło infekcji - by uniknąć jej w przyszłości ? + skan z Malwarebytes AntiMalware: *adware.adon - users/admin/../ebayshortcuts.exe *hacktool.hiderun - windows/installer/msi16b2.tmp *spyware.onlinegames - lame_enc.dll ? o.0 Pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 *czy zmieniony User Agent w Firefox - mógł miec wpływ na infekcję ?tzn. "jajcarska nazwa" mogła otworzyć przeglądarkę dla tego trojana ? Nie sądzę. *czy można wskazać źródło infekcji - by uniknąć jej w przyszłości ? To ty powinieneś wiedzieć gdzie się zaraziłeś nie my. Z tego co piszą użytkownicy to te źródła są różne, ale głównie chodzi o kliknięcie w jakiś link, ktoś też pisał, że podczas grania w CS w sieci weszła mu ta infekcja. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | Boot | Unknown] -- system32\drivers\Partizan.sys -- (Partizan) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Gt51Ip.sys -- (GT72NDISIPXP) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\lgandadb.sys -- (androidusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandmodem.sys -- (ANDModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandgps.sys -- (AndGps) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lganddiag.sys -- (AndDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandbus.sys -- (Andbus) O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No CLSID value found. O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found. O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found. O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found. O4 - HKLM..\Run: [TabbtnEx] C:\Users\Admin\AppData\Local\Microsoft\Windows\3565\TabbtnEx.exe () O4 - HKU\.DEFAULT..\RunOnce: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-19..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found :Files C:\Users\Admin\AppData\Roaming\hellomoto C:\Users\Admin\AppData\Local\Microsoft\Windows\3565 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj Spybot Search & Destroy. Program kompletnie przestarzały i nie nadaje się już dzisiaj do niczego. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
tomekkawior Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Wielkie dzięki 1.Niestety użytkownikiem Pc, w momencie zarażenia, była dziewczyna która nie ma pojęcia co kliknęła ;-/ Grała na nk.pl - jednocześnie przeglądając allegro. Na nk mam blokadę Adblock, na allegro nie - szkoda, żródło przydałoby się do analizy. 2.Spybot - jakaś lepsza darmowa alternatywa ? [bo płatna to pewnie Spyware Dr] 2a.Spybot - a jego nowsza wersja będzie lepsza ? [ciągle w wersji beta] 3.Komputer po restarcie znacznie spowolnił. 4.Czy jest zabezpieczenie przed ponownym złapaniem tego wirusa ? OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 2.Spybot - jakaś lepsza darmowa alternatywa ? [bo płatna to pewnie Spyware Dr] 2a.Spybot - a jego nowsza wersja będzie lepsza ? [ciągle w wersji beta] W ogóle ten program jest zbędny. Masz Nortona a on posiada wszystkie funkcje Spybota. Nie ma sensu powielać tego. Swoją drogą to Norton też nie jest już tu nowy. Sterowniki datowane na rok 2009 i przydała by się albo jego najnowsza wersja albo jakaś inna alternatywa, ale to już ty decyduj. 3.Komputer po restarcie znacznie spowolnił. Czy to jednorazowe? Czy nadal wystepuje? 4.Czy jest zabezpieczenie przed ponownym złapaniem tego wirusa ? Nie wiem, po prostu uważajcie w co klikacie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji (to ważne): KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
tomekkawior Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 1.Odnoszę wrażenie że nadal - po zrobieniu kopii zapasowych zrobię mu zasłużony format... Laptop ma kilka lat, może to wina hardware. 2.Najlepsze jest to że nie używam IE kompletnie czasem podczas klikania w Excelu linków otwiera mi okno IE ale tylko wtedy [ew. podczas przeglądania plików xml] No ale zaktualizuję. Serdeczne Dzięki za uratowanie Pc Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi