Kiecha131 Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Witam, Podczas przeglądania strony internetowej hxxp://blog.iphone-dev.org/ na moim komputerze pojawił się taki obraz czytając różnego rodzaju fora dowiedziałem się że jest to wirus weelsof. Podążając za instrukcją zamieszczoną na tej stronie http://tech.wp.pl/ka...ml?ticaid=1ede7 skorzystałem z progrmau combofix ,lecz to nie pomogło podążając za instrukcją ze strony http://www.cert.pl/news/5483 próbowałem użyć losowego kodu lecz i to nieposkutkowało. Korzystając z trybu awaryjnego zrobiłem logi. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 (edytowane) Strona wp.pl wyrządza dużo złego. Na temat użytkowania ComboFix: KLIK. I zasady działu wyraźnie mówią, by przedstawić log z jego pracy (nie uruchamiaj narzędzia ponownie). W systemie notowalne także resztki innych infekcji (m.in. Qooqlle) oraz adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ec5485dc-1540-11e1-8b89-00241ddbc95d&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ec5485dc-1540-11e1-8b89-00241ddbc95d&q={searchTerms}" IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109993&tt=090212_noffx&babsrc=SP_ss&mntrId=e035a4150000000000000060b344cac8" IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=6F0F606A-9AE4-4826-AF69-A80D2EE7780E&apn_sauid=1BEA4CED-58FB-4096-841B-3A33875CAC8F" IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{2DF3D4EF-C477-4A55-A3C9-7DBE9B3459C1}: "URL" = "http://searchya.com/?chnl=dcom-100&s=1&cr=1765550354&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyEtBtA&q={searchTerms}" IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{95A0BD22-2FD4-4D11-89C7-ADF740F8D089}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110826&user_guid=E1A279A477DC44DCB3B93759F92AB9AD&machine_id=8dcb35a55c4ae1924312a47bba28a6a4&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}" IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "InnoGames Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://searchya.com/?chnl=dcom-100&s=0&cr=1765550354&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyEtBtA" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&q=" FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found CHR - homepage: "http://searchya.com/?chnl=dcom-100&s=0&cr=1765550354&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyEtBtA" O2:64bit: - BHO: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O2 - BHO: (IeMonitorBho Class) - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - g:\Program Files (x86)\Megaupload\Mega Manager\MegaIEMn.dll (Megaupload Limited) O2 - BHO: (DownloadnSave Class) - {1E964D5C-16D3-5374-08D1-B75890A4F7FE} - C:\ProgramData\DownloadnSave\bhoclass.dll File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O4:64bit: - HKLM..\Run: [combofix] C:\ComboFix\CF28859.3XE /c C:\ComboFix\Combobatch.bat File not found O4:64bit: - HKLM..\Run: [sqlServerSpatial] C:\Users\Kiecha\AppData\Local\Microsoft\Windows\2074\SqlServerSpatial.exe () O4 - HKLM..\Run: [Desktop Window Manager] C:\WINDOWS\debug\dwm.exe File not found O4 - HKLM..\Run: [Display Driver] C:\WINDOWS\debug\nvscvr32.exe File not found O4 - HKLM..\Run: [switchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe File not found O4 - HKLM..\Run: [Windows Font Manager] C:\\WINDOWS\\FontCache_x64.exe File not found O4 - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000..\Run: [Desktop Window Manager] C:\WINDOWS\debug\dwm.exe File not found O4 - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000..\Run: [Display Driver] C:\WINDOWS\debug\nvscvr32.exe File not found O4 - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000..\Run: [RDReminder] File not found O4 - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000..\Run: [Windows Font Manager] C:\\WINDOWS\\FontCache_x64.exe File not found :Files C:\Windows\exsvmotnv.exe C:\Windows\kotwyzvzq.exe C:\Windows\xwnldyrmk.exe C:\Windows\kdgyobrwx.exe C:\Windows\ctrfpnpxx.exe C:\Windows\mrodqcqnu.exe C:\Windows\ynmortsqt.exe C:\Windows\kwtivbyhv.exe C:\ProgramData\nvwiz.exe C:\Users\Kiecha\AppData\Local\Microsoft\Windows\2074 C:\Users\Kiecha\AppData\Roaming\hellomoto C:\Users\Kiecha\AppData\Roaming\3DFA C:\Users\Kiecha\AppData\Roaming\log C:\Users\Kiecha\AppData\Roaming\OpenCandy C:\Users\Kiecha\AppData\Roaming\etc.dat C:\Users\Kiecha\AppData\Roaming\DirectX.dat C:\Users\Kiecha\Documents\i68Backups C:\Users\Kiecha\Documents\i68Fifa12 C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\askcom.xml C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\conduit.xml C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\daemon-search.xml C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\searchya.xml C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\startsear.xml C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\yahoo-zugo.xml C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml C:\Program Files (x86)\tbSoft.dll C:\Windows\tasks\DLL-files.com Fixer_UPDATES.job C:\Users\Kiecha\AppData\Local\Temp*.html netsh advfirewall reset /C :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przeprowadź deinstalacje adware: Przez Panel sterowania odinstaluj: Babylon toolbar on IE, Conduit Engine, DownloadnSave, InnoGames Polska Toolbar, Optimizer Pro v3.0, SearchYa Toolbar on IE and Chrome, Softonic-Polska Toolbar, Sopcast Ask Toolbar, Sopcast Ask Toolbar Updater, StartNow Toolbar, V9 HomeTool, vShare.tv plugin 1.3, VshareComplete, YouTube Downloader Toolbar v6.1. Od razu pozbądź się też wątpliwego programu Dll-Files.com Fixer oraz archaicznego Spybot - Search & Destroy. Otwórz Firefox i w Dodatkach odinstaluj: Conduit Engine, DownloadnSave, InnoGames Polska Community Toolbar, Sopcast Ask Toolbar, ST-Polska Community Toolbar, VshareComplete, uTorrentBar Community Toolbar 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Edytowane 26 Sierpnia 2012 przez picasso 27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi