wi3lki Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Witam, Tak jak w temacie, poniżej przesyłam niezbędne pliki. Dziękuje. Przepraszam za spam, ale cos mi wlasnie fiksuje... Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Wielokrotne posty scaliłam. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=b4d9bb82-8d78-11e1-bc8f-6c626dd8c176&q={searchTerms}" IE - HKU\S-1-5-21-1496740862-1212796334-510915182-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={F2C39E43-08FA-4B06-BE81-FBBB7AD5046F}&mid=6b7a9bafa7bf47d1b40dbd2b2b3c2885-94613708c3d9c656af7aafbd1e451874fd2a3d9f&lang=pl&ds=AVG&pr=fr&d=2012-06-08 22:32:34&v=12.2.5.32&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-1496740862-1212796334-510915182-1000\..\SearchScopes\{A6BFBD1A-4FA3-4101-A59A-367B75FDBDEB}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=85FFD5A7-FD7A-40A8-B9A1-3D3949A028FE&apn_sauid=22E32F8D-3714-4CBC-B5CF-04E672706701" O3 - HKU\S-1-5-21-1496740862-1212796334-510915182-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [taskbarcpl] C:\Users\danio\AppData\Local\Microsoft\Windows\962\taskbarcpl.exe () O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - [2011-10-12 00:30:46 | 000,111,632 | ---- | M] (TMRG, Inc.) [Auto | Stopped] -- C:\Program Files\RelevantKnowledge\rlservice.exe -- (RelevantKnowledge) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nvhda32v.sys -- (NVHDA) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\EIO.sys -- (EIO) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\danio\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO) :Files C:\Users\danio\AppData\Local\Microsoft\Windows\962 C:\Users\danio\AppData\Roaming\hellomoto C:\Users\danio\AppData\Roaming\Uwok C:\Users\danio\AppData\Roaming\Roim C:\Users\danio\AppData\Roaming\Fowusu C:\Users\danio\AppData\Roaming\Umzuor C:\Users\danio\AppData\Roaming\Rikem C:\Users\danio\AppData\Roaming\Aqha C:\ProgramData\vfzpfdyijjwrste C:\Windows\System32\b8d81714.dll C:\Program Files\RelevantKnowledge C:\Users\danio\AppData\Roaming\mozilla\firefox\profiles\gzp73afc.default\extensions\505244efa4987@505244efa49c0.com.xpi :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{3C5F0F00-683D-4847-89C8-E7AF64FD1CFB}"=- [HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions] "{EB132DB0-A4CA-11DF-9732-0E29E0D72085}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie i działasz już w Trybie normalnym: 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, uTorrentBar Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Skutek uboczny: AdwCleaner usunie AVG Secure Search, gdyż ten komponent traktuje jako sponsora. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. . Odnośnik do komentarza
wi3lki Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 1. Dziękuje. 2. C:\Users\danio\AppData\Roaming\Uwok C:\Users\danio\AppData\Roaming\Roim C:\Users\danio\AppData\Roaming\Fowusu C:\Users\danio\AppData\Roaming\Umzuor C:\Users\danio\AppData\Roaming\Rikem C:\Users\danio\AppData\Roaming\Aqha //co te wpisy oznaczają 3. Przesyłam raporty w załączniku. 4. Jaki poleciłabyś dobry program anty virus żeby mnie zabezpieczał w przyszłości przed czymś takim ? AdwCleanerS1.txt OTL_new.Txt Odnośnik do komentarza
picasso Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Wymagana poprawka. W międzyczasie nowe foldery infekcji się ujawniły oraz należy usunąć szczątki po właśnie usuniętych paskach. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found O4 - HKCU..\Run: [Ciyfr] C:\Users\danio\AppData\Roaming\Meen\sukum.exe File not found :Files C:\Users\danio\AppData\Roaming\Yhonoh C:\Users\danio\AppData\Roaming\Ufok C:\Users\danio\AppData\Roaming\Meen :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Do oceny wystarczy tylko log z wynikami usuwania. Nowy skan OTL niepotrzebny. C:\Users\danio\AppData\Roaming\UwokC:\Users\danio\AppData\Roaming\Roim C:\Users\danio\AppData\Roaming\Fowusu C:\Users\danio\AppData\Roaming\Umzuor C:\Users\danio\AppData\Roaming\Rikem C:\Users\danio\AppData\Roaming\Aqha //co te wpisy oznaczają To foldery utworzone przez infekcję. Dane brane z Twojego raportu OTL. 4. Jaki poleciłabyś dobry program anty virus żeby mnie zabezpieczał w przyszłości przed czymś takim ? Dyskusja na forum: KLIK. . Odnośnik do komentarza
wi3lki Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 Bardzo dziękuje za pomoc. Poniżej Raporty :-) Miłego wieczoru życzę. rap1.txt Odnośnik do komentarza
picasso Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Jak mówiłam, tylko log z usuwania i nowy skan nie był potrzebny (usuwam), bo ostatnia z ingerencji takiego poziomu, że ocena może się opierać tylko na wynikach usuwania. Akcja wykonana i galopujemy ku końcowi: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek przeskanuj system za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
RA1 Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 C:\Users\danio\AppData\Roaming\UwokC:\Users\danio\AppData\Roaming\Roim C:\Users\danio\AppData\Roaming\Fowusu C:\Users\danio\AppData\Roaming\Umzuor C:\Users\danio\AppData\Roaming\Rikem C:\Users\danio\AppData\Roaming\Aqha //co te wpisy oznaczają Dokładnie to jest Trojan Zeus (Zbot). Nowe próbki nie są wykrywane przez większość antywirusów. http://niebezpiecznik.pl/post/botnet-w-chmurze/ http://niebezpiecznik.pl/post/zeus-straszy-polskie-banki/ Odnośnik do komentarza
wi3lki Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 W załączniku raport. mbam-log-2012-09-27 (18-01-30).txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 1. Wyniki MBAM: nic szczególnego. Adware.Agent to owszem instalator z adware, Trojan.FakeAlert (w FreeCodec.exe) wygląda na coś w tym rodzaju: KLIK, aktywator przemilczę. 2. Na zakończenie zaktualizuj Windows i wyliczone poniżej aplikacje: KLIK. Twój log pokazuje, że brak pakietu SP1 dla Windows 7 oraz są następujące wersje aplikacji zainstalowane: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> wersja nieznana"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowszy FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) PS. I polecam wymianę Gadu-Gadu 10 czymś lżejszym. Propzycje: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi