trollH Opublikowano 7 Października 2012 Zgłoś Udostępnij Opublikowano 7 Października 2012 Witam serdecznie. Trochę poczytałem o komunikatach, które zaczęły pojawiać się systematycznie na moim komputerze i domyślam się, że chodzi o Coin Miner. Niestety nie mam pojęcia jak z tym sobie poradzić dlatego proszę o pomoc. Używam win 7x64 bit oraz przeglądarki Chrome. Wykonałem skan OTL i zamieszczam tutaj linki: http://wklej.org/id/843165/ http://wklej.org/id/843170/ Z góry dziękuje. Odnośnik do komentarza
picasso Opublikowano 8 Października 2012 Zgłoś Udostępnij Opublikowano 8 Października 2012 (edytowane) Trochę poczytałem o komunikatach, które zaczęły pojawiać się systematycznie na moim komputerze i domyślam się, że chodzi o Coin Miner. Tylko, że nie przedstawiłeś co widzisz. Konkrety: jakie komunikaty, co je produkuje. Infekcja jest obecna w systemie. Ponadto jeszcze wtręty adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [Activex Application Updater] C:\Users\troll.Troll-Gekon\AppData\Roaming\Microsoft\Windows\Templates\spsreng.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [AdobeUpdate] C:\Users\troll.Troll-Gekon\AppData\Roaming\Adobe32\invis.vbs () O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [krgojyumulcksaaifht] C:\Users\troll.Troll-Gekon\AppData\Roaming\krgojyumulcksaaifht.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [Microsoft® Windows® Operating System] C:\Users\troll.Troll-Gekon\AppData\Roaming\Microsoft\Windows\Templates\msadrh10.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [stplpfhevfcucfammws] C:\Users\troll.Troll-Gekon\AppData\Roaming\stplpfhevfcucfammws.exe (Microsoft Corporation) IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=e7ade89c-9aae-4870-8db3-1a1604714a6a&affid=111585&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=3412_8&babsrc=SP_ss&mntrId=90988c810000000000000022152352e5" IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={44B1F6CA-3E99-426C-98D4-D63D8C24045E}&mid=86e6357a2ca947d0beadd16b53c7bb16-879be1b60f79cf3d32134345446a89b1781c6463&lang=pl&ds=xn011&pr=sa&d=2012-09-09 18:21:24&v=12.2.0.5&sap=dsp&q={searchTerms}" FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.0: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll File not found FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.104.0: C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll File not found FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.116.0: C:\Program Files (x86)\Battlelog Web Plugins\1.116.0\npesnlaunch.dll File not found FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.122.0: C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll File not found FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.96.0: C:\Program Files (x86)\Battlelog Web Plugins\1.96.0\npesnlaunch.dll File not found :Files C:\Users\troll.Troll-Gekon\AppData\Roaming\*.exe C:\Users\troll.Troll-Gekon\AppData\Roaming\Adobe32 C:\Users\troll.Troll-Gekon\AppData\Roaming\Microsoft\Windows\Templates\*.exe C:\Users\troll.Troll-Gekon\AppData\Roaming\dclogs C:\Users\troll.Troll-Gekon\AppData\Roaming\OpenCandy C:\Program Files (x86)\1ClickDownload netsh advfirewall reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Search Bar"=- "Search Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 2. W systemie brakuje pliku HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 3. W Firefox i Google Chrome w rozszerzeniach odinstaluj OneClickDownload. Przez Panel sterowania odinstaluj adware Ask Toolbar, AVG Security Toolbar, IncrediMail MediaBar 4 Toolbar, V9 Homepage Uninstaller, vShare.tv plugin 1.3. Dodatkowo pozbądź się przestarzałego skanera Spybot - Search & Destroy oraz wątpliwego SpyHunter. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4. . Edytowane 9 Listopada 2012 przez picasso 9.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi