cocolino Opublikowano 20 Października 2012 Zgłoś Udostępnij Opublikowano 20 Października 2012 Dałem się wrobić w vshare-plugin.exe: Usuwałem pliki przy pomocy AdwCleanera, ale chyba coś tam jeszcze siedzi. Zamieszczam logi i bardzo proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 21 Października 2012 Zgłoś Udostępnij Opublikowano 21 Października 2012 Przede wszystkim siedzi tutaj infekcja ZeroAccess i tym trzeba się zająć najpierw. Wykonaj jeszcze dwa dodatkowe raporty. 1. Uruchom SystemLook x64 i do okna wklej: :filefind services.exe Klik w Look i przedstaw wynikowy raport. 2. Wykonaj raport z Farbar Service Scanner Odnośnik do komentarza
cocolino Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Dzięki za pomoc! W załączniku raporty. SystemLook 30.07.11 by jpshortstuff Log created at 11:10 on 21/10/2012 by Mikolaj Rzepka Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe ------- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe ------- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt Odnośnik do komentarza
Landuss Opublikowano 21 Października 2012 Zgłoś Udostępnij Opublikowano 21 Października 2012 Infekcja wygląda jakby była tylko w szczątkach i nie do końca aktywna. Tym lepiej dla Ciebie. 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep to polecenie: reg delete HKCU\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2.Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{57701A3D-07F6-4F55-BC9E-1692A40C9C40}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=23e8ade5-1ad4-11e2-a7b9-60eb699e4438&q={searchTerms}" IE - HKU\S-1-5-21-908436730-568902493-987990705-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-908436730-568902493-987990705-1000\..\SearchScopes\{57701A3D-07F6-4F55-BC9E-1692A40C9C40}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=23e8ade5-1ad4-11e2-a7b9-60eb699e4438&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=23e8ade5-1ad4-11e2-a7b9-60eb699e4438" [2012-02-10 15:22:00 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Mikolaj Rzepka\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-908436730-568902493-987990705-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKU\S-1-5-21-908436730-568902493-987990705-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found :Files C:\Users\Mikolaj Rzepka\AppData\Local\{5c25b783-45bc-15ea-2da4-a4b9a0d97633} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
cocolino Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Zrobione, nowy log w załączniku. Co robimy teraz? OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 Wszystko poprawnie zostało usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
cocolino Opublikowano 22 Października 2012 Autor Zgłoś Udostępnij Opublikowano 22 Października 2012 Dzięki za pomoc w usunięciu tego syfu. Pytanko jeszcze jedno - dlaczego w logach AdwCleanera ciągle siedzi plik prefs.js z Firefoxa? Generowałem nowy. AdwCleanerR8.txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 Pytanko jeszcze jedno - dlaczego w logach AdwCleanera ciągle siedzi plik prefs.js z Firefoxa? Generowałem nowy. Źle interpretujesz ten wpis. To jest istotne: -\\ Mozilla Firefox v16.0.1 (pl) Profile name : default File : C:\Users\Mikolaj Rzepka\AppData\Roaming\Mozilla\Firefox\Profiles\seecrsqu.default\prefs.js [OK] File is clean. Plik prefs.js zawsze się tu pokaże, jeżeli AdwCleaner jest w stanie wykryć obecność Firefox na dysku. AdwCleaner pokazuje który plik trzyma preferencje przeglądarki, a następnie na dole oznacza jego status, czy coś w nim wykrył czy też nie. Oczywiście odnosi się do własnych definicji, gdyż AdwCleaner nie wykrywa wszystkich możliwych adware. . Odnośnik do komentarza
Rekomendowane odpowiedzi