Saig Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Witam, dziś mój komputer został zablokowany przez "policję" przeskanowałem system programem Malwarebytes Anti-Malware 1.65.1.1000 i wszystko działa, system jest odblokowany itd. ale czy to wystarczy i jakie inne kroki powinienem podjąć, żeby całą operację czyszczenia dokończyć. W załączniku przesyłąm pliki OTL-a Z góry dziękuję za pomoc i pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Nie przedstawiłeś raportu MBAM do wglądu, dla orientacji co program usuwał. Wg OTL infekcja wprawdzie usunięta, ale to nie koniec działań. W systemie jest też adware, które należy usunąć. 1. Odinstaluj adware: - Otwórz Firefox i w Dodatkach odinstaluj Ask Toolbar, DAEMON Tools Toolbar, Funmoods.com. W Google Chrome w Rozszerzeniach powtórz usuwanie Funmoods. - Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater, DAEMON Tools Toolbar, McAfee Security Scan Plus. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{F8305D7D-CF69-465a-9003-813C6013A702}: "URL" = "http://start.flashvideodownloader.org/result.php?cx=partner-pub-5087362176467115:lyglkqaff6i&cof=FORID:10&ie=ISO-8859-1&sa=Search&q={searchTerms}" IE - HKLM\..\SearchScopes\{F8305D7D-CF79-465a-9003-813C6013A702}: "URL" = "http://start.flashvideodownloader.org/result.php?cx=partner-pub-5087362176467115:h6z8ss-efx2&cof=FORID:10&ie=ISO-8859-1&sa=Search&q={searchTerms}" IE - HKU\S-1-5-21-2835507053-3087473090-3979529323-1000\..\SearchScopes\{1A365CBD-0EB8-4FCF-BDE6-BA5472A9DFE0}: "URL" = "http://start.funmoods.com/results.php?f=4&a=pvl&q={searchTerms}" IE - HKU\S-1-5-21-2835507053-3087473090-3979529323-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-2835507053-3087473090-3979529323-1000\..\SearchScopes\{DE57D34F-3BF1-4E6D-BF25-83C83B7EBD9A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=2FC97CFA-D3D0-4DAE-B1FE-DC9B6C635C56&apn_sauid=F4D5A39D-E76E-44C7-9975-69A246C9F08C" IE - HKU\S-1-5-21-2835507053-3087473090-3979529323-1000\..\SearchScopes\{F8305D7D-CF69-465a-9003-813C6013A702}: "URL" = "http://start.flashvideodownloader.org/result.php?cx=partner-pub-5087362176467115:lyglkqaff6i&cof=FORID:10&ie=ISO-8859-1&sa=Search&q={searchTerms}" IE - HKU\S-1-5-21-2835507053-3087473090-3979529323-1000\..\SearchScopes\{F8305D7D-CF79-465a-9003-813C6013A702}: "URL" = "http://start.flashvideodownloader.org/result.php?cx=partner-pub-5087362176467115:h6z8ss-efx2&cof=FORID:10&ie=ISO-8859-1&sa=Search&q={searchTerms}" O4 - HKLM..\Run: [] File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.) [2012-08-31 16:11:51 | 000,002,299 | ---- | M] () -- C:\Users\Szymon\AppData\Roaming\mozilla\firefox\profiles\n0gmd0rw.default\searchplugins\askcom.xml [2012-03-05 14:29:35 | 000,001,797 | ---- | M] () -- C:\Users\Szymon\AppData\Roaming\mozilla\firefox\profiles\n0gmd0rw.default\searchplugins\funmoods.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. . Odnośnik do komentarza
Saig Opublikowano 24 Października 2012 Autor Zgłoś Udostępnij Opublikowano 24 Października 2012 Podsyłam zaległy log z MBAM oraz ADW i OTL mbam-log-2012-10-24 (16-59-24).txt AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Komentując właściwy wynik związany z infekcją: KKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SMBHelper (Trojan.Ransom) -> Data: C:\Users\Szymon\AppData\Local\Microsoft\Windows\1881\SMBHelper.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. MBAM usuwał tylko plik, ale cały folder w którym on siedział stworzyła infekcja i to będziemy usuwać. Natomiast zadane przeze mnie operacje wykonane i tylko poprawki zostały. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Szymon\AppData\Local\Microsoft\Windows\1881 :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 3. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Log opowiada, że masz zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1033-7B44-A80000000002}" = Adobe Reader 8"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) W skrócie: z biegu odinstaluj widoczne tu pozycje Adobe i Java, przed instalacją najnowszej wersji. PS. Widzę też Gadu-Gadu 10. Polecam alternatywne mniej męczące zasoby systemowe programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Saig Opublikowano 24 Października 2012 Autor Zgłoś Udostępnij Opublikowano 24 Października 2012 Pięknie dziękuję za pomoc !!! Odnośnik do komentarza
Rekomendowane odpowiedzi