jojo80 Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Witam, dzisiaj wieczorem przy przeglądaniu stronek i forum o szczepionkach dla dzieci nagle w prawym dolnym rogu obok zegarka zaczęły mi wyskakiwać komunikaty, że pliki są zainfekowane przez wirus i odpalił się jakiś niby programik antywirusowy... Oczywiście nic nie dało się mądrego zrobić w tym programie - usunąć problemu, itp - tylko trzeba niby wykupić pełną wersję oprogramowania. Nie da się odpalić neta, żadnego programu, nic... Dopiero w trybie awaryjnym odpaliłem neta i forum, które kiedyś mi już pomogło z Ukash... Załączam raporty z OTL. Proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2012 Zgłoś Udostępnij Opublikowano 21 Listopada 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [sonyAgent] C:\Windows\Temp\temp68.exe () O4 - HKU\S-1-5-21-2390917667-422551507-1069974073-1000..\Run: [Ytsuf] C:\Users\ceglarek.ceglarek-PC\AppData\Roaming\Unozfe\liabt.exe () O4 - HKU\S-1-5-21-2390917667-422551507-1069974073-1000..\RunOnce: [963C7A52099FB5EA0000963BE41DBD82] C:\ProgramData\963C7A52099FB5EA0000963BE41DBD82\963C7A52099FB5EA0000963BE41DBD82.exe () IE - HKU\S-1-5-21-2390917667-422551507-1069974073-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112185&tt=4512_7&babsrc=SP_ss&mntrId=9633b5ea0000000000000016eacf9ed0" IE - HKU\S-1-5-21-2390917667-422551507-1069974073-1000\..\SearchScopes\{F07086A0-165C-450C-A649-23602FCE9C7E}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7bad7f90-ff75-11e1-addf-00030da6d0b1&q={searchTerms}" :Files C:\ProgramData\963C7A52099FB5EA0000963BE41DBD82 C:\Users\ceglarek.ceglarek-PC\AppData\Roaming\Wowus C:\Users\ceglarek.ceglarek-PC\AppData\Roaming\Veac C:\Users\ceglarek.ceglarek-PC\AppData\Roaming\Unozfe C:\Users\ceglarek.ceglarek-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection C:\Users\ceglarek.ceglarek-PC\Desktop\System Progressive Protection.lnk C:\Users\ceglarek.ceglarek-PC\AppData\Roaming\Babylon C:\ProgramData\Babylon C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Services UsbserFilt upperdev pccsmcfd nmwcdnsuc nmwcdnsu nmwcdc nmwcd :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Infekcja przestanie blokować uruchamianie aplikacji. 2. Wyczyśc Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
jojo80 Opublikowano 21 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Witam, załączam wszystkie trzy raporty... Proszę o dalsze instrukcje. OTL_2.Txt AdwCleanerS1.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Wszystko pomyślnie wykonane, przejdź do wykończeń: 1. Poprawka domyślnych wyszukiwarek IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F9E04236-E8B9-461A-9A64-FA8A9A776165}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, folder "Stare dane programu Firefox" na Pulpicie usuń. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Dla pewności wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
jojo80 Opublikowano 22 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2012 witam, załączam raport z malware... wykryto jeden obiekt... mbam-log-2012-11-22 (18-57-59).txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2012 Zgłoś Udostępnij Opublikowano 23 Listopada 2012 MBAM wykrył keygen do WinRARa ... Za keygeny nie biorę żadnej odpowiedzialności i polecam usuwanie. Na zakończenie: 1. Zrób aktualizacje wymienionych poniżej programów: KLIK. Wg raportu obecnie masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"KLiteCodecPack_is1" = K-Lite Codec Pack 4.8.5 (Full)"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.50524.0\npctrl.dll ( Microsoft Corporation) W podsumowaniu: starsze wyliczone tu wersje Adobe / Java / Silverlight usuń i zainstaluj najnowsze, zaktualizuj Firefox, zainstaluj pakiet SP3 dla Office 2003. Kodeki też zakreśliłam, bo są dość sfatygowane i może czas na wymianę. 2. Brak tu jakiegokolwiek oprogramowania zabezpieczającego. . Odnośnik do komentarza
jojo80 Opublikowano 23 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2012 Witam, bardzo bardzo dziękuję za pomoc. Co do oprogramowania antywirusowego lub tego typu masz jakieś propozycje, żeby znowu nie paść ofiarą jakiegoś świństwa ?? Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2012 Zgłoś Udostępnij Opublikowano 27 Listopada 2012 Infekcję typu System Progressive Protection może zatrzymać komercyjna wersja MBAM: KLIK. How would the full version of Malwarebytes Anti-Malware help protect me? As you can see below the full version of Malwarebytes Anti-Malware would have protected you against the System Progressive Protection rogue. It would have warned you before the rogue could install itself, giving you a chance to stop it before it became too late. We use different ways of protecting your computer(s): Dynamically Blocks Malware Sites & ServersMalware Execution Prevention Odnośnik do komentarza
Rekomendowane odpowiedzi