Skocz do zawartości

Trojan INTERPOL


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Trojan zmodyfikował usługę Winmgmt (Instrumentacja Windows). Należy ją przekierować z powrotem na poprawny plik WMIsvc.dll. Akurat załączenie linii w narzędziu FRST ma wyjątek i resetuje Parameters usługi a nie usuwa usługę, więc od razu przez FRST pójdzie korekta.

 

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\WILO\*.exe
Startup: C:\Users\WILO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\unuuqscgwoknyijugfd.lnk
ShortcutTarget: unuuqscgwoknyijugfd.lnk -> C:\Users\WILO\AppData\Local\Temp\dfgujiynkowgcsquunu.bfg (Microsoft Corporation)
S2 Winmgmt; C:\PROGRA~2\dfgujiynkowgcsquunu.bfg [x]
S2 Update WebConnect; C:\Program Files\WebConnect\updateWebConnect.exe [206632 2013-08-27] (WebConnect)
HKCU\...\Run: [NTRedirect] - C:\Users\WILO\AppData\Roaming\BabSolution\Shared\enhancedNT.dll [187888 2013-08-22] ()
HKCU\...\Runonce: [Del1272765] - cmd.exe /Q /D /c del "C:\Users\WILO\AppData\Local\Temp\0.del" [x]
HKLM\...\Runonce: [Del1272765] - cmd.exe /Q /D /c del "C:\Users\WILO\AppData\Local\Temp\0.del" [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=74EF0013E824E803&affID=119357&tsp=4989
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=74EF0013E824E803&affID=119357&tsp=4989
BHO: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files\WebConnect\WebConnectbho.dll (Web Connect)
BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com)
Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com)
CHR HKLM\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\WILO\AppData\Roaming\BabSolution\CR\Delta.crx
CHR HKLM\...\Chrome\Extension: [ieakfmpjhljbpbfpldjkddkjmmgjmgon] - C:\Program Files\WebConnect\ieakfmpjhljbpbfpldjkddkjmmgjmgon.crx
CHR HKLM\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files\vShare.tv plugin\vshareplg.crx
Task: {40A07398-57BB-41A8-B9F2-C9AC3BA19DCC} - System32\Tasks\{42AFD9EF-69E3-4295-8F47-8FB58A54A84F} => C:\Users\WILO\Desktop\USBXTAFGUI_v44.exe No File
Task: {42B9B2AF-792A-469F-96E4-2DFE6E2B066A} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files\e-file\e-pity2012\signxml.exe No File
Task: {59610701-B2AE-47DE-B703-DDFD7A7A5031} - System32\Tasks\e-pity2012_styczen => C:\Program Files\e-file\e-pity2012\signxml.exe No File
Task: {AC854DCB-A104-46ED-922E-CBA990B14833} - System32\Tasks\{2E477E0B-3AC3-4CCD-BC51-E0D8EAC29093} => C:\Users\WILO\Desktop\USBXTAFGUI_v44.exe No File
C:\Users\WILO\Downloads\DownloadManagerSetup.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system i wejdź w Tryb normalny. Odinstaluj adware:

- Przez Panel sterowania: Delta Chrome Toolbar, Delta toolbar, MiPony 2.0.2, Mipony Download Manager Packages, Update for Mipony Download Manager, WebConnect 3.0.0

- Google Chrome: ustaw "Po uruchomieniu" na "Otwórz stronę nowej karty", w Rozszerzeniach odinstaluj vshare plugin.

 

3. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (ma powstać po raz kolejny plik Addition). Dołącz fixlog.txt oraz log AdwCleaner.

 

 

 

 

 

.

Odnośnik do komentarza

Nie podałeś mi głównego nowego skanu FRST.

 

 

PS: Dlaczego Avast przepuścił tego trojana pomimo informacji że go wykrył.

Nie wiem, ale antywirus to nie wszystko i jest dużo czynników dlaczego infekcja w piewszej kolejności w ogóle była możliwa. W tym zakresie jest nieaktualizowane oprogramowanie. Tu u Ciebie zwraca uwagę m.in. sfatygowana Java. Jednakże aktualizacje oprogramowania zawsze wdrażam na końcu, gdy czyszczenie systemu zostanie ukończone.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...