Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Czysto?

Napster

Przez Napster
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Napster

Napster

Opublikowano
Opublikowano

Witam!

 

Otworzyłem .pdf rzekomo zainfekowany wirusem niewykrywalnym przez większość obecnych antyvirusów. Był w jednym z tych maili z fikcyjnym, wysokim rachunkiem. Czy jakiś syf się ostał? Używam KIS, który nic nie wykrył.

 

Z góry dziękuje za pomoc.

 

Results of screen317's Security Check version 0.99.10

Windows 7 (UAC is disabled!)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Kaspersky Internet Security 2011

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 23

Out of date Java installed!

Adobe Flash Player 10.2.153.1

Adobe Reader 9.4.3 - Polish

Out of date Adobe Reader installed!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Kaspersky Lab Kaspersky Internet Security 2011 avp.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)
Otworzyłem .pdf rzekomo zainfekowany wirusem niewykrywalnym przez większość obecnych antyvirusów. Był w jednym z tych maili z fikcyjnym, wysokim rachunkiem. Czy jakiś syf się ostał?

 

Przeanalizuj ten PDF uploadując go na stronę Wepawet.

 

 

 

Pytaniem jest co to za dziwne pliki JPG w katalogu systemowym:

 

[2011-03-08 20:33:10 | 000,000,000 | ---- | M] () -- C:\Users\Napster\Documents\20110308160.jpg
[2011-03-08 20:33:07 | 000,000,000 | ---- | M] () -- C:\Users\Napster\Documents\20110308159.jpg
[2011-03-08 20:33:04 | 000,000,000 | ---- | M] () -- C:\Users\Napster\Documents\20110308158.jpg
[2011-03-08 20:33:03 | 000,000,000 | ---- | M] () -- C:\Users\Napster\Documents\20110308157.jpg
[2011-03-08 20:32:54 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\20110308160.jpg
[2011-03-08 20:32:54 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\20110308159.jpg
[2011-03-08 20:32:54 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\20110308158.jpg
[2011-03-08 20:32:54 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\20110308157.jpg
[2011-03-08 20:32:53 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\20110308155.jpg

 

1. W logach infekcji nie widzę, ale są za to śmieci sponsoringowe.

 

Firefox: W menedżerze rozszerzeń przeprowadź deinstalację Conduit Engine, DVDVideoSoft, vShare Toolbar.

 

FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:3.3.3.2
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
[2011-03-26 14:27:49 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\Napster\AppData\Roaming\mozilla\Firefox\Profiles\cb9ewal7.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2010-05-13 20:16:46 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\Napster\AppData\Roaming\mozilla\Firefox\Profiles\cb9ewal7.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011-03-26 14:27:48 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Napster\AppData\Roaming\mozilla\Firefox\Profiles\cb9ewal7.default\extensions\engine@conduit.com
[2010-11-28 20:00:05 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Users\Napster\AppData\Roaming\mozilla\Firefox\Profiles\cb9ewal7.default\extensions\vshare@toolbar
[2010-11-19 00:55:26 | 000,000,873 | ---- | M] () -- C:\Users\Napster\AppData\Roaming\Mozilla\Firefox\Profiles\cb9ewal7.default\searchplugins\conduit.xml

W pasku adresów wklep about:config, wyszukaj wartości podane niżej (browser.* + keyword.URL) i z prawokliku zresetuj je do poziomu domyślnego.

 

FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q="

Przeładuj Firefox.

 

Internet Explorer:

 

O2 - BHO: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -  File not found
O3 - HKLM\..\Toolbar: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O3 - HKU\S-1-5-21-852846145-1749053472-3484333459-1001\..\Toolbar\WebBrowser: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()
O8:[b]64bit:[/b] - Extra context menu item: Free YouTube Download - C:\Users\Napster\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm ()
O8:[b]64bit:[/b] - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Napster\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O8 - Extra context menu item: Free YouTube Download - C:\Users\Napster\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Napster\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()

Jest tu zrepetowany układ, tylko w wersjach pod IE. Pasek narzędziowy zejdzie po deinstalacji całego vShare Plugin. Tak, wiem do czego jest vShare, mecze. Tylko sam popatrz jakie śmieci to ładuje w system. Opinię na ten temat wyrażałam tu: KLIK. Do DVDVideoSoftIEHelpers nie widzę deinstalatora, ale poszukaj go w katalogach tego obiektu oraz w Menu Start. Jeśli go nie będzie, podam skrypt usuwający to z przeglądarki.

 

 

2. Aktualizacje:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
[codeplain][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 23
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish

Brakuje Service Pack 1, a pozostałe aplikacje podbić do najnowszych wersji. Szczegóły aktualizacyjne: INSTRUKCJE. HijackThis do deinstalacji (to się nie nadaje na system 64-bitowy).

 

 

 

.

Edytowane przez picasso
7.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...