nt2011 Opublikowano 20 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2012 Witam, przeglądając strony w Mozilli coś zaatakowało system... Szybko prze-logowałem się na konto admina. OTL: http://wklej.org/hash/d04c79a1425/ Extras: http://wklej.org/hash/fc40a3845a5/ Odnośnik do komentarza
Landuss Opublikowano 20 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2012 A skąd to przypuszczenie o ataku? W logach nie widać aktywnej infekcji. Jedynie podstawiony startsearch w przeglądarce IE i to trzeba skorygować. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-2052111302-73586283-1801674531-500\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-2052111302-73586283-1801674531-500\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. [2011-11-04 08:15:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask [2011-09-05 07:27:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\BabylonToolbar [2012-04-17 08:20:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Moiw [2012-04-17 09:38:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Qyno [2011-09-05 07:34:48 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
nt2011 Opublikowano 20 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 20 Kwietnia 2012 Podejrzenie ataku wzięło się stąd, że jakiś oszukany antywirus zaczął skanować system. Raport OTL: http://wklej.org/hash/db5070accb1/ Nowy OTL bezpośrednio z zarażonego profilu: http://wklej.org/hash/8c60244c0e9/ Dodatkowo Comodo wykrył aplikacje SweetJmSetup.exe (już usunąłem ją) oraz Adyn\nyufu.exe ale co do tego nie jestem pewien więc na razie tylko zablokowałem. Odnośnik do komentarza
Landuss Opublikowano 21 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2012 A widzisz to zmienia postać rzeczy. Logi muszą by wykonywane spod zarażonego konta abym ja widział komponenty infekcji. 1. Wykonaj następujący skrypt: :OTL IE - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17176 IE - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\SearchScopes\{881471CD-C778-46DC-B0EE-D17117BBFDCF}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=3AC8C23B-89EB-4A16-8DC1-D2A41DC34964&apn_sauid=38DE2288-DA7A-401F-879B-D14140B88C70 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=3AC8C23B-89EB-4A16-8DC1-D2A41DC34964&apn_ptnrs=U3&apn_sauid=38DE2288-DA7A-401F-879B-D14140B88C70&apn_dtid=OSJ000YYPL&&q=" FF - user.js - File not found [2011-09-05 07:26:14 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Mozilla\Firefox\Profiles\epnk3m1r.default\extensions\ffxtlbr@babylon.com [2012-04-16 07:54:31 | 000,002,580 | ---- | M] () -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Mozilla\Firefox\Profiles\epnk3m1r.default\searchplugins\askcom.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Mozilla\Firefox\Profiles\epnk3m1r.default\searchplugins\startsear.xml O3 - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2012-04-17 08:20:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Adyn [2012-04-17 08:19:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3B008B0A94001FEE7C0CDF108C [2012-04-20 13:48:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\BabylonToolbar :Commands [emptytemp] 2. Użyj AdwCleaner z opcji Delete 3. Prezentujesz nowe logi z OTL i z ADwCleaner. Odnośnik do komentarza
nt2011 Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 1. OTL po wykonaniu skryptu: http://wklej.org/hash/0b993bfdbf0/ 2i3. AdwCleaner R1,R2,S1,S2: http://wklej.org/hash/def4322a65d/ 3.Nowy OTL: http://wklej.org/hash/110f3c1bc00/ Odnośnik do komentarza
Landuss Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Wygląda, że jest dobrze. Tylko ten folder usuń jeszcze: [2012-04-17 08:19:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3B008B0A94001FEE7C0CDF108C Poza tym kliknij w Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK Problem powinien minąć. Odnośnik do komentarza
nt2011 Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 THX Odnośnik do komentarza
nt2011 Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 Prz przeglądaniu stron publicznych nastąpił atak jakiegoś fałszywego antywirusa. Prawdziwy antywirus usunął kilka trojanów. Prawdopodobnie coś jeszcze zostało. OTL: http://wklej.org/hash/12ad32b5d26/ Extras: http://wklej.org/hash/d18567ad87a/ Odnośnik do komentarza
Landuss Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 (edytowane) Po co nowy temat? Podpinam pod ostatni. W logach nic nie ma wielkiego. Przejdź też panel usuwania programów i odinstaluj Smart Fortress 2012 oraz Spybot - Search & Destroy 1.4. To program przestarzały i dziś już nie zdaje użytku. Upewnij się, że zniknęły te foldery z dysku (jeśli nie to je usuniesz): [2012-05-07 14:34:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\eczarnocka.TN\Menu Start\Programy\Smart Fortress 2012 [2012-05-07 14:31:08 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\F4D55EFF019E2E17000150660CDF108C [2012-05-07 14:34:42 | 000,001,310 | ---- | M] () -- C:\Documents and Settings\eczarnocka.TN\Pulpit\Smart Fortress 2012.lnk Edytowane 13 Czerwca 2012 przez picasso 13.06.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi