r4plez Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Witam, komputer znajomego został zaatakowany przez to ustrojstwo. Prosze o pomoc w rozwiązaniu problemu. W załączniku OTL log wykonany z trybu awaryjnego. PS zanim trafiłem na forum FixIt gdzies wyczytałem o programie ComboFix i uruchomiłem go :/ Teraz okazuje sie ze nie była to przemyslana decyzja, zamieszczam takze logi z niego. Edycja. Poprawione skany z OTL (wcześniej nie zaznaczyłem wszystkich użytkowników) ComboFix.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Świadomość na temat użytkowania ComboFix większa, toteż już nie będę tego komentować. Przechodząc do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [wscinterop] C:\Users\Radosz\AppData\Local\Microsoft\Windows\314\wscinterop.exe () DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Files C:\Users\Radosz\AppData\Local\Microsoft\Windows\314 C:\Users\Radosz\AppData\Roaming\hellomoto :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{32DE26A8-BF23-466E-B1B0-DFD4913AA5FA}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. W systemie są uszkodzone antywirusy ESET i Symantec. Na liście zainstalowanych w ogóle brak wejść deinstalacyjnych, ale widoczne uruchamiające się obiekty Symantec i odpadki ESET. Na początek przez Panel sterowania odinstaluj poboczne śmieci, czyli cracka NOD32 v3.x FiX 1.1 by TemDono (Free Updates - Expire in 2050) + LiveUpdate (Symantec Corporation). Następnie z poziomu Trybu awaryjnego uruchom specjalizowane usuwacze: Norton Removal Tool + ESET Uninstaller. 3. Są również mini odpadki adware. Odinstaluj pozycję vShare.tv plugin 1.3. Popraw przez AdwCleaner z opcji Delete, co utworzy na dysku C log. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
r4plez Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Udało się usunąć tego virusa. Z daty odpowiedzi wnioskuję ze stajecie na głowach żeby pomóc użytkownikom z tą nową plagą - Wielkie dzięki, kolejny raz Wasza pomoc okzała się nieoceniona. Jeszcze pytanie odnośnie ComboFix'a, mogę go teraz bezpiecznie usunąć z systemu przez combofix /uninstall ? 07082012_091247.txt AdwCleanerS2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Wszystko załatwione. Szcząki antywirusów też zniknęły. Lecimy dalej: 1. Prawidłowa deinstalacja ComboFix, która wyczyści i foldery Przywracania systemu. Klawisz z flagą Windows i w polu Uruchom wklej: C:\Users\Radosz\Desktop\ComboFix.exe /uninstall 2. Dalsze porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + przez SHIFT+DEl skasuj folder C:\Windows\erdnt (kopia rejestru zrobiona przez ComboFix). 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Z daty odpowiedzi wnioskuję ze stajecie na głowach żeby pomóc użytkownikom z tą nową plagą Istotnie, prawdziwy hardcore tu mamy. Dziś wstałam bardzo wcześnie, by przerobić jak najwięcej, zanim kolejni użytkownicy się pojawią ... . Odnośnik do komentarza
r4plez Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Mbam wykrył jednego robaka, którego usunąłem. Powinno być już wszystko w porządku. Co prawda baza nie była aktualizowana ale to już sobie właściciel komputera zrobi wraz z pełnym skanem. Dzięki za pomoc, wieczorem postaram się wspomóc Waszą inicjatywę Pozdrawiam. mbam-log-2012-07-08 (10-38-04).txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Nie jestem pewna czy to było faktyczne zagrożenie, ale usunięcie nie wydaje mi się "groźne". I przechodzimy do istotnych spraw: 1. Obowiązkowe aktualizacje: KLIK. Twój log pokazuje kompletnie nieaktualizowany system i dziurawe aplikacje: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 7.0.6000.17037) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java SE Runtime Environment 6"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)"ShockwaveFlash" = Adobe Flash Player 9 ActiveX 2. Dobór oprogramowania zabezpieczającego. Niezobowiązujące darmowe propozycje do wyboru: Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall Antywirus: Avast, AVG, Panda Cloud Antivirus, Microsoft Security Essentials Pakiet: COMODO Internet Security . Odnośnik do komentarza
Rekomendowane odpowiedzi