Objawy zainfekowania:
nagle podczas pracy wyskoczył komunikat ukash z żądaniem zapłaty
oprócz wirusa, komp dość wolno chodzi od jakichś 6 miesięcy
Wykonywane działania:
co tydzień skanowanie Avirą i Comodo zainstalowanymi na kompie (na co dzień Comodo robi za firewall, a Avira za antywirus)
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
proszę o pomoc
Odinstaluj
LiveVDOjeśli nie używasz
Zainstaluj
[Aby zobaczyć linki, zarejestruj się tutaj]
do najnowszej wersji,lub ją odinstaluj jeśli nie potrzebujesz<!-- s
-->
<!-- s
-->
W trybie awaryjnym w własne opcje skanowania skrypt wklej i wykonaj
Kod:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=51&cf=b5fcb593-909b-11e1-9cf6-0022158083b8
IE - HKLM\..\SearchScopes\{391FBDCB-C02A-4066-8CD7-0306C941AE24}: "URL" = ${SEARCH_URL}{searchTerms}
IE - HKU\S-1-5-21-341705179-654111312-1266327756-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=51&cf=b5fcb593-909b-11e1-9cf6-0022158083b8
IE - HKU\S-1-5-21-341705179-654111312-1266327756-1001\..\SearchScopes\{391FBDCB-C02A-4066-8CD7-0306C941AE24}: "URL" = http://startsear.ch/?src=sp&aff=51&cf=b5fcb593-909b-11e1-9cf6-0022158083b8&q={searchTerms}
IE - HKU\S-1-5-21-341705179-654111312-1266327756-1001\..\SearchScopes\{EDCACE24-A762-4419-BE03-F4A496ECEEA6}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=51&cf=b5fcb593-909b-11e1-9cf6-0022158083b8"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?src=sp&aff=51&cf=b5fcb593-909b-11e1-9cf6-0022158083b8&q="
CHR - homepage: http://startsear.ch/?aff=51&cf=b5fcb593-909b-11e1-9cf6-0022158083b8
CHR - default_search_provider: search_url = http://startsear.ch/?src=sp&aff=51&cf=b5fcb593-909b-11e1-9cf6-0022158083b8&q={searchTerms}
CHR - homepage: http://startsear.ch/?aff=51&cf=b5fcb593-909b-11e1-9cf6-0022158083b8
O2 - BHO: (IplexToALLPlayer) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL (ALLCinema Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype-ie-addon-data - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
[2012-03-15 16:12:29 | 000,279,040 | ---- | C] () -- C:\Users\Tom\AppData\Roaming\skype.dat
[2013-02-12 13:37:27 | 000,000,004 | ---- | M] () -- C:\Users\Tom\AppData\Roaming\skype.ini
[2012-03-13 17:59:33 | 000,032,768 | ---- | C] () -- C:\Users\Tom\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013-01-27 14:14:29 | 000,001,059 | ---- | M] () -- C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2013-01-27 14:14:23 | 000,001,023 | ---- | M] () -- C:\Users\Tom\Desktop\Dropbox.lnk
[2013-02-01 12:49:37 | 000,002,106 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Thunderbird.lnk
[2013-02-01 12:49:37 | 000,002,094 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Thunderbird.lnk
[2012-03-13 18:01:41 | 000,000,000 | ---D | M] -- C:\Users\Tom\AppData\Roaming\OpenCandy
[2012-03-13 18:00:46 | 000,000,022 | -HS- | C] () -- C:\Users\Tom\AppData\Roaming\Programs2930.DataList.bin
:Commands
[clearallrestorepoints]
[EMPTYTEMP]
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
i uruchom
AdwCleanerz opcji
Delete .
Następnie uruchom
OTLponownie i kliknij
Skanuj . Przedstaw nowy log
OTL.Txtoraz raport z
Adwcleaner .