Objawy zainfekowania:
Po ściągnięciu wirusa hahaha Pictr_944.cab z facebooka Firefox zaczął wyrzucać błąd związany z wtyczką FLASH przy odpaleniu filmu na youtubue oraz można było zauważyć ogólny spadek pracy laptopa.
Wykonywane działania:
Plik został pobrany, wypakowany i nastąpiła próba zainstalowania go. Po zorientowaniu się co to mogło być plik został usunięty, następnie wystąpiły powyższe objawy. Laptop został zeskanowany przez Malwarebytes Anti-Malware oraz Avira, po tym objawy ustąpiły. Dodatkowo został użyty SpyHunter, który wywalił sporo elementów mogących zagrażać mojemu laptopowi ale że chciał żebym mu zapłacił to żadne nie zostały usunięte (chyba).
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
- OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
- Extras
[Aby zobaczyć linki, zarejestruj się tutaj]
- FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
- Addition
Z góry dziękuję za pomoc!
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
HKU\S-1-5-21-1268441157-220237551-3091659234-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-1268441157-220237551-3091659234-1000\...\Run: [Facebook Update] => C:\Users\Krzysztof\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2012-07-12] (Facebook Inc.)
AppInit_DLLs-x32: c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll => "c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll" File Not Found
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://toshiba.msn.com
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=9643d7b0000000000000e839df3a3762
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=9643d7b0000000000000e839df3a3762
SearchScopes: HKCU - {5C8E8231-C150-470F-8781-D555BB909AAF} URL =
SearchScopes: HKCU - {5EF13513-E6C8-46F6-8BA0-043F5E85F83A} URL = http://www.amazon.co.uk/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibauk-win7-ie-search-21&index=blended&linkCode=ur2
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
SearchScopes: HKCU - {BDE9A68F-7501-42B1-98F2-5D9360BAA9C2} URL = http://rover.ebay.com/rover/1/4908-44618-9400-8/4?satitle={searchTerms}
Toolbar: HKCU - No Name - {41564952-412D-5637-00A7-7A786E7484D7} -No File
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Users\Krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\1iyivmkp.default\searchplugins\avira-safesearch.xml
FF Extension: Avira Browser Safety - C:\Users\Krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\1iyivmkp.default\Extensions\[email protected] [2014-05-20]
C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP
C:\Users\Krzysztof\AppData\Local\PMB Files
C:\Temp
C:\Users\Krzysztof\AppData\Local\Temp\avgnt.exe
C:\Users\Krzysztof\AppData\Local\Temp\bitool.dll
C:\Users\Krzysztof\AppData\Local\Temp\catalyst_mobility_64-bit_util.exe
C:\Users\Krzysztof\AppData\Local\Temp\drm_dialogs.dll
C:\Users\Krzysztof\AppData\Local\Temp\gg10.upgr.exe
C:\Users\Krzysztof\AppData\Local\Temp\libcurl-4.dll
C:\Users\Krzysztof\AppData\Local\Temp\pthreadGC2.dll
C:\Users\Krzysztof\AppData\Local\Temp\sfamcc00001.dll
C:\Users\Krzysztof\AppData\Local\Temp\sfextra.dll
C:\Users\Krzysztof\AppData\Local\Temp\SHSetup.exe
C:\Users\Krzysztof\AppData\Local\Temp\swt-win32-3740.dll
C:\Users\Krzysztof\AppData\Local\Temp\t.dll
C:\Users\Krzysztof\AppData\Local\Temp\ubi3A30.tmp.exe
C:\Users\Krzysztof\AppData\Local\Temp\ubiA76A.tmp.exe
C:\Users\Krzysztof\AppData\Local\Temp\uninst1.exe
C:\Users\Krzysztof\AppData\Local\Temp\zlib1.dll
Task: {1F7BECA2-1B03-47F0-A52E-0FF7667D873C} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1268441157-220237551-3091659234-1000Core => C:\Users\Krzysztof\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-12] (Facebook Inc.)
Task: {4D2062B2-A288-40F4-B348-E19BCC9DFD23} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2014-01-09] (Enigma Software Group USA, LLC.)
Task: {4D5B375A-0FA2-4424-AF6B-28957601264F} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1268441157-220237551-3091659234-1000UA => C:\Users\Krzysztof\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-12] (Facebook Inc.)
Task: {79F1313E-77D9-44F4-8D43-1B7A01A74969} - System32\Tasks\RunAsStdUser Task for VeohWebPlayer => C:\Program Files (x86)\Veoh Networks\VeohWebPlayer\veohwebplayer.exe [2012-11-28] (Veoh Networks)
Task: {957D4DF8-D45A-428C-BC25-701E5B500096} - System32\Tasks\AviraSpeedup => C:\Program Files (x86)\Avira\AviraSpeedup\avira_system_speedup.exe [2014-04-03] (Avira)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1268441157-220237551-3091659234-1000Core.job => C:\Users\Krzysztof\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1268441157-220237551-3091659234-1000UA.job => C:\Users\Krzysztof\AppData\Local\Facebook\Update\FacebookUpdate.exe
AlternateDataStreams: C:\Temp:list3
AlternateDataStreams: C:\Temp:pid1
AlternateDataStreams: C:\Temp:pid2
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver"
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
Ustawienia > karta Historia > wyczyść
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
kliknij
Szukaj i następnie
Usuń
pokaż raport
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Zrób skan i podaj nowe logi FRST+OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
- Fixlog
[Aby zobaczyć linki, zarejestruj się tutaj]
- AdwCleaner
[Aby zobaczyć linki, zarejestruj się tutaj]
- SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
- FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
- OTL
Zrobiłem też to co kazałeś z Chromem ale co z Firefoxem, którego używam?
Umknęły mi przez przypadek zbędniki które trzeba odinstalować.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
HKU\S-1-5-21-1268441157-220237551-3091659234-1000\...\Run: [Pando Media Booster] => C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe [3093624 2013-01-24] ()
FF HKCU\...\SeaMonkey\Extensions: [[email protected]] - C:\Users\Krzysztof\AppData\Roaming\IDM\idmmzcc5
C:\Users\Krzysztof\AppData\Local\PMB Files
C:\Users\Krzysztof\AppData\Local\ars.cache
C:\Windows\SysWOW64\sqlite3.dll
C:\Users\Krzysztof\AppData\Local\Temp\avgnt.exe
C:\Users\Krzysztof\AppData\Local\Temp\Quarantine.exe
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
Avira System Speedup
Pando Media Booster
SpyHunter
Results of screen317''s Security Check version 0.99.83
Windows 7x64 (UAC is enabled)
[Aby zobaczyć linki, zarejestruj się tutaj]
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
WMI entry may not exist for antivirus; attempting automatic update.
Avira successfully updated!
`````````Anti-malware/Other Utilities Check:`````````
Adobe Flash Player 10
Flash Player out of Date!
Adobe Flash Player 13.0.0.214
Adobe Reader 10.1.9
Adobe Reader out of Date!
Mozilla Firefox (29.0.1)
Google Chrome 34.0.1847.137
Google Chrome 35.0.1916.114
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
Pozycje czerwone do aktualizacji.
Ściągnij również SP1 i zainstaluj
[Aby zobaczyć linki, zarejestruj się tutaj]
Zrób nowe logi FRST+OTL.
[Aby zobaczyć linki, zarejestruj się tutaj]
- Fixlog
[Aby zobaczyć linki, zarejestruj się tutaj]
_OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
- FRST
Windows Security Center service is not running! This report may not be accurate! - Co z tym zrobić?
Użyj tego fixa
[Aby zobaczyć linki, zarejestruj się tutaj]
Napisz czy Centrum Zabezpieczeń działa poprawnie.
SecurityCheck już nie wyświetla tego komunikatu "Windows Security Center service is not running! This report may not be accurate! ".
W takim wypadku kończymy.
W adwcleaner klik odinstaluj.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools ,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
i kliknij Start.
Dziękuje za wszelką udzieloną pomoc.