Conficker, a także komputer do ogarnięcia

[Koksownik]

W moim ostatnim temacie ( i pierwszym ) załapałem dużo tego syfu.
Btw. Ostatnio, gdy zapisywałem grę Spore komputer wyłączył się z powodu braku prądu (pozdrawiam sąsiada!) i po włączeniu gra nie odpala z powodu błędu 0xc0000005.
Logi:
Wykonując logi miałem podłączonego pen''a i iPoda.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Waves]

DO OTL w własne pole skanowania/ skrypt wklej:

Kod:

:Processes
Killallprocesses

:OTL
O33 - MountPoints2\{41dfc220-0e89-11d6-90f5-000854187c35}\Shell\AutoRun\command - "" = K:\yveqsh93.exe
O33 - MountPoints2\{41dfc220-0e89-11d6-90f5-000854187c35}\Shell\open\Command - "" = K:\yveqsh93.exe
O33 - MountPoints2\{fc43d411-d0d4-11e0-90a0-000854187c35}\Shell\AutoRun\command - "" = L:\yveqsh93.exe -- [2010-11-24 16:51:56 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\{fc43d411-d0d4-11e0-90a0-000854187c35}\Shell\open\Command - "" = L:\yveqsh93.exe -- [2010-11-24 16:51:56 | 000,182,272 | RHS- | M] ()
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10005&barid={052EE636-6593-11E2-9576-000854187C35}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={052EE636-6593-11E2-9576-000854187C35}
IE - HKU\S-1-5-21-1417001333-1965331169-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10005&barid={052EE636-6593-11E2-9576-000854187C35}
IE - HKU\S-1-5-21-1417001333-1965331169-682003330-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={052EE636-6593-11E2-9576-000854187C35}


:Files
C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\Premium\OptimizerPro\OptimizerPro.exe

:Commands
[EMPTYTEMP]
[EMPTYFLASH]

Wykonaj Skrypt.

[Koksownik]

Proszu

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

W własne opcje skanowania skrypt wklej i wykonaj.
Następnie ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleaner z opcji Delete.
Potem uruchom OTL ponownie i kliknij Skanuj. Przedstaw nowy log OTL.Txt oraz raport z Adwcleaner.

Kod:

:Processes
Killallprocesses

:OTL
PRC - [2012-10-04 16:34:36 | 000,115,032 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe
PRC - [2012-08-15 19:08:34 | 000,231,768 | ---- | M] (SweetIM Technologies Ltd.) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000.10005&barid={052EE636-6593-11E2-9576-000854187C35}"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&barid={052EE636-6593-11E2-9576-000854187C35}&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""
[2013-01-23 20:29:08 | 000,003,993 | ---- | M] () -- C:\Documents and Settings\lolek.787F84AB93E84C4\Dane aplikacji\Mozilla\Firefox\Profiles\66bygi26.default\searchplugins\sweetim.xml
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Documents and Settings\lolek.787F84AB93E84C4\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll
CHR - plugin: LiveVDO plug-in (Enabled) = E:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll
O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1323620705968 (WUWebControl Class)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
[2013-01-23 20:27:54 | 000,000,000 | ---D | C] -- C:\Program Files\SweetIM
[2013-01-23 20:27:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\SweetIM
[2013-01-23 20:27:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\SweetIM
[2011-02-06 11:45:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\lolek\Dane aplikacji\PriceGong
[2012-02-12 21:34:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\lolek.787F84AB93E84C4\Dane aplikacji\OpenCandy

:Files
C:\Program Files\cacaoweb\cacaoweb.exe

:Commands
[EMPTYTEMP]

[Koksownik]

Zaraz zrobię resztę

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Zostały jeszcze w chromie i firefoxie pluginy z LiveVDO,spróbuj wejść w tą lokalizacje

C:\Documents and Settings\lolek.787F84AB93E84C4\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\ 1.3_0\chvsharetvplg.dll

E:\Program Files\Mozilla Firefox\plugins\ npvsharetvplg.dll

i usunąć ręcznie pozostałości

[Koksownik]

Tylko, że w folderze Firefoxa nie mam takiego pliku, a do tego pierwszego nie mogę wejść, gdyż nie mogę otwierać ukrytych plików i folderów.

[tachion]

Tak więc w pasku adresów Windows eksplorer wklej potwierdzając enterem
C:\Documents and Settings\lolek.787F84AB93E84C4\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

Otwórz za pomocą notatnika.
W pliku wyszukaj bloki wtyczek vShare.tv plug-in + LiveVDO plug-ini usuń

[Koksownik]

Mam usunąć to całe?

Kod:

},
"blacklist": null,
"from_bookmark": false,
"from_webstore": false,
"install_time": "12654313322716250",
"lastpingday": "12654306040726500",
"location": 3,
"manifest": {
"background_page": null,
"content_scripts": null,
"description": "LiveVDO plugin",
"key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDm0kY97JOgCRYiLDEiVAxcNrf+sVjrGodAe1rdXTZbGzR6tX/+HFi93buzyKoI/gGlprJOTNeHgL/yBf6mqbxDYmgs08/PAXKOlywadsQ7dmk248m2UROSH6XZ8KuOWkWB++MnoeQPR/uYfcRPr0qB6D7a0nw/tmYj4xDYQh0GCwIDAQAB",
"name": "LiveVDO plugin",
"plugins": [ {
"path": "chvsharetvplg.dll",
"public": true
} ],
"version": "1.3"
},
"path": "pbiamblgmkgbcgbcgejjgebalncpmhnp\\1.3_0",
"state": 2

[tachion]

Ta część jest prawie na dole i musi występować w takiej formie

Kod:

{
"enabled": true,
"name": "Native Client",
"path": "C:\\Users\\TACHION\\AppData\\Local\\Google\\Chrome\\Application\\24.0.1312.56\\ppGoogleNaClPluginChrome.dll",
"version": ""
},

[defacto19]

Można jeszcze przywrócić domyślną konfiguracje tej przeglądarki poprzez zmianę nazwy katalogu Default .

C:\Documents and Settings\lolek.787F84AB93E84C4\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

[Koksownik]

Nie mogę znaleźć bloku vShare.tv
wpisywałem w wyszukaj samo "vS" i nie znalazło.

---

Dodano: 26 sty 2013, 15:13

Dobra już sobie z tym poradziłem. Zmieniłem w

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

checkedvalue na 1 i jakoś działa, ale czy możecie usunąć ten syf z pena, ipoda i komputera?

[defacto19]

1 . Podłącz wszystkie media przenośne do komputera.

2 . Pobierz i uruchom

[Aby zobaczyć linki, zarejestruj się tutaj]

z opcji Listing .

3 . Przedstaw raport z działania tego narzędzia.

[Koksownik]

Jak go uruchamiam to mi błąd wywala Line 2111. I pierwszy raz w życiu Chrome mnie poinformowało o szkodliwości pliku O.o A poza tym słyszałem, że ten program usuwa dane

[defacto19]

pierwszy raz w życiu Chrome mnie poinformowało o szkodliwości pliku

Program jest bezpieczny. Składniki tego programu mogą być wykrywane przez antywirusy jako niebezpieczne, ale są to tylko fałszywe alarmy.

A poza tym słyszałem, że ten program usuwa dane

Program usuwa katalogi o nazwie muza i muzyka, ale dopiero po zastosowaniu opcji DELETION .

Program możesz również pobrać

[Aby zobaczyć linki, zarejestruj się tutaj]

Tak więc zastosuj się do tego co napisałem powyżej i przedstaw raport.

[Koksownik]

Fajnie, że nie da się go pobrać Nawet jeśli pobieram go z innej strony to i tak wywala ten błąd.

[Waves]

To pobierz przez IE

[tachion]

Łap

[Aby zobaczyć linki, zarejestruj się tutaj]

[Koksownik]

Teraz wywala "Line2082"
Jakieś dziadowskie programy macie

[defacto19]

Jakieś dziadowskie programy macie

Tutaj wszystkie narzędzia są sprawdzone i dobierane pod konkretny rodzaj infekcji. A takie bezmyślne pisanie o "dziadowskich" programach powinno być odpowiednio nagrodzone.

Uruchom OTL , ustaw wsystkie opcje na brak , oraz szukanie plików na żadne , w oknie Własne opcje skanowania / skryptwklej:

Kod:

C:\*.*
D:\*.*
E:\*.*
F:\*.*
L:\*.*

Kliknij skanuji przedstaw raport z tego działania.