Zaloguj się

buffalo · 07.12.2013, 18:52

Objawy zainfekowania:
Hej
Tak jak w temacie, zwariował mi pendrive. Wszystkie pliki zamienia na skróty do tych plików.

PS. czy pojawiająca się przy starcie systemu informacja o instalowaniu czegoś takiego jak GPBaseService2.msi to też wirus?

Wykonywane działania:
skanowanie avastem, esetem, spybot, malwarebytes anti-malware

Logi:
logi z tego ostatniego:
po przeskanowaniu samego pendriva

[Aby zobaczyć linki, zarejestruj się tutaj]

i systemu

[Aby zobaczyć linki, zarejestruj się tutaj]

KaMiL · 07.12.2013, 19:32

Po pierwsze, pobierz USBFix

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom, wybierz opcję Deletion i podłącz zainfekowanego pendrive''a. Po zakończeniu skanowania daj raport z niego.

Po drugie, przeczytaj instrukcję działu i podaj potrzebne logi (OTL, FRST)

buffalo · 07.12.2013, 20:40

Raport ze skanowania

[Aby zobaczyć linki, zarejestruj się tutaj]

Skrypty dodam zaraz jak będę miała

edit:

[Aby zobaczyć linki, zarejestruj się tutaj]

frst

[Aby zobaczyć linki, zarejestruj się tutaj]

addition
otl się nie chce zrobić, nie wiem dlaczego

KaMiL · 07.12.2013, 20:40

Logi OTL powinny zawierać dwa pliki, daj jeszcze zawartość pliku OTL.txt.
Ja niczego nie ruszam, @tachion Ci pomoże, ale zerknąłem na logi i chyba trochę usuwania będzie...
Na przykład to mi się nie podoba:

Cytat: C:\Windows\Tasks\At1.job

Oren · 07.12.2013, 20:41

GPBaseService2.msi - Jest to oprogramowanie do drukarki HP, jeśli posiadasz takową to nie ma się czym martwić..

KaMiL · 07.12.2013, 20:41

Co do tego OTL.txt; na pewno dobrze wykonałaś skan?
Tutaj jest prawidłowa instrukcja -

[Aby zobaczyć linki, zarejestruj się tutaj]

Najlepiej wykonaj skan jeszcze raz.

buffalo · 07.12.2013, 20:46

no nie dobrze, bo w ogóle nie chce wystartować. Ustawiłam jak na zdjęciu, klikam skanuj i nic się nie dzieje

KaMiL · 07.12.2013, 20:50

buffalo napisał(a):no nie dobrze, bo w ogóle nie chce wystartować. Ustawiłam jak na zdjęciu, klikam skanuj i nic się nie dzieje

Uruchom w trybie awaryjnym. Jeśli nawet wtedy się nie uda, to poczekaj, aż napisze @tachion.

BTW... Zresetowałbym też plik HOSTS, ale to na koniec raczej.

buffalo · 07.12.2013, 21:22

zrobiło się
otl

[Aby zobaczyć linki, zarejestruj się tutaj]

extras

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 07.12.2013, 23:52

Odinstaluj:

Spybot - Search & Destroy (program niskiej reputacji)

Do notatnika wklej:

Kod:
HKLM\...\Run: [] - [x]

HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe

HKLM\...\Runonce: [] - [x]

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = aboutblank

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=FUJITSUXMHZ2160BHXG2_K62TT992V8SET992V8SEX&ts=1383909343&type=default&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=FUJITSUXMHZ2160BHXG2_K62TT992V8SET992V8SEX&ts=1383909343&type=default&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = aboutblank

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=FUJITSUXMHZ2160BHXG2_K62TT992V8SET992V8SEX&ts=1383909343

SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=53a70068-f404-40b5-ab35-50f106d5a787&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=53a70068-f404-40b5-ab35-50f106d5a787&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=53a70068-f404-40b5-ab35-50f106d5a787&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

SearchScopes: HKCU - {849BF9DA-1217-4675-B24C-83CB2A500CA7} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=F3002435-D938-456B-955E-4DDFFF132301&apn_sauid=498DC0E0-272F-473D-BCCC-542294CD19FB

Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} -No File

S3 BTCOM; system32\DRIVERS\btcomport.sys [x]

S3 BTCOMBUS; System32\Drivers\btcombus.sys [x]

S3 Btcsrusb; System32\Drivers\btcusb.sys [x]

C:\Documents and Settings\Bożenka\Ustawienia lokalne\Temp\_is10.exe

C:\Program Files\Mobogenie

C:\Documents and Settings\Bożenka\Ustawienia lokalne\Dane aplikacji\Mobogenie

C:\Documents and Settings\All Users\Dane aplikacji\eSafe

Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\BOENKA~1\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE <==== ATTENTION

AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\Temp:BFE54417

Zapisz jako fixlist.txti umieść obok FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
Pokaż raport.

Zresetuj hosts do poziomu domyślnego za pomocą tego programu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaznacz zgadzam się po lewej stronie następnie kliknij dalej.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

buffalo · 08.12.2013, 11:01

zrobione

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 08.12.2013, 12:30

Zrób nowe skany OTL i FRST.

buffalo · 08.12.2013, 13:19

logi z otl

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST chwilowo się zawiesza, dodam niedługo
i jest

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 08.12.2013, 14:05

W trybie awaryjnym.

Do notatnika wklej:

Kod:
HKLM\...\Run: [] - [x]

SearchScopes: HKLM - DefaultScope value is missing.

SearchScopes: HKCU - {849BF9DA-1217-4675-B24C-83CB2A500CA7} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=F3002435-D938-456B-955E-4DDFFF132301&apn_sauid=498DC0E0-272F-473D-BCCC-542294CD19FB

S3 BT; system32\DRIVERS\btnetdrv.sys [x]

S3 BTCOM; system32\DRIVERS\btcomport.sys [x]

S3 BTCOMBUS; System32\Drivers\btcombus.sys [x]

S3 Btcsrusb; System32\Drivers\btcusb.sys [x]

C:\WINDOWS\Tasks\At1.job

C:\Documents and Settings\Bożenka\Ustawienia lokalne\Temp\jre-7u45-windows-i586-iftw.exe

C:\Documents and Settings\Bożenka\Ustawienia lokalne\Temp\Quarantine.exe

C:\Documents and Settings\Bożenka\Ustawienia lokalne\Temp\_is10.exe

Zapisz jako fixlist.txti umieść obok FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport.

Do notatnika wklej:

Kod:
Windows Registry Editor Version 5.00

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

[HKEY_USERS\S-1-5-21-4107340369-781278138-666621514-1005\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

zapisz jako fix.regi z prawokliku scal.

Zrób ponownie skan OTL.

buffalo · 08.12.2013, 21:30

niestety dopiero w czwartek będę miała ponowny dostęp do komputera i będę mogła wszystko to wykonać, ale bardzo dziękuję za pomoc Smile

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie