Liczba postów: 13
Liczba wątków: 2
Dołączył: 07.12.2013
Reputacja:
0
Objawy zainfekowania:
Hej
Tak jak w temacie, zwariował mi pendrive. Wszystkie pliki zamienia na skróty do tych plików.
PS. czy pojawiająca się przy starcie systemu informacja o instalowaniu czegoś takiego jak GPBaseService2.msi to też wirus?
Wykonywane działania:
skanowanie avastem, esetem, spybot, malwarebytes anti-malware
Logi:
logi z tego ostatniego:
po przeskanowaniu samego pendriva [Aby zobaczyć linki, zarejestruj się tutaj]
i systemu [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Po pierwsze, pobierz USBFix [Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom, wybierz opcję Deletion i podłącz zainfekowanego pendrive''a. Po zakończeniu skanowania daj raport z niego.
Po drugie, przeczytaj instrukcję działu i podaj potrzebne logi (OTL, FRST)
Liczba postów: 13
Liczba wątków: 2
Dołączył: 07.12.2013
Reputacja:
0
Raport ze skanowania [Aby zobaczyć linki, zarejestruj się tutaj]
Skrypty dodam zaraz jak będę miała
edit:
[Aby zobaczyć linki, zarejestruj się tutaj] frst
[Aby zobaczyć linki, zarejestruj się tutaj] addition
otl się nie chce zrobić, nie wiem dlaczego
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Logi OTL powinny zawierać dwa pliki, daj jeszcze zawartość pliku OTL.txt.
Ja niczego nie ruszam, @ tachion Ci pomoże, ale zerknąłem na logi i chyba trochę usuwania będzie...
Na przykład to mi się nie podoba:
Cytat: C:\Windows\Tasks\At1.job
Liczba postów: 7
Liczba wątków: 1
Dołączył: 07.12.2013
Reputacja:
0
GPBaseService2.msi - Jest to oprogramowanie do drukarki HP, jeśli posiadasz takową to nie ma się czym martwić..
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Co do tego OTL.txt; na pewno dobrze wykonałaś skan?
Tutaj jest prawidłowa instrukcja - [Aby zobaczyć linki, zarejestruj się tutaj] Najlepiej wykonaj skan jeszcze raz.
Liczba postów: 13
Liczba wątków: 2
Dołączył: 07.12.2013
Reputacja:
0
no nie dobrze, bo w ogóle nie chce wystartować. Ustawiłam jak na zdjęciu, klikam skanuj i nic się nie dzieje
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
buffalo napisał(a):no nie dobrze, bo w ogóle nie chce wystartować. Ustawiłam jak na zdjęciu, klikam skanuj i nic się nie dzieje
Uruchom w trybie awaryjnym. Jeśli nawet wtedy się nie uda, to poczekaj, aż napisze @ tachion.
BTW... Zresetowałbym też plik HOSTS, ale to na koniec raczej.
Liczba postów: 13
Liczba wątków: 2
Dołączył: 07.12.2013
Reputacja:
0
zrobiło się
otl [Aby zobaczyć linki, zarejestruj się tutaj]
extras [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Odinstaluj:
Spybot - Search & Destroy (program niskiej reputacji)
Do notatnika wklej:
Kod: HKLM\...\Run: [] - [x]
HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe
HKLM\...\Runonce: [] - [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = aboutblank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=FUJITSUXMHZ2160BHXG2_K62TT992V8SET992V8SEX&ts=1383909343&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=FUJITSUXMHZ2160BHXG2_K62TT992V8SET992V8SEX&ts=1383909343&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = aboutblank
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=FUJITSUXMHZ2160BHXG2_K62TT992V8SET992V8SEX&ts=1383909343
SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=53a70068-f404-40b5-ab35-50f106d5a787&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=53a70068-f404-40b5-ab35-50f106d5a787&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=53a70068-f404-40b5-ab35-50f106d5a787&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKCU - {849BF9DA-1217-4675-B24C-83CB2A500CA7} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=F3002435-D938-456B-955E-4DDFFF132301&apn_sauid=498DC0E0-272F-473D-BCCC-542294CD19FB
Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} -No File
S3 BTCOM; system32\DRIVERS\btcomport.sys [x]
S3 BTCOMBUS; System32\Drivers\btcombus.sys [x]
S3 Btcsrusb; System32\Drivers\btcusb.sys [x]
C:\Documents and Settings\Bożenka\Ustawienia lokalne\Temp\_is10.exe
C:\Program Files\Mobogenie
C:\Documents and Settings\Bożenka\Ustawienia lokalne\Dane aplikacji\Mobogenie
C:\Documents and Settings\All Users\Dane aplikacji\eSafe
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\BOENKA~1\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\Temp:BFE54417
Zapisz jako fixlist.txti umieść obok FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] kliknij Szukaji następnie Usuń
Pokaż raport.
Zresetuj hosts do poziomu domyślnego za pomocą tego programu:
[Aby zobaczyć linki, zarejestruj się tutaj]
Zaznacz zgadzam się po lewej stronie następnie kliknij dalej.
Wklej na stronę raport z SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Liczba postów: 13
Liczba wątków: 2
Dołączył: 07.12.2013
Reputacja:
0
zrobione
[Aby zobaczyć linki, zarejestruj się tutaj]
AdwCleaner [Aby zobaczyć linki, zarejestruj się tutaj]
SecurityCheck [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Zrób nowe skany OTL i FRST.
Liczba postów: 13
Liczba wątków: 2
Dołączył: 07.12.2013
Reputacja:
0
logi z otl [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj]
FRST chwilowo się zawiesza, dodam niedługo
i jest [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W trybie awaryjnym.
Do notatnika wklej:
Kod: HKLM\...\Run: [] - [x]
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {849BF9DA-1217-4675-B24C-83CB2A500CA7} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=F3002435-D938-456B-955E-4DDFFF132301&apn_sauid=498DC0E0-272F-473D-BCCC-542294CD19FB
S3 BT; system32\DRIVERS\btnetdrv.sys [x]
S3 BTCOM; system32\DRIVERS\btcomport.sys [x]
S3 BTCOMBUS; System32\Drivers\btcombus.sys [x]
S3 Btcsrusb; System32\Drivers\btcusb.sys [x]
C:\WINDOWS\Tasks\At1.job
C:\Documents and Settings\Bożenka\Ustawienia lokalne\Temp\jre-7u45-windows-i586-iftw.exe
C:\Documents and Settings\Bożenka\Ustawienia lokalne\Temp\Quarantine.exe
C:\Documents and Settings\Bożenka\Ustawienia lokalne\Temp\_is10.exe
Zapisz jako fixlist.txti umieść obok FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport.
Do notatnika wklej:
Kod: Windows Registry Editor Version 5.00
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_USERS\S-1-5-21-4107340369-781278138-666621514-1005\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
zapisz jako fix.regi z prawokliku scal.
Zrób ponownie skan OTL.
Liczba postów: 13
Liczba wątków: 2
Dołączył: 07.12.2013
Reputacja:
0
niestety dopiero w czwartek będę miała ponowny dostęp do komputera i będę mogła wszystko to wykonać, ale bardzo dziękuję za pomoc
|