TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

Win 7 Security 2011 - zainfekowany netbook

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.

Win 7 Security 2011 - zainfekowany netbook

Postprzez Hikari Kobushi » 03 Kwi 2011, 16:36

PostUA: Opera/9.80 (Windows NT 6.1; U; en) Presto/2.7.62 Version/11.01


Witam

Mam otóż taki problem jak w temacie. Mój netbook został czymś zainfekowany i miejsce mojego antywirusa F-Secure zastapił jakiś nieznany (nawet przez google) Win 7 Security 2011. Odkąd znalazł się na moim komputerze, nic nie mogę otworzyć dwuklikiem ani rozpakować żadnego archiwum rar. Udało mi się sporządzić (po przejściu niezłych problemów i wyrzuceniu z siebie ogromu przekleństw;D) logi z HJT, Gmer i OTL. Proszę was fachowców o ich sprawdzenie i podpowiedzenie jak tego dziadostwa się pozbyć.

Czynnósci które wykonałem do tej pory to skanowanie dwoma skanerami Onlina (Eset i Arca) oraz użycie Emsisoft Anty-Malware, jednak mimo znalezienia i usunięcia infekcji, ten pseudo antywirus wciąż mi grozi.

A i jeszcze pytanko, czy taka infekcja może zaatakować zainstalowane programy?? BO Emsisoft wywalił mi całego UltraISO i Aresa mówiąc że to wirusy?? A ściągałem z Instalek.

tutaj linki do logów
http://www.wklej.eu/index.php?id=701912ee96 HJT
http://www.wklej.eu/index.php?id=235198f7b7 GMER
http://www.wklej.eu/index.php?id=09e87db3cd otl.txt
http://www.wklej.eu/index.php?id=2d4b04dab0 extras.txt
Hikari Kobushi
Forumowicz
Forumowicz
 
Posty: 28
Dołączenie: 03 Kwi 2011, 15:43

Re: Win 7 Security 2011 - zainfekowany netbook

Postprzez mateo8898 » 03 Kwi 2011, 17:01

PostUA: Mozilla/5.0 (Windows NT 6.1; rv:2.0) Gecko/20100101 Firefox/4.0


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
:OTL
PRC - [2011/04/02 23:10:22 | 000,239,213 | -HS- | M] () -- C:\Users\gprz\AppData\Local\ahm.exe
IE - HKU\S-1-5-21-108679968-3426115008-719098160-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.speedbit.com/?aff=205
FF - prefs.js..browser.search.defaultenginename: "SpeedBit Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Free Ride Games Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://home.speedbit.com/search.aspx?aff=206&q="
FF - prefs.js..browser.search.order.1: "SpeedBit Search"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=685749"
FF - prefs.js..browser.search.selectedEngine: "SpeedBit Search"
FF - prefs.js..browser.startup.homepage: "http://home.speedbit.com/?aff=205"
FF - prefs.js..extensions.enabledItems: [email protected]:3.3.3.2
FF - prefs.js..keyword.URL: "http://home.speedbit.com/search.aspx?aff=206&q="
[2011/03/24 20:25:06 | 000,000,000 | ---D | M] (Free Ride Games Community Toolbar) -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\extensions\{f92a9fe4-2850-4198-b9d5-279880e49b16}
[2011/03/24 20:25:09 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\extensions\[email protected]
[2010/07/12 19:44:46 | 000,000,933 | ---- | M] () -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\searchplugins\conduit.xml
[2011/04/01 15:13:00 | 000,002,534 | ---- | M] () -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\searchplugins\speedbit.xml
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-108679968-3426115008-719098160-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O35 - HKU\S-1-5-21-108679968-3426115008-719098160-1000..exefile [open] -- "C:\Users\gprz\AppData\Local\ahm.exe" -a "%1" %* ()
O37 - HKU\S-1-5-21-108679968-3426115008-719098160-1000\...exe [@ = exefile] -- "C:\Users\gprz\AppData\Local\ahm.exe" -a "%1" %* ()
[2011/04/02 23:10:37 | 000,114,688 | -HS- | C] (Microsoft Corporation) -- C:\Users\gprz\AppData\Local\xbb.exe
[2011/04/03 14:38:37 | 000,010,532 | -HS- | M] () -- C:\Users\gprz\AppData\Local\jcl665ep0rnlp562hps
[2011/04/03 14:38:37 | 000,010,532 | -HS- | M] () -- C:\ProgramData\jcl665ep0rnlp562hps
[2011/04/03 14:37:40 | 000,000,368 | ---- | M] () -- C:\Windows\tasks\AWC Startup.job
[2011/04/02 23:10:22 | 000,239,213 | -HS- | M] () -- C:\Users\gprz\AppData\Local\nqu.exe
[2011/04/02 23:10:22 | 000,239,213 | -HS- | M] () -- C:\Users\gprz\AppData\Local\ahm.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=-
"HotKeysCmds"=-
"Persistence"=-
"Adobe ARM"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL

A i jeszcze pytanko, czy taka infekcja może zaatakować zainstalowane programy?? BO Emsisoft wywalił mi całego UltraISO i Aresa mówiąc że to wirusy?? A ściągałem z Instalek.

To prawdopodobnie fałszywe alarmy, Emsisoft niestety z tego słynie...


Autor postu otrzymał pochwałę
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Win 7 Security 2011 - zainfekowany netbook

Postprzez Hikari Kobushi » 03 Kwi 2011, 17:28

PostUA: Opera/9.80 (Windows NT 6.1; U; en) Presto/2.7.62 Version/11.01


Tutaj zamieszczam log z usuwania, komputer mi się zrestartował i po ponownym uruchomieniu F-Secure normalnie mi się odpalił a po tym Win 7 ani śladu. Jak się skończy ponowne skanowanie OTL-a to odrazu zamieszczę:)

http://www.wklej.eu/index.php?id=5b23f1c738 log z kasowania
http://www.wklej.eu/index.php?id=981692dbd0 Ponowny log po kasowaniu OTL.txt
Hikari Kobushi
Forumowicz
Forumowicz
 
Posty: 28
Dołączenie: 03 Kwi 2011, 15:43

Re: Win 7 Security 2011 - zainfekowany netbook

Postprzez mateo8898 » 03 Kwi 2011, 18:15

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0


Jeszcze mała poprawka. W OTL wklej:
:OTL
FF - prefs.js..browser.search.defaultenginename: "SpeedBit Search"
IE - HKU\S-1-5-21-108679968-3426115008-719098160-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.speedbit.com/?aff=205
FF - prefs.js..browser.search.order.1: "SpeedBit Search"
FF - prefs.js..browser.search.param.yahoo-fr: ""
FF - prefs.js..browser.search.selectedEngine: "SpeedBit Search"
FF - prefs.js..browser.search.defaulturl: "http://home.speedbit.com/search.aspx?aff=206&q="
FF - prefs.js..keyword.URL: "http://home.speedbit.com/search.aspx?aff=206&q="
[2011/04/03 16:21:00 | 000,002,534 | ---- | M] () -- C:\Users\gprz\AppData\Roaming\Mozilla\Firefox\Profiles\si00p44o.default\searchplugins\speedbit.xml

Klikasz Wykonaj skrypt, później Sprzątanie (CleanUp)

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Odinstaluj starą wersję czytnika .PDF:
Adobe Reader 9.4.3 MUI

i zainstaluj najnowszą -> http://www.instalki.pl/programy/downloa ... eader.html

Zaktualizuj Firefoksa do najnowszej wersji (Firefox -> Pomoc -> Sprawdź dostępność aktualizacji..)
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Win 7 Security 2011 - zainfekowany netbook

Postprzez Hikari Kobushi » 03 Kwi 2011, 18:29

PostUA: Opera/9.80 (Windows NT 6.1; U; en) Presto/2.7.62 Version/11.01


CCleanera zawsze używam już od kilku lat :) Ale z tym Adobe i FF to mnie zaskoczyłeś, myślałem że mam aktualne :D Już się zabieram do roboty...
Dziękuję za pomoc.
Hikari Kobushi
Forumowicz
Forumowicz
 
Posty: 28
Dołączenie: 03 Kwi 2011, 15:43


Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników