Błąd poczty e-mail - infekcja? Norton Internet Secutiry

wroclaw123 · 27 Grudzień 2012 12:13

Witam, jestem w tym średnio obeznany, ostatnio w moim mieście na fb pojawiały sie dziwne linki, które były bardzo podchwytliwe, np. znajomy ci pisze ktorego znasz 10 lat, Hej fajnie wyszłes na tym zdj. i podany link, ja w takowy link wszedłem, później automatycznie do moich znajomych automatycznie wysłały się wiadomości takie same jak domnie oraz inne, czasami obraźliwe. A teraz od mojego nortona wyskakuje mi okienko “błąd poczty e-mail” proszę o pomoc.

– Dodane 27.12.2012 (Cz) 13:16 –

chciałbym jeszcze dodać że w historii mojego antywirusa są jakieś dziwne połączenia TCP

Atis · 27 Grudzień 2012 12:37

OTL - Raport obowiązkowy:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

wroclaw123 · 27 Grudzień 2012 12:49

http://www.wklej.org/id/907226/ extras

http://www.wklej.org/id/907226/ otl

proszę

Atis · 27 Grudzień 2012 12:59

Wkleiłeś dwa razy ten sam log.

Wirus Sality który infekuje wszystkie pliki wykonywalne.

Pobierz Dr.WEB CureIt i przeskanuj wszystkie dyski: Klik

Napisz czy wykrył zainfekowane pliki.

Odinstaluj:

Ashampoo PO Toolbar

AVG Security Toolbar

Babylon toolbar on IE

Funmoods

McAfee Security Scan Plus

Browser Manager

Update Manager for SweetPacks 1.1

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\snemjn.sys – (abp470n5) SRV - File not found [Disabled | Stopped] – C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.787.43{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe – (Browser Manager) O4 - HKLM…\Run: [CL2 Launcher] C:\Program Files\City Life RPG\CL2 Launcher\CL2Launcher.exe File not found O4 - HKLM…\Run: [GB_UPDATE] C:\Program Files\Razer\Razer Game Booster\AutoUpdate.exe/AUTORUN File not found O4 - HKU\S-1-5-21-527237240-152049171-1417001333-1004…\Run: [EA Core] “C:\Program Files\Electronic Arts\EADM\Core.exe” -silent File not found O4 - HKU\S-1-5-21-527237240-152049171-1417001333-1004…\Run: [MSConfig] C:\Documents and Settings\Wojciech\rzbt.exe (TODO: <Название компании>) O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-21-527237240-152049171-1417001333-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-527237240-152049171-1417001333-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\23787~1.43{16cdf~1\browse~1.dll) - File not found O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\22643~1.41{16cdf~1\browse~1.dll) - File not found @Alternate Data Stream - 807727 bytes -> C:\WINDOWS\Temp:temp :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

wroclaw123 · 27 Grudzień 2012 13:00

http://www.wklej.org/id/907225/

– Dodane 27.12.2012 (Cz) 14:03 –

a czy te połączenia TCP o dziwnych portach i nazwach to też to?

Atis · 27 Grudzień 2012 13:12

Zastosuj się do zaleceń z poprzedniej odpowiedzi, bo oprócz Sality masz trojana:

Po usunięciu sprawdzisz czy nadal są jakieś podejrzane połączenia.

wroclaw123 · 27 Grudzień 2012 13:37

jestem teraz na telefonie bede za 1h na kompie bo znalazlo mi duzo zagrozen i bardzo dlugo usuwa bo musialem przerwac na chwile ,strasznie dlugo usuwa mi 2 zagrozenie juz 15 minut czekam

Atis · 27 Grudzień 2012 13:52

Jeżeli jest problem to przeskanuj w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

https://support.kaspersky.com/pl/faq?SS … 3238595#q1

Na początku kliknij Anuluj i później zaznacz wszystkie dyski:

http://wstaw.org/m/2012/12/27/cureit.png

Dodatkowo przeskanuj SalityKiller lub Klik

wroclaw123 · 27 Grudzień 2012 14:12

Wiecie co ja moze zrobie tak że zostawie na cały dzien skanowaine i na cały dzien usuwanie tych wirusów bo strasznie długo to idzie

– Dodane 27.12.2012 (Cz) 17:33 –

mam problem juz moj komputer godzine nie moze znautralizowac ani jednego zagrozenia tym programem dr web co zrobic

Atis · 27 Grudzień 2012 16:36

Chyba widać w oknie programu na jakim pliku się zawiesił?

Przerwij skanowanie Dr.WEB CureIt.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Przeskanuj za pomocą SalityKiller.

Wykonaj skrypt i pokaż nowy log z OTL.

wroclaw123 · 27 Grudzień 2012 16:47

nie nie, poprostu skanowanie die skonczylo znalazlo 33 zagrozen i teraz jest neutralizowanie ale przez ten czas nic nie zneutralizowal a tego sie nie da wylaczyc i nic nie da sie robic pisze z telefonu

Atis · 27 Grudzień 2012 16:53

Skoro nie można wyłączyć to zrestartuj komputer.

wroclaw123 · 27 Grudzień 2012 19:31

http://www.wklej.org/id/907713/ raport z usuwania

Otl nowy; http://www.wklej.org/id/907722/

mam podać screen jak wygląda ten komunikat od nortona?

Lukasz6 · 27 Grudzień 2012 20:47

Nie zaszkodzi

wroclaw123 · 27 Grudzień 2012 20:49

Atis · 27 Grudzień 2012 21:49

To nie jest nowy log z OTL.

wroclaw123 · 27 Grudzień 2012 21:50

kurcze myle te logi chyba czy nie, zaraz zrobie nowego i dam Ci znać

– Dodane 27.12.2012 (Cz) 22:56 –

http://www.wklej.org/id/907878/ tym razem NOWY otl

Atis · 27 Grudzień 2012 22:04

Nawet nie odinstalowałeś programów które wymieniłem.

Czy znasz ten program: C:\Program Files\SockshareDownloader

Pobierz i uruchom The Avenger

Do okna programu wklej:

Kliknij w Execute i zatwierdź restart.

Pokaż raport z usuwania i nowy log z OTL.

wroclaw123 · 27 Grudzień 2012 22:23

http://www.wklej.org/id/907910/ avenger

http://www.wklej.org/id/907923/ nowy otl

pliki zostały usunięte które wymieniles

Atis · 27 Grudzień 2012 22:35

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKCU…\SearchScopes{E4B1EA10-ABC1-4103-B312-39E510CC4F8B}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=TV&apn_dtid=OSJ000YYUS&apn_uid=3446C199-9761-48C0-A4B9-90C8B17C3ABA&apn_sauid=553BD62A-D236-4FDA-A6C9-281A15FF7C3F FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Funmoods” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…browser.search.selectedEngine: “Funmoods” FF - prefs.js…browser.startup.homepage: “http://searchfunmoods.com/?f=1&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1QzuyB0AyBzytCzyzzyD0CyEyEtCtA0C0E0CtN0D0Tzu0CtAtAyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1815358406” FF - prefs.js…browser.startup.homepage: “http://domredi.com/1/” FF - prefs.js…keyword.URL: “http://searchfunmoods.com/?f=1&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1QzuyB0AyBzytCzyzzyD0CyEyEtCtA0C0E0CtN0D0Tzu0CtAtAyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1815358406&q=” [2012-05-20 10:04:32 | 000,000,000 | —D | M] (Ashampoo PO) – C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\hmgn5qno.default\extensions{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2012-12-01 20:46:14 | 000,000,000 | —D | M] (Funmoods.com) – C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\hmgn5qno.default\extensions\ffxtlbr@funmoods.com [2012-11-15 18:30:12 | 000,214,020 | ---- | M] () (No name found) – C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\hmgn5qno.default\extensions\socksharedownloader@socksharedownloader.com.xpi [2012-09-19 20:49:55 | 000,002,223 | ---- | M] () – C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\hmgn5qno.default\searchplugins\BabylonMngr.xml [2012-12-01 20:46:14 | 000,000,775 | ---- | M] () – C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\hmgn5qno.default\searchplugins\Funmoods.xml [2012-09-18 16:33:17 | 000,003,997 | ---- | M] () – C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\hmgn5qno.default\searchplugins\sweetim.xml O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O2 - BHO: (smartdownloader Class) - {F1AF26F8-1828-4279-ABCE-074EF3235BD7} - C:\Program Files\SockshareDownloader\smarterdownloader.dll (TODO: ) O4 - HKLM…\Run: [ROC_roc_ssl_v12] “C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe” / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKLM…\Run: [vProt] “C:\Program Files\AVG Secure Search\vprot.exe” File not found O4 - HKCU…\Run: [MSConfig] “C:\Documents and Settings\Wojciech\rzbt.exe” File not found O4 - HKCU…\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O33 - MountPoints2{aa8fe3ac-f8f2-11e1-9fc4-0022b06a6b5d}\Shell - “” = AutoRun [2012-12-27 14:05:10 | 000,000,000 | —D | C] – C:\Documents and Settings\Wojciech\Doctor Web [2012-12-27 23:09:02 | 000,000,000 | —D | C] – C:\Avenger [2012-12-27 23:09:43 | 000,000,278 | ---- | M] () – C:\WINDOWS\tasks\RMAutoUpdate.job [2012-12-01 20:46:00 | 000,290,500 | ---- | M] () – C:\Documents and Settings\Wojciech\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial_sf.crx [2012-12-01 20:46:00 | 000,031,465 | ---- | M] () – C:\Documents and Settings\Wojciech\Ustawienia lokalne\Dane aplikacji\funmoods.crx @Alternate Data Stream - 807763 bytes -> C:\WINDOWS\Temp:temp :Services EagleXNt EagleNT :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.