Infekcja przez 11 PuPów

jurasko1 · 9 Wrzesień 2013 08:36

Wyskakuje mi alert "wysokie użycie procesora"Przeskanowałem Mbamem i wykrył mi 11 zagrożeń(nie usuwałem jeszcze ani nie dałem do kwarantanny)

Proszę o sprawdzenie logów:

-MBAM http://wklej.to/DYKux

OTL http://wklej.to/UvPWj

-EXTRAS http://wklej.to/J17Kt

Dimatheus · 9 Wrzesień 2013 08:50

Hej,

W MBAM możesz spokojnie wszystko wyrzucić - na razie nie wykonano żadnej akcji i pliki nie zostały usunięte. Następnie pobierz AdwCleaner, w programie najpierw wykonaj skan, a później usuń zagrożenia (przycisk Clean). Następnie wrzuć nowe logi OTL’a.

Pozdrawiam,

Dimatheus

Acorus · 9 Wrzesień 2013 08:50

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKU\S-1-5-21-1736633796-2906587640-1077360133-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=889F0015AF64CB49&affID=119357&tsp=4984 IE - HKU\S-1-5-21-1736633796-2906587640-1077360133-1000…\SearchScopes{6CFB953E-525F-4EA4-BDB8-9AD7A345AD3D}: “URL” = http://websearch.ask.com/redirect?clien … &src=kw&q={searchTerms}&locale=&apn_ptnrs=^6G&apn_dtid=^YYYYYY^YY^PL&apn_uid=6aa59b16-7c8c-42ce-aca4-5d90a1446c31&apn_sauid=AFA58A8F-52E6-432C-8640-169052094BD1 FF - prefs.js…browser.search.selectedEngine: “Ask.com” [2013-08-24 07:43:00 | 000,000,000 | —D | M] (No name found) – C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com O4 - HKU\S-1-5-21-1736633796-2906587640-1077360133-1001…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” File not found [2013-08-24 07:42:35 | 000,000,000 | —D | C] – C:\Users\Jerzy\AppData\Roaming\Babylon [2013-08-24 07:42:35 | 000,000,000 | —D | C] – C:\ProgramData\Babylon [2013-08-20 19:14:17 | 000,000,000 | —D | C] – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV [2013-08-20 19:14:17 | 000,000,000 | —D | C] – C:\Program Files\PANDORA.TV [2013-09-09 10:20:08 | 000,000,439 | ---- | M] () – C:\Windows\System32\drivers\etc\hosts.ics :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

jurasko1 · 9 Wrzesień 2013 10:06

Zastosowałem wskazówki od Dimatheus

Logi:

OTL-http://wklej.to/YBcPY

Extras- http://wklej.to/YZ1VH

Dimatheus · 9 Wrzesień 2013 10:29

Hej,

Generalnie wykonaj skrypt, który podał Acorus ; klika wpisów usunął już AdwCleaner, więc poniżej skrypt, z którego wyciąłem to, co już usunięto. Wykonujesz skrypt, następnie wykonujesz sprzątanie i tyle.

:OTL

IE - HKU\S-1-5-21-1736633796-2906587640-1077360133-1000\..\SearchScopes\{6CFB953E-525F-4EA4-BDB8-9AD7A345AD3D}: "URL" = http://websearch.ask.com/redirect?clien ... &src=kw&q={searchTerms}&locale=&apn_ptnrs=^6G&apn_dtid=^YYYYYY^YY^PL&apn_uid=6aa59b16-7c8c-42ce-aca4-5d90a1446c31&apn_sauid=AFA58A8F-52E6-432C-8640-169052094BD1

O4 - HKU\S-1-5-21-1736633796-2906587640-1077360133-1001..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found

[2013-08-20 19:14:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV

[2013-08-20 19:14:17 | 000,000,000 | ---D | C] -- C:\Program Files\PANDORA.TV

[2013-09-09 11:49:56 | 000,000,440 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts.ics


:Commands

[emptytemp]

Pozdrawiam,

Dimatheus

jurasko1 · 9 Wrzesień 2013 10:41

Dzięki za pomoc.

Pozdrawiam