Komputer po otwarciu załącznika z Puremobile, log OTL

reckoner · 7 Kwiecień 2011 12:31

Witam

Jak wiele innych osób również dostałem mail’a i niestety otworzyłem załącznik. Proszę o sprawdzenie mojego log’a. Oto link:

http://wklej.to/u8Wj4

Z góry dziękuję.

Acorus · 7 Kwiecień 2011 12:54

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Pokaż jeszcze log extras(dodatkowy rejestr-użyj filtrowania-zaznaczyć.

reckoner · 7 Kwiecień 2011 13:29

Dzięki, że tam zajrzałeś. Oto log po restarcie:

http://wklej.to/asitb

A tu po kolejnym uruchomieniu OTL:

http://wklej.to/3CjId

I jeszcze Extras:

http://wklej.to/gT337

Acorus · 7 Kwiecień 2011 13:41

W porządku.W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware.

Przeskanuj programem Dr.WEB CureIt http://ftp.drweb.com/pub/drweb/cureit/launch.exe

Odinstaluj Sophos Anti-Virus,Ad-Aware.

reckoner · 7 Kwiecień 2011 16:05

Przeskanowałem komputer, ale ani Malware Bytes ani Dr. Web nic nie znalazły. Wczoraj skanowałem go Sophos’em i w pliku pdf z tego maila, który zapisał się w folderze tymczasowym po otwarciu, znalazł on coś takiego: Troj/PDFJs-RE. Chciałbym wiedzieć czy mimo tego mogę uznać, że rejestr jest czysty i nie ma nic podejrzanego w uruchomionych procesach?

Dzięki jeszcze raz za sprawdzenie :).

Acorus · 7 Kwiecień 2011 16:18

Jak Malwarebytes i Dr.WEB nic nie znalazły to jest czysto.Sophos to staroć.

kreobiuro · 8 Kwiecień 2011 10:47

Witajcie. Jestem nowy.

Niestety również załapałem się na haczyk i otworzyłem maila w poczcie. norton nie zgłaszał żadnych uwag. jak mogę sprawdzić czy jestem “czysty” ?

Acorus · 8 Kwiecień 2011 10:50

otl-gmer-rsit-dss-inne-instrukcje-t370405.html

kreobiuro · 8 Kwiecień 2011 11:06

ok.

tutaj jest jak sądzę raport: http://wklej.to/F0Urh

a tutaj coś co się zowie Extras: http://wklej.to/0Lpjj

– Dodane 08.04.2011 (Pt) 13:13 –

czy powinienem jeszcze coś uczynić ?

Acorus · 8 Kwiecień 2011 11:57

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Przeskanuj programem Dr.WEB CureIt http://ftp.drweb.com/pub/drweb/cureit/launch.exe

Odinstaluj Ask Toolbar,McAfee Security Scan Plus,

kreobiuro · 8 Kwiecień 2011 13:18

myślę, że chyba sobie poradziłem. mam pytanie po przefiltrowaniu programem, który podałeś pokazał mi, że w ściągniętym pliku OTL był Trojan.Siggen2.25631 usunąłem go z pobranych. puściłem jeszcze raz DR Weba i spokój. czy to oznacza, że jest chwilowo ok, czy należałoby podjąć jeszcze jakieś dodatkowe działania ?

Acorus · 8 Kwiecień 2011 13:29

W OTL miałeś użyć Sprzątanie.Ta komenda usuwa OTL i jego kwarantannę a później miał być skan.Trojan w OTL-u to fałszywy alarm.

kreobiuro · 8 Kwiecień 2011 13:44

Zatem drogi Acorusie serdecznie dziękuję za pomoc. Niby człowiek uważa z dziwnymi mailami załącznikami, ale to wszystko się zmienia jak w kalejdoskopie.

No cóż teraz będę miał kolejną lekcję. Nie wiedzieć czemu, ale jakoś sam fakt pliku załącznika jako pdf-a nie wzbudził u mnie takiej ostrożności.

Pozdrawiam serdecznie i doceniam gotowość do pomocy takim “świeżakom” jak ja.

Z drugiej strony nie można się znać na wszystkim

nefretari · 9 Kwiecień 2011 16:43

A to moje OTL: http://wklej.org/id/509297/

Extras http://wklej.org/id/509298/

Bardzo proszę o pomoc

Acorus · 9 Kwiecień 2011 17:25

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files (x86)\Softonic-Polska\prxtbSof0.dll (Conduit Ltd.) IE - HKU\S-1-5-21-321991761-1420075761-2194234595-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15161&l=dis IE - HKU\S-1-5-21-321991761-1420075761-2194234595-1000…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files (x86)\Softonic-Polska\prxtbSof0.dll (Conduit Ltd.) O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files (x86)\Softonic-Polska\prxtbSof0.dll (Conduit Ltd.) O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files (x86)\Softonic-Polska\prxtbSof0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-321991761-1420075761-2194234595-1000…\Toolbar\WebBrowser: (Softonic-Polska Toolbar) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - C:\Program Files (x86)\Softonic-Polska\prxtbSof0.dll (Conduit Ltd.) O4 - HKLM…\Run: [Dell Webcam Central] C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe File not found O4 - HKU\S-1-5-21-321991761-1420075761-2194234595-1000…\Run: [EPSON Stylus DX4000 Series] C:\Windows\SysWow64\spool\DRIVERS\x64\3\E_FATIBEE.EXE File not found [2011-04-01 10:46:12 | 000,000,000 | —D | C] – C:\Program Files (x86)\ConduitEngine [2011-04-01 10:46:10 | 000,000,000 | —D | C] – C:\Users\Gosia\AppData\Local\Conduit :Files C:\Users\Gosia\AppData\Local\Temp*.html :Commands [emptytemp]

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Odinstaluj Softonic-Polska Toolbar.