Witam wszystkich,
niestety i mnie dopadło…konto moje jako administratora zablokowane, jedynie tryb awaryjny ratuje. Zrobiłem skan OLT jak przykazano i proszę o pomoc o ile to możliwe? nie chciałbym robić formata w najbliższych dniach bo muszę niestety projekcik skończyć…
tutaj podrzucam pliczki:
http://www.wklej.org/id/796559/
http://www.wklej.org/id/796560/
B. proszę o pomoc…
Atis
(Atis)
23 Lipiec 2012 23:38
#2
Odinstaluj VshareComplete
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-3154293570-1715436931-572324265-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-3154293570-1715436931-572324265-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-3154293570-1715436931-572324265-1000…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-3154293570-1715436931-572324265-1000…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=63 … 8f23ee2&q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…keyword.URL: “http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=20518f8a-8fb1-4bcb-81a4-1bf2b702fd14&affid=110774&searchtype=ds&babsrc=lnkry&q= ” [2011-11-22 21:59:06 | 000,000,000 | —D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) – C:\Users\kotek\AppData\Roaming\mozilla\Firefox\Profiles\tro6in5o.default\extensions{3697b17c-b572-4862-a5e6-7f922c0f3403} [2011-11-28 14:58:50 | 000,000,000 | —D | M] (Vividas player plugin) – C:\Users\kotek\AppData\Roaming\mozilla\Firefox\Profiles\tro6in5o.default\extensions\player@vividas.com [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () – C:\Users\kotek\AppData\Roaming\Mozilla\Firefox\Profiles\tro6in5o.default\searchplugins\startsear.xml [2012-07-13 14:47:18 | 000,002,474 | ---- | M] () – C:\Users\kotek\AppData\Roaming\Mozilla\Firefox\Profiles\tro6in5o.default\searchplugins\Web Search.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) – C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O3:64bit: - HKLM…\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O4:64bit: - HKLM…\Run: [WSManHTTPConfig] C:\Users\kotek\AppData\Local\Microsoft\Windows\212\WSManHTTPConfig.exe () [2012-07-24 00:01:15 | 000,000,000 | —D | C] – C:\Users\kotek\AppData\Roaming\hellomoto [2012-07-13 09:34:16 | 000,000,000 | —D | M] – C:\Users\kotek\AppData\Roaming\OpenCandy :Files C:\Users\kotek\AppData\Local\Microsoft\Windows\212 :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Witam, usunąłem VshareComplete oraz zastosowałem powyższy kodzik. System wystartował w normalnym trybie. Niżej ponowne logi z OTL:
OTL - http://wklej.org/id/796753/
Extras - http://wklej.org/id/796755/
I jeszcze jedno pytanie, rozumiem że ten wirusik został całkowicie usunięty z komputera?
Jak się zabezpieczyć przed takimi atakami? Firewall?
Atis
(Atis)
24 Lipiec 2012 13:37
#4
Tak trojan został usunięty.
Wystarczy kliknąć w jakiś link żeby zainfekować system.
Odinstaluj starą wersję Java 6 Update 31
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
dzieki wielkie za wyczerpujące odpowiedzi. pozdrawiam