Legal software department virus 2

Krysstal · 21 Marzec 2013 19:42

Problem identyczny jak w legal-software-department-virus-t526453.html , czyli wirus informujący, że jak nie wpiszemy 3 płatnych kodów to zrobi nam formata.

Zrobiłam już to co było tutaj: http://www.mikethegeek.pl/index.php/com … -komputera , ale nie wiem czy pomogło. Przeskanowałam system NODem 32, ale nie znalazł problemu, użyłam HiJackThis, wkleiłam log na ich stronę, chciałam usunąć podane tam problemy, ale gdy skanuje na nowo to te problemy są dalej, nieusunięte, nie naprawione. Winlog jest w rejestrze i procesach, ale nie widzę go nigdzie w system32. Naprawiałam rejestr CCleanerem i czyściłam nim kompa, ale pomimo tego wszystkiego winlog.exe dalej jest w komputerze.

OTL: http://www.wklej.org/id/989172/

EXTRAS: http://www.wklej.org/id/989175/

Przed chwilą doczytałam ze winlogon jest normalnym plikiem systemowym… Ale z drugiej strony jest tyle stron o tym że jest to wirus, jak to w końcu jest? Nie wiem więc czy usunęłam wirusa czy nie, komputer działa lepiej, przede wszystkim nie mam tego okienka wirusa… Na HiJackThis nie mam już głównego pliku odpowiedzialnego za wirusa (tak mi się wydaje), Nod nic nie wykrył… Jakieś wskazówki jak jeszcze sprawdzić czy wszystko jest ok? Wydaję mi się, że opisana na podanej przeze mnie stronie instrukcja o zamianie explorera naprawiła problem, ale nie jestem tego pewna.

Atis · 21 Marzec 2013 20:36

HiJackThis nie działa prawidłowo na systemach 64-bitowych.

Przeskanuj na Virustotal plik systemowy: C:\Windows\explorer.exe

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE:64bit: - HKLM…\SearchScopes{2fa28606-de77-4029-af96-b231e3b8f827}: “URL” = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF IE - HKLM…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKLM…\SearchScopes{2fa28606-de77-4029-af96-b231e3b8f827}: “URL” = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF IE - HKU\S-1-5-21-1044498435-3085143977-476558059-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-1044498435-3085143977-476558059-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-1044498435-3085143977-476558059-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-1044498435-3085143977-476558059-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-1044498435-3085143977-476558059-1000…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-1044498435-3085143977-476558059-1000…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1044498435-3085143977-476558059-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=100476&babsrc=SP_ss&mntrId=dee0795e000000000000101f74b21f27 IE - HKU\S-1-5-21-1044498435-3085143977-476558059-1000…\SearchScopes{2fa28606-de77-4029-af96-b231e3b8f827}: “URL” = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF FF - prefs.js…extensions.enabledAddons: urllister%40binnyva.com:1.3 O3:64bit: - HKLM…\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKU\S-1-5-21-1044498435-3085143977-476558059-1000…\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM…\Run: [] File not found [2011-11-26 15:00:41 | 000,000,000 | —D | M] – C:\Users\Basia\AppData\Roaming\Babylon :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Dr.Web CureIt

Krysstal · 21 Marzec 2013 21:08

Skanowanie explorera: Detection ratio: 0 / 44

OTL: http://www.wklej.org/id/989288/

Programy zaktualizuje (wole nie wklejać bo mam tam parę perełek), dysk przeskanuję. Potrzebujesz jeszcze jakieś logi czy to już wszystko? Jeśli tak to do zamknięcia.

Dziękuje Ci Atis za pomoc i przepraszam za tamto podpięcie, czytałam wcześniej regulamin, ale myślałam że przy identycznym wirusie to mogłoby przejść.