Metropolitan Virus


(Asik Stol) #1

Skoro admin kazał, to zakładam wątek.

Natrafiłam na jeden wątek, miałam nadzieję, że dam sama radę, ale niestety nie.

Utkwiłam na poziomie stworzenia raportów w OTL.

Co dalej?

-- Dodane 01.04.2012 (N) 19:19 --

http://wklej.org/id/722494/


(Atis) #2

W panelu sterowania odinstaluj wszystkie śmieci:

Winamp Toolbar, MediaBar, My Global Search, Funmoods Toolbar, Ask Toolbar, Akamai NetSession Interface

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}

IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\..\SearchScopes\{17AB842F-0899-4E6B-8AD0-2C128B540286}: "URL" = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = http://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\..\SearchScopes\{EFBD286D-E8CB-4FED-9A55-2BAD62B116D6}: "URL" = http://www.google.pl/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421

FF - prefs.js..browser.search.defaultenginename: "Search"

FF - prefs.js..browser.search.selectedEngine: "Search"

FF - prefs.js..browser.startup.homepage: "http://start.funmoods.com/?f=1&a=ironto"

FF - prefs.js..extensions.enabledItems: ffxtlbr@funmoods.com:1.5.0

[2011-03-13 14:49:23 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\Asia\AppData\Roaming\mozilla\Firefox\Profiles\42g52dbe.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0}

[2012-04-01 16:23:19 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Asia\AppData\Roaming\mozilla\Firefox\Profiles\42g52dbe.default\extensions\ffxtlbr@funmoods.com

[2011-12-27 00:26:10 | 000,002,354 | ---- | M] () -- C:\Users\Asia\AppData\Roaming\Mozilla\Firefox\Profiles\42g52dbe.default\searchplugins\aol-web-search.xml

[2012-04-01 16:23:18 | 000,001,800 | ---- | M] () -- C:\Users\Asia\AppData\Roaming\Mozilla\Firefox\Profiles\42g52dbe.default\searchplugins\funmoods.xml

[2010-09-02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml

O4 - HKLM..\Run: [hpqSRMon] File not found

O4 - HKU\S-1-5-21-4064484620-493444553-2221323067-1001..\Run: [MozillaPlugins] C:\Users\Asia\AppData\Roaming\AC9C63.exe ()

O4 - HKU\S-1-5-21-4064484620-493444553-2221323067-1001..\Run: [NVIDIA driver monitor] c:\users\public\nvsvc32.exe File not found

O4 - HKU\S-1-5-21-4064484620-493444553-2221323067-1001..\Run: [Windows Security Service] c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Fixer32.exe (RqRdkHEFF)

F3 - HKU\S-1-5-21-4064484620-493444553-2221323067-1001 WinNT: Load - (C:\Users\Asia\LOCALS~1\Temp\msjvsx.cmd) - C:\Users\Asia\LOCALS~1\Temp\msjvsx.cmd ()

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found

O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe File not found

O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe File not found

[2012-04-01 19:10:53 | 000,000,869 | ---- | M] () -- C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\84EC.tmp.lnk

[2012-04-01 19:10:11 | 000,000,871 | ---- | M] () -- C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ch8l0.exe.lnk


:Files

RECYCLER /alldrives


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Asik Stol) #3

Jest jeden mały problem. Właśnie wylogowało mnie z mojego konta, weszłam na drugie, które działa poprawnie. Wszystko, co tam zrobiłam utraciłam...


(Atis) #4

Nie wiem co utraciłaś?

Dlaczego nie można się zalogować na to konto?


(Asik Stol) #5

Nie mam pojęcia. Od momentu kiedy pojawił się ten wirus na ekranie głównym działał internet i wykonywałam te polecenia ściągnięcia OTL i skanowania. Potem przez chwilę nie robiłam nic i zniknęło wszystko. JAk się teraz próbowałam zalogować pojawia się czarny ekran i nic więcej.


(Atis) #6

Spróbuj zalogować się na to konto w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.


(Asik Stol) #7

Dobra, udało się zalogować. Wykonuję skrypt mając otwartą tą stronę. Wszystko inne zniknęło.

P.S. Wybacz, jestem totalnym żółtodziobem jeśli chodzi o komputery :wink:


(Atis) #8

Jak możesz mieć otwartą stronę skoro komputer zostanie zrestartowany.

Skopiuj dokładnie ten skrypt i kliknij Zaznacz cały


(Asik Stol) #9

http://wklej.org/id/722538/

To jest już to?

-- Dodane 01.04.2012 (N) 20:04 --

Tak też zrobiłam. Ja na razie coś się robi, a komputer się nie zrestartował. Coś tam w tym OTL-u pracuje intensywnie od paru minut...


(Atis) #10

Poczekaj kilka minut i jeśli nic się nie zmieni to ręcznie zrestartuj komputer.

Po restarcie utwórz nowy log klikając Skanuj.


(Asik Stol) #11

jak na razie OTL coś robi... Ale od paru minut... Zaznaczyłam poprzednim razem cały i skopiowałam dokładnie i kliknęłam wykonaj skrypt. Mam przerwać pracę OTL i zrobić to jeszcze raz?


(Atis) #12

Zrestartuj komputer i utwórz nowy log.

Takie trojany najlepiej usuwać w trybie awaryjnym.

Spróbuj uruchomić tryb awaryjny z obsługą sieci.


(Asik Stol) #13

Dzisiejszy skan

OTL: http://wklej.org/id/722971/

Extras: http://wklej.org/id/722973/


(Acorus) #14

Odinstaluj AutocompletePro,McAfee Security Scan Plus,My Global Search Bar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.

Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete.

Pokaż nowy log OTL.txt i log z AdwCleaner.


(Asik Stol) #15

Po restarcie komputera otwarł się taki plik w notatniku:

http://wklej.org/id/723002/

-- Dodane 02.04.2012 (Pn) 15:23 --

AdwCleaner: http://wklej.org/id/723004/


(Acorus) #16

Pokaż nowy OTL.txt z funkcji Scanuj.


(Asik Stol) #17

no i OTL: http://wklej.org/id/723013/

Czy to już wszystko? Pozbyłam się tego wirusa?


(Acorus) #18

W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.


(Asik Stol) #19

Malware: http://wklej.org/id/723047/

-- Dodane 02.04.2012 (Pn) 16:21 --

Mam to po prostu usunąć? Przepraszam, ale kompletnie się na tym nie znam :slight_smile:


(Acorus) #20

Wszystko do usunięcia.