Witam
Złapałem tego syfa, w momencie kiedy on mi się pojawił walnąłem reseta kompa, po czym… nie pojawił się już ani razu. Jako że mój antyvir później wykrył wirus w skype.dat (podejrzewam że to ma związek) to wnioskuje że nadal ten syf sobie siedzi.
Wklejam logi
OTL - http://www.wklej.org/id/895696/
Extras - http://www.wklej.org/id/895698/
proszę o pomoc i od razu pytam - skrypt mam wkleić w OTL również mając system odpalony w trybie awaryjnym?
Atis
(Atis)
12 Grudzień 2012 22:27
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKU\S-1-5-21-4242290829-305244385-3537464315-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.helperbar.com/?publisher=OC … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-4242290829-305244385-3537464315-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.helperbar.com/?publisher=OC … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-4242290829-305244385-3537464315-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OC … c=lnkry&q={searchTerms} IE - HKU\S-1-5-21-4242290829-305244385-3537464315-1000…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.helperbar.com/?publisher=OC … c=lnkry&q={searchTerms} [2012-08-05 15:04:26 | 000,000,000 | —D | M] (AskToolbar) – C:\Users\Maciek\AppData\Roaming\mozilla\Firefox\Profiles\qjm63az0.default\extensions{3cb073f3-be3c-4e8f-942d-8a747b54486f} O3:64bit: - HKLM…\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ROC_ROC_NT] “C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe” / /PROMPT /CMPID=ROC_NT File not found O4 - HKLM…\Run: [ROC_roc_ssl_v12] “C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe” / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKU\S-1-5-21-4242290829-305244385-3537464315-1000…\Run: [Olivibvyuc] C:\Users\Maciek\AppData\Roaming\Nuum\ycdaa.exe File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O20 - HKU\S-1-5-21-4242290829-305244385-3537464315-1000 Winlogon: Shell - (C:\Users\Maciek\AppData\Roaming\skype.dat) - File not found [2012-09-28 00:43:35 | 000,000,000 | —D | M] – C:\Users\Maciek\AppData\Roaming\Ewebv [2012-09-28 00:43:22 | 000,000,000 | —D | M] – C:\Users\Maciek\AppData\Roaming\Qeugi [2012-09-26 20:50:30 | 000,000,000 | —D | M] – C:\Users\Maciek\AppData\Roaming\OpenCandy [2012-09-29 00:42:14 | 000,000,000 | —D | M] – C:\Users\Maciek\AppData\Roaming\Nuum :Reg [HKEY_USERS\S-1-5-21-4242290829-305244385-3537464315-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Atis
(Atis)
12 Grudzień 2012 22:59
#4
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/08/27/2012-08-27_234556.png
Wszystko zrobione, rozumiem że problem znikł? Mogę już niczego się nie obawiać? Malware nic nie wykrył.
Możesz powiedzieć co mniej więcej tymi operacjami zrobiliśmy? Z ciekawości pytam
Dzięki za pomoc i pozdrawiam.
Atis
(Atis)
12 Grudzień 2012 23:51
#6
Usunięte zostały pozostałości po infekcji i trochę innych śmieci.
Obawiać możesz się tego, że następnym razem trafisz na odmianę trojana który szyfruje pliki.
wirus-policja-zmiana-nazw-plikow-t513425.html
W ostatnich dniach ta wersja jest coraz częściej spotykana na polskich forach.
Jeżeli masz jakieś ważne dane to wykonaj kopię zapasową na innym nośniku.
Dodatkowo możesz przeczytać to:
http://traxter-online.net/sandboxie-uru … askownicy/
Da się jakoś przed tym zabezpieczyć, pomijając program antywirusowy (który bądź co bądź nie uchronił mnie przed tym wirusem co go usunęliśmy)?
Atis
(Atis)
13 Grudzień 2012 00:20
#8
Program antywirusowy skasował szkodliwe pliki, bo zostały tylko wpisy File not found, czyli plików nie było na dysku, a zostały tylko wpisy w rejestrze.
Nie było aktywnej infekcji.
Przecież podałem link w którym jest opis dodatkowego zabezpieczenia.
W większości przypadków infekcja następuje przez wejście na zainfekowaną stronę internetową.
Każda strona może zostać zainfekowana, więc nawet taka którą od dawna dobrze znasz.
Dodatkowym zabezpieczeniem będzie uruchamianie przeglądarki w „piaskownicy”.
http://traxter-online.net/sandboxie-uru … askownicy/