Proszę o sprawdzenie logów otl, wirus z policją

kwiec · 26 Maj 2013 11:52

extrashttp://www.wklej.org/id/1048606/

otl http://www.wklej.org/id/1048607/

Acorus · 26 Maj 2013 11:56

Log musi być z zarażonego konta.

kwiec · 26 Maj 2013 14:22

Tzn. z pulpitu zarażonego komputera?

otl

http://www.wklej.org/id/1048893/

extras

http://www.wklej.org/id/1048901/

Atis · 26 Maj 2013 14:42

Uruchom OTL i kliknij Nic.

Wklej do OTL i kliknij Skanuj:

Pokaż ten log.

kwiec · 26 Maj 2013 16:37

proszę zrobiłam tak jak w opisie i tu jest loghttp://wklej.org/id/1049033/

Atis · 26 Maj 2013 17:06

Pobierz i uruchom Farbar Recovery Scan Tool

Kliknij Scan i pokaż raport z tego programu.

kwiec · 26 Maj 2013 17:48

FRST http://wklej.org/id/1049119/

ADDITION http://wklej.org/id/1049121/

Atis · 26 Maj 2013 18:02

Musisz zalogować się na zainfekowane konto i wtedy utworzyć log z OTL.

OTL możesz zapisać na pendrive i uruchomić za pomocą notatnika.

Uruchom tryb awaryjny z wierszem polecenia.

W wierszu polecenia wpisz: X:\OTL.exe

X - podstaw literę którą oznaczony jest pendrive.

Nie znasz litery to użyj sposobu z notatnikiem.

W wierszu polecenia wpisz: notepad
W menu notatnika: Plik -> Otwórz -> Pliki typu -> Wszystkie pliki
Kliknij prawym na OTL i z menu kontekstowego wybierz Otwórz lub Uruchom jako…

http://wstaw.org/m/2012/12/23/2012-12-23_205834.png

kwiec · 26 Maj 2013 18:43

czyli te logi co wstawiłam to są złe?

Uruchamiam w trybie awaryjnym jako administrator, nie wiem z jakiego konta zostało zainfekowane, bo zrobił to mój młodszy brat…

Ten farbar też mam jakoś inaczej uruchomić?

Atis · 26 Maj 2013 18:48

W tych logach nie widać infekcji, bo jesteś zalogowany na wbudowanym koncie Administrator.

Musisz zalogować się na imienne konto użytkownika.

To musi być konto na którym wystąpiła infekcja.

kwiec · 26 Maj 2013 19:10

Zawsze myślalam że system to system, bez wzgledu na to jaki użytkownik… przy okzji coś się nauczyłam

oto nowe logi po zalogowaniu na zwykłego użytkownika

Otlhttp://wklej.org/id/1049225/

Extrashttp://wklej.org/id/1049230/

Atis · 26 Maj 2013 19:19

Po restarcie spróbuj uruchomić system w normalnym trybie.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\pccsmcfd.sys – (pccsmcfd) IE - HKU\S-1-5-21-796845957-527237240-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://tuvaro.com/ws/?source=e0c8d0ad&t … 1bfcfc5952 IE - HKU\S-1-5-21-796845957-527237240-1417001333-1004…\SearchScopes{0388404D-6072-4CEB-B521-8F090FEAEE57}: “URL” = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20130201&user_guid=0AE714D25246403A90A01A50408B44AD&machine_id=28daf2277e318dc37c101fcfa6881ef5&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source} IE - HKU\S-1-5-21-796845957-527237240-1417001333-1004…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=AC29001BFCFC5952 IE - HKU\S-1-5-21-796845957-527237240-1417001333-1004…\SearchScopes{BC0B8539-4179-4F3E-B139-562E7CBB329B}: “URL” = http://tuvaro.com/ws/?source=e0c8d0ad&t … cfc5952&q={searchTerms} [2013-03-17 18:38:48 | 000,000,000 | —D | M] (Delta Toolbar) – C:\Documents and Settings\uzytek\Dane aplikacji\Mozilla\Firefox\Profiles\xg9ec1x0.default\extensions\ffxtlbr@delta.com [2013-03-17 18:38:50 | 000,001,294 | ---- | M] () – C:\Documents and Settings\uzytek\Dane aplikacji\Mozilla\Firefox\Profiles\xg9ec1x0.default\searchplugins\delta.xml [2013-05-12 17:36:12 | 000,001,407 | ---- | M] () – C:\Documents and Settings\uzytek\Dane aplikacji\Mozilla\Firefox\Profiles\xg9ec1x0.default\searchplugins\tuvaro.xml [2013-03-17 18:37:45 | 000,006,468 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM…\Run: [tuto4pc_pl_8] File not found O4 - HKU\S-1-5-21-796845957-527237240-1417001333-1004…\Run: [AdobeBridge] File not found [2013-05-12 17:37:07 | 000,017,280 | ---- | C] (Systweak Inc., (http://www.systweak.com)) – C:\WINDOWS\System32\roboot.exe [2013-05-12 17:37:04 | 000,000,000 | —D | C] – C:\Documents and Settings\uzytek\Dane aplikacji\systweak :Files C:\Documents and Settings\uzytek\Dane aplikacji\skype.ini C:\Documents and Settings\uzytek\Dane aplikacji\skype.dat :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Uruchom system w normalnym trybie i odinstaluj Delta toolbar, Delta Chrome Toolbar, tuto4pc_pl_8.
Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

Kliknij Skanuj i pokaż nowy log z OTL.

kwiec · 26 Maj 2013 19:41

raport z usuwania http://wklej.org/id/1049287/

tuto4pc_pl_8 usunęłam z folderu program files, bo nie znalazłam w go w usuń programy.

zaraz prześlę z dalsze czynności

– Dodane 26.05.2013 (N) 21:52 –

log z AdvCleaner http://wklej.org/id/1049300/

log z otlhttp://wklej.org/id/1049312/

extrashttp://wklej.org/id/1049313/

Atis · 26 Maj 2013 20:03

Wklej i kliknij Wykonaj skrypt:

Odinstaluj Java 6 Update 2 i zainstaluj Java 7 Update 21

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

kwiec · 26 Maj 2013 20:38

Uff… Wszystko zrobione zgodnie z opisem, nie znalazłem programów oznaczonych out of date… (mam szukać w logu?)

i to wszystko? Wirus usunięty z korzeniami ?

Atis · 26 Maj 2013 20:53

Trojan został usunięty i to wszystko.

kwiec · 26 Maj 2013 21:15

Dziękuję bardzo