Puremobile Inc, nie otwierać załączników PDF

szymonek760 · 9 Kwiecień 2011 11:12

co ci ludzie teraz wymyślają arcavir 2011 antivirus protection wykrył zeusa

andre_dw · 9 Kwiecień 2011 12:51

Hi djkamil09061991,

troche czasu zajeło mi wykonanie zaleceń, mój PC nie mógł sciągnąć Malwarebytes, poniżej raport po pełnym skanowaniu:

i kolejny raport OTL po usunięciu syfu:

– Dodane 09.04.2011 (So) 14:52 –

djkamil09061991 ,

Hi

troche czasu zajeło mi wykonanie zaleceń, mój PC nie mógł sciągnąć Malwarebytes, poniżej raport po pełnym skanowaniu:

i kolejny raport OTL po usunięciu syfu:

Leon1 · 9 Kwiecień 2011 13:08

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL O3 - HKCU…\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O32 - AutoRun File - [2006-05-09 21:36:18 | 000,000,034 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2006-05-09 21:36:18 | 000,000,034 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{86c5f617-5eaf-11df-b310-001d7da69d68}\Shell\AutoRun\command - “” = F:\Launcher.exe O33 - MountPoints2{9a87a7ce-fe94-11dc-ae51-001d7da69d68}\Shell - “” = AutoRun O33 - MountPoints2{9a87a7ce-fe94-11dc-ae51-001d7da69d68}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe [2010-07-10 11:35:02 | 000,000,012 | ---- | C] () – C:\Documents and Settings\LocalService\Dane aplikacji\qcopjv.dat [2010-06-14 20:24:46 | 000,000,016 | ---- | C] () – C:\Documents and Settings\NetworkService\Dane aplikacji\qcopjv.dat [2005-10-24 11:13:58 | 000,066,560 | RHS- | C] () – C:\WINDOWS\MOTA113.exe [2005-10-13 21:27:00 | 000,422,400 | RHS- | C] () – C:\WINDOWS\x2.64.exe [2005-07-14 12:31:20 | 000,027,648 | RHS- | C] () – C:\WINDOWS\System32\AVSredirect.dll [2005-06-21 22:37:42 | 000,045,568 | RHS- | C] () – C:\WINDOWS\System32\cygz.dll [2005-05-13 17:12:00 | 000,217,073 | RHS- | C] () – C:\WINDOWS\meta4.exe [2005-02-28 13:16:22 | 000,240,128 | RHS- | C] () – C:\WINDOWS\System32\x.264.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

andre_dw · 9 Kwiecień 2011 13:52

Leon$ ,

kolejny OTL po wykonaiu skryptu, restarcie kompa:

djkamil09061991 · 9 Kwiecień 2011 13:56

Jest ok, naciśnij w OTL sprzątanie. Dodatkowo zaaktualizuj system:

do SP3:

http://www.dobreprogramy.pl/Windows-XP- … 12243.html

Leon1 · 9 Kwiecień 2011 14:00

aktualizacja do Internet Explorer 8 http://www.microsoft.com/windows/intern … sites.aspx

andre_dw · 9 Kwiecień 2011 14:03

djkamil09061991 , Leon$ ,

mimo że laik ze mnie to udało się przejść do końca.

Wielkie dzięki za pomoc.

adpawl · 9 Kwiecień 2011 14:10

Ze też przegapiłem ten temat #-o

Tutaj macie info:

ostrzeżenie http://www.cert.pl/news/3480

wyniki analizy http://www.cert.pl/news/3525

Jeszcze wiele AV nie ma go w swoich sygnaturach. Sam zgłaszałem dziada m.in. do noda, comodo, i microsoftu.

Ze trzy, cztery dni temu Virustotal pokazywał chyba ze dwa ostrzeżenia, potem było ich 7, wczoraj już 11 - więc powolutku sygnaturki powinny się w antywirkach aktualizować.

Cedar · 10 Kwiecień 2011 18:21

Przeglądając dziś “niechciane” w Thunderbirdzie też natknąłem się na taką przesyłkę. Załącznik bezpieczny.

Wysłałem im odpowiednią “wiązankę” na adresy dostępne na ich stronie:

http://www.puremobile.com/help.asp?sect … question=1

Przed chwilą z jednego z tych adresów dostałem gotowca:

Z drugiego adresu:

Czekam na pozostałe

lipka05 · 11 Kwiecień 2011 08:24

Witam ja nie otworzyłam załącznika bo przy próbie jego otwarcia wyskoczył mi komunikat że nie mam najnowszej wersji adobe i żebym najpierw ją pobrała i wtedy się opanowałam i poczytałam o tej firmie niestety ta próba otwarcia mnie męczy czy to dziadostwo mogło już zainfekować kompa. Na stronie niebezpiecznik.pl piszą że jak się nie widziało czegoś co wygląda jak faktura to jest się bezpiecznym poza tym podają jakie antywirusy wykrywają to dziadostwo ale czy wykryją infekcję jak już skasowałam wiadomość.

Acorus · 11 Kwiecień 2011 08:30

otl-gmer-rsit-dss-inne-instrukcje-t370405.html

szymonek760 · 11 Kwiecień 2011 14:18

dzisiaj dostałem pięć takich wiadomości najgorszy atak na świecie :o :o

lipka05 · 11 Kwiecień 2011 15:11

http://wklej.org/id/510635/

http://wklej.org/id/510631/

Zrobiłam chyba wszystko zgodnie z instrukcją proszę o pomoc co dalej ![-o<

maxio24 · 11 Kwiecień 2011 15:31

Witam ponownie, link do logów po wykonaniu skryptu.

Co mam dalej robić - jak mam dalej postępować.

http://wklej.org/id/510644/

– Dodane 11.04.2011 (Pn) 17:34 –

a tu link do skryptu

http://wklej.org/id/510648/

Acorus · 11 Kwiecień 2011 16:33

Dla maxio 24.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL PRC - [2010-01-08 01:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) – C:\Program Files\Application Updater\ApplicationUpdater.exe SRV - [2010-01-08 01:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) [Auto | Running] – C:\Program Files\Application Updater\ApplicationUpdater.exe – (Application Updater) File not found (No name found) – C:\DOCUMENTS AND SETTINGS\MARCIN\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\IY3G9AGE.DEFAULT\EXTENSIONS\DTTOOLBAR@TOOLBARNET.COM File not found (No name found) – C:\PROGRAM FILES\SEARCH SETTINGS\FF O3 - HKCU…\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - No CLSID value found. :Commands [emptytemp]

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

– Dodane 11.04.2011 (Pn) 18:52 –

Skrypt dla lipka 05 Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKCU…\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof0.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultthis.engineName: “Softonic-Eng7 Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.selectedEngine: “Softonic-Eng7 Customized Web Search” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&q=” [2011-04-06 07:59:49 | 000,000,000 | —D | M] (Softonic-Eng7 Community Toolbar) – C:\Documents and Settings\Patryk\Dane aplikacji\Mozilla\Firefox\Profiles\j7a98ik5.default\extensions{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2011-04-06 07:59:30 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\Patryk\Dane aplikacji\Mozilla\Firefox\Profiles\j7a98ik5.default\extensions\engine@conduit.com [2011-04-06 07:59:48 | 000,000,000 | —D | M] (ĐŻĐ˝Đ´ĐµĐşŃ.Đ‘Đ°Ń€) – C:\Documents and Settings\Patryk\Dane aplikacji\Mozilla\Firefox\Profiles\j7a98ik5.default\extensions\yasearch@yandex.ru [2011-03-21 16:16:12 | 000,000,929 | ---- | M] () – C:\Documents and Settings\Patryk\Dane aplikacji\Mozilla\Firefox\Profiles\j7a98ik5.default\searchplugins\conduit.xml O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O2 - BHO: (Softonic-Eng7 Toolbar) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Softonic-Eng7 Toolbar) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (Softonic-Eng7 Toolbar) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - C:\Program Files\Softonic-Eng7\prxtbSof0.dll (Conduit Ltd.) O4 - HKCU…\Run: [Praetorian] File not found O4 - HKCU…\Run: [Ventrilo2.1.4-i386.exe] File not found [2011-04-05 22:46:17 | 000,000,000 | —D | C] – C:\Documents and Settings\Patryk\Dane aplikacji\PriceGong [2011-04-05 14:19:34 | 000,000,000 | —D | C] – C:\Program Files\Conduit [2011-04-05 14:19:34 | 000,000,000 | —D | C] – C:\Documents and Settings\Patryk\Ustawienia lokalne\Dane aplikacji\Conduit [2011-04-05 14:19:33 | 000,000,000 | —D | C] – C:\Documents and Settings\Patryk\Ustawienia lokalne\Dane aplikacji\Softonic-Eng7 [2011-04-05 14:19:32 | 000,000,000 | —D | C] – C:\Program Files\ConduitEngine [2011-04-05 14:19:32 | 000,000,000 | —D | C] – C:\Documents and Settings\Patryk\Ustawienia lokalne\Dane aplikacji\ConduitEngine [2011-04-05 22:48:06 | 000,000,000 | —D | M] – C:\Documents and Settings\Patryk\Dane aplikacji\PriceGong :Commands [emptytemp]

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Odinstaluj Softonic-Eng7 Toolbar.

maxio24 · 11 Kwiecień 2011 18:25

wykonałem zalecenia podaję linki i proszę o dalsze wskazówki

log: http://wklej.org/id/510842/

raport http://wklej.org/id/510847/

Acorus · 11 Kwiecień 2011 18:39

Miałeś nowy log dać a nie stary.

maxio24 · 11 Kwiecień 2011 18:48

przepraszam, teraz aktualny

http://wklej.org/id/510874/

Acorus · 11 Kwiecień 2011 18:58

W porządku.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu na wszystkich dyskach:http://support.microsoft.com/kb/310405/pl

http://www.vista.pl/artykuly/11250_przy … vista.html

maxio24 · 11 Kwiecień 2011 19:04

ale ja mam xp a tam linki do visty, wybaczcie za moją małą wiedzę… to nie jest moja mocna dziedzina. Gdzie to włączyć i wyłączyć?

Dziękuje za cierpliwość.

Pozdrawiam