Security Sphere - problemy po "ataku", kryptiki

Cescy · 3 Styczeń 2012 23:17

Witam,

Wczoraj mój komputer został “zaatakowany” przez Security Sphere 2012, podszywający się pod antywirusa, od razu zaczęłam sprawdzać w necie co z tym zrobić, jednak pojawiało się dużo okienek, komputer zaczął się wieszać, pliki .exe przestały działać i nie dało się włączyć menadżera żeby jakoś w procesach to wyłączyć. W akcie paniki zrestartowalam kompa i próbowałam przejść na tryb awaryjny ale się nie dało, udało się przywrócić system i działa. ściągnełam Anty Malware czy coś takiego zeskanowałam i usunęłam, potem nowego antywirusa Nortona, usunęłam wirusy - około 1700, potem znow 50 przeskanowałam ESETem i…

zostało kilka wirusów " kryptik koń trojańsk i" na win32, komputer chodzi wolno - użycie procesora na poziomie 70% wiele jakichś dziwnych procesów, i wiele z programów teraz nie działa. Dodatkowo komputer nie zawsze chce się włączyć tzn. po wpisaniu hasła uzytkownika, choć z tym juz wczesniej byly problemy.

Co teraz robić? Jestem kompletnie zielona w takich sprawach więc proszę o wyrozumiałość.

OTL

http://wklejto.pl/113043

Extras

http://wklejto.pl/113044

Acorus · 4 Styczeń 2012 09:25

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL SRV - File not found [Auto | Stopped] – -- (SpyHunter 4 Service) FF - prefs.js…browser.search.defaultenginename: “Web Search…” FF - prefs.js…keyword.URL: “http://vshare.toolbarhome.com/search.aspx?srch=ku&q=” FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Program Files\RelevantKnowledge [2011-02-22 20:38:09 | 000,001,592 | ---- | M] () – C:\Documents and Settings\magda\Dane aplikacji\Mozilla\Firefox\Profiles\ft90to8t.default\searchplugins\web-search.xml O3 - HKU.DEFAULT…\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-18…\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-1659004503-362288127-682003330-1003…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [spyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe File not found [2012-01-02 22:04:57 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\eH38700AfHaP38700 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj USBFix http://www.teamxscript.org/usbfixTelechargement.html http://www.speedyshare.com/files/30067579/UsbFix.exe

Kliknij w nim na przycisk “DELETION” (jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).

Daj raport z tego narzędzia.

Cescy · 4 Styczeń 2012 11:22

raport po tym wykonaniu skryptu:

http://wklejto.pl/113072

nowy OTL:

http://wklejto.pl/113073

nowe Extras:

http://wklejto.pl/113074

raport z tego USB, nie wiem czy dobrze zrobiłam (podłączyłam pendrive’a i wyłączyłam antywirusa):

http://wklejto.pl/113076

Edit: Dodatkowo (jeśli mogę tu wtrącić?), teraz co jakiś czas wyskakuje mi z nortona informacja że zablokowano próbę włamania (tu różne ip…), opis ruchu sieciowego - port (nr). Niektóre IP mają taki sam początek jak moje, niektóre zupełnie inne. W wyszukiwarce zobaczyłam że ktoś ma też taki problem, i wpisałam na stronie skąd te IP i niektóre z moich okolic (czy to że mieszkam w akademiku ma jakiś wpływ?) ale jest i też nawet z Ukrainy. Czy to ma związek z tym atakiem Security Sphere i zniknie? Czy po prostu ludzie się “nudzą” a ja nic nie mogę z tym zrobić? Mogę powklejać te IP jeśli to coś da.

Acorus · 4 Styczeń 2012 16:29

W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

Przeskanuj programem Dr.WEB CureIt http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html

Cescy · 4 Styczeń 2012 20:26

Mam nadzieję że wszystko zrobiłam dobrze, miałam problem z instalacją Javy bo pisało że nie można znaleźć pliku bin/cośtam… usunęłam cały folder ze starą Javą i zainstalowało się prawidłowo, ale raz się błąd pojawił potem więc nie wiem czy ok.

ściągnełam otl.exe znowu i zeskanowałam i wklejam poniżej.

OTL:

http://wklejto.pl/113108

Extras:

http://wklejto.pl/113109

Jeśli chodzi o ten dr Web Cure It, to “raport” z niego:

http://wklejto.pl/113112

Jest już lepiej u mnie?

Jak rzuciłam okiem ESETem tym do skanowania, to jeszcze są te kryptiki.

Acorus · 5 Styczeń 2012 09:12

Powinno być dobrze.Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Cescy · 5 Styczeń 2012 13:17

Ok, zrobiłam tak.

Zrobiłam też sobie skana programem ESET online scanner i wykryło 6 rzeczy:

http://wklejto.pl/113150

Mogę je usunąć ręcznie jakoś lub dać w tym ESET “usuń zagrożenia” żeby program usunął, czy to jakoś inaczej trzeba zrobić?

A komputer już ładnie chodzi za co jestem ogromnie wdzięczna bo mogę funkcjonować normalnie tnie się tylko przy firefoxie czasem.

Nie wiem czy potrzebne są jakieś logi czy coś, więc na wszelki wypadek wklejam:

OTL: http://wklejto.pl/113152

Extras: http://wklejto.pl/113153

Acorus · 5 Styczeń 2012 13:37

To co znalazł Eset daj do usunięcia.

spandaupol · 5 Styczeń 2012 13:47

OTL nie odnalazł folderu a on nadal istnieje co potwierdza skan Esetem

oraz ostatni raport OTL

jak pisze Acorus wszystko do usunięcia Dodatkowo usuń ręcznie przez Shift+Del ten folder C:\Documents and Settings\All Users\Dane aplikacji\ eH38700AfHaP38700

Cescy · 5 Styczeń 2012 22:09

Ahaaa to zaczynam rozumieć o co w tych całych logach chodzi… ale i tak to czarna magia. Bo na dole w Extras jakieś napisy że tyle rzeczy mi coś zacina, no nieważne nie pojmę tego Zrobiłam co kazaliście, ESET tamte poddał kwarantannie i ten folder ręcznie usunęłam z tym shift i del.

OTL: http://wklejto.pl/113210

Extras: http://wklejto.pl/113211

Jeśli to wszystko i mój komputer jest już zdrowy jak ryba, to wielkie dzięki! nie wiem jak się mogę odwdzięczyć