kopek11111
(Kopczynski1991)
20 Kwiecień 2012 08:16
#21
Raport z KVRT(wykrył coś): http://wklejto.pl/123097
Mam dalej kontynuować te czynności co Pan napisał?
– Dodane 20.04.2012 (Pt) 9:19 –
Widzę że cały raport się nie zmieścił dosyłam miejsce w którym odnaleziono zakażenie pliku : http://wklejto.pl/123099
– Dodane 20.04.2012 (Pt) 9:51 –
Raport SystemLook: http://wklejto.pl/123101
Raport OTL: http://wklejto.pl/123102
Plik znaleziony przez Kasperskiego spróbuj wyleczyć opcja Disinfect
Przed wykonaniem skryptu zamknij wszystkie przeglądarki
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) IE - HKU\S-1-5-21-1993962763-884357618-1177238915-1004…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=119999&babsrc=SP_ss&mntrId=208c50490000000000001c4bd61f3a12 IE - HKU\S-1-5-21-1993962763-884357618-1177238915-1004…\SearchScopes{75670963-3D03-4AF2-A6EB-BC87233BFF43}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=6G&apn_dtid=YYYYYYYYPL&apn_uid=6fd5bd04-c9ae-4e5c-8a19-d009f1dfe930&apn_sauid=207BC2C4-8B4E-411B-9D3B-3054691DB2A6 IE - HKU\S-1-5-21-1993962763-884357618-1177238915-1004…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: “URL” = http://www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-1993962763-884357618-1177238915-1004…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2090540 FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.defaultthis.engineName: “Mario Forever Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2247187&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://search.babylon.com/?AF=119999&babsrc=adbartrp&mntrId=208c50490000000000001c4bd61f3a12&q= ” [2012-03-30 11:41:53 | 000,000,000 | —D | M] (Mario Forever Community Toolbar) – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\hkwj8b9b.default\extensions{707db484-2428-402d-afb5-d85b387544c7} [2012-02-14 22:03:39 | 000,002,574 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\hkwj8b9b.default\searchplugins\askcom.xml [2010-08-05 21:31:24 | 000,000,929 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\hkwj8b9b.default\searchplugins\conduit.xml [2011-03-19 15:33:32 | 000,002,055 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\hkwj8b9b.default\searchplugins\daemon-search.xml :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\AskToolbar C:\Documents and Settings\NetworkService\Dane aplikacji\BabylonToolbar C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\Admin\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Babylon :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
kopek11111
(Kopczynski1991)
20 Kwiecień 2012 12:10
#23
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL [2012-04-19 12:11:10 | 000,000,000 | —D | C] – C:\WINDOWS\ERDNT [2012-04-19 15:28:30 | 000,000,000 | —D | C] – C:\TDSSKiller_Quarantine [2012-04-08 19:33:31 | 000,000,000 | —D | C] – C:\Program Files\v9Soft
Klikasz na Wykonaj skrypt .
Następnie uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną
Użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515 ](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program
Ponieważ był tutaj rootkit zmień wszystkie hasła logowania
Uaktualnij
http://www.dobreprogramy.pl/Adobe-Reade … 11539.html
Ponieważ był tutaj rootkit dla bezpieczeństwa zmień wszystkie hasła logowania
kopek11111
(Kopczynski1991)
20 Kwiecień 2012 15:26
#27
Dobrze. Dziękuje bardzo za pomoc!