Headsman
20 Luty 2012 12:23
#1
Witam.
Siedzę teraz na aspire 5741G. Do łapałem trojana z facebooka.
Dużo ludzi go ostatnio złapało więc wiecie jakie są jego objawy. Przyblokował antywirusa, brak dostępu do facebooka itp.
Na początku zainstalowałem Malwarebytes Anti-Malware. Zrobiłem pełny skan wykryło coś około 80 zarażonych plików usunąłem wszystkie.
Potem włączyłem ComboFixa. Uruchomiłem log poniżej:
http://wklej.org/id/692416/
Potem uruchomiłem Dr.Web CureIt
skan trwał jakies 3 godz. 30 min. Wykrył już tylko dwa zainfekowane pliki.
log waży ponad 30 mb.
log: nie dam rady wkleić go na wklej.org . Jeśli będzie konieczny dołącze go.
Następnie odpaliłem nod32 darmowy skaner online. Wykrył jedno zagrożenie.
Na koncu wykonałem skrypt w OTL polecany tutaj na forum:
log po skrypcie:
http://wklej.org/id/692422/
Potem wykonałem skany OTL i RSIT:
OTL:
http://wklej.org/id/692425/
Extras:
http://wklej.org/id/692424/
RSIT:
http://wklej.org/id/692427/
GMER:
Dałem szukaj lecz nie znalazł nic. Niemam żadnego raportu.
MBRCheck:
http://wklej.org/id/692468/
TDSS Killer:
http://wklej.org/id/692469/
SilentRunnera coś niemoge odpalić.
I tu nasuwa się moje pytanie. Czy wirus został usunięty ? Czy muszę coś jeszcze zrobić ?
Acorus
20 Luty 2012 12:45
#2
I po co tyle wysiłku.Wystarczyłby Malwarebytes i logi z OTL.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKU\S-1-5-21-819437001-3097834857-3280401798-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=108603&ba … e400f1c97d IE - HKU\S-1-5-21-819437001-3097834857-3280401798-1001…\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - SOFTWARE\Classes\CLSID{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064}\InprocServer32 File not found FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…browser.search.selectedEngine: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://search.babylon.com/?AF=108603&babsrc=adbartrp&mntrId=102aadd300000000000078e400f1c97d&q= ” O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-819437001-3097834857-3280401798-1001…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. [2012/02/19 16:43:12 | 000,000,734 | ---- | M] () – C:\Windows\SysNative\drivers\etc\hîsts :Files C:\Users\Klaudia\AppData\Local\Temp*.html :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.
Headsman
20 Luty 2012 13:02
#3
Dzięki. Wykonałem skrypt oto log:
http://wklej.org/id/692511/
otworzyłem również ten program do sprawdzania out of date.
Mam wynik. tylko gdzie mam to aktualizować ?
Results of screen317’s Security Check version 0.99.31
Windows 7 x64 (UAC is disabled!)
Internet Explorer 8 Out of date!
``````````````````````````````
Antivirus/Firewall Check:
avast! Free Antivirus
WMI entry may not exist for antivirus; attempting automatic update.
```````````````````````````````
Anti-malware/Other Utilities Check:
Adobe Flash Player 10.0.42.34 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of date!
Mozilla Firefox (3.6.20) Firefox out of Date!
````````````````````````````````
Process Check:
objlist.exe by Laurent
AVAST Software Avast AvastUI.exe
``````````End of Log````````````
Acorus
20 Luty 2012 13:36
#4
Aktualizacja Int.Exp. do wer.9
Do aktualizacji Adobe Flash Player,Adobe Reader i Mozilla Firefox .
Headsman
20 Luty 2012 13:49
#5
I to już wszystko? usunąłem wirusa ?
i jeszcze mam problem z rejestracją Avasta wychodzi błąd Podsystem AAVM wykrył bład RPC
– Dodane 20.02.2012 (Pn) 15:24 –
Juz avast działa. Mam nadzieje że jest już po wirusie.
homarXD
20 Luty 2012 20:40
#6
nom, wystarczył by mbam i OTL
taka rada na przyszłość: jeżeli się nie zbyt dobrze znasz (nie mówię, że się nie znasz) to nie używaj combofixa na własną odp. możesz zepsuć sobie kompa całkowicie
