Witam
Norton pokazuje mi komunikat o próbie zainstalowania złośliwego oprogramowania, ale nie potrafię znaleźć źródła infekcji.
Gdzie znajdę ścieżkę: \DEVICE\HARDDISKVOLUME2\USERS\DAMIAN\APPDATA\LOCAL\TEMP\NSW8E5B.TMP\SETUP61630.EXE ? To jest to z czego “wynikał atak”.
Zaczęło się to pokazywać po zakupach na allegro, a teraz wyskakuje powiadomienie o zablokowaniu próby ataku co 3 minuty
Cały komunikat
Pokaż logi z OTL http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/
W POŚCIE NIŻEJ
W POŚCIE NIŻEJ
Nie wiem czy jest to dobre, bo grafiki w instrukcji do OTL nie działają.
W takim razie powyższe są ok. Zaznaczyłem też 64bit
Nie są O.K bo dałeś na All a ma być młodsze niż 30 dni.
Odinstaluj ASUS WebStorage,Adobe Download Assistant,fst_pl_31,Akamai NetSession Interface.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Pokaż nowy OTL.txt
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2014-01-12 11:34:28 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-12 11:19:05 | 000,000,000 | ---D | C] -- C:\Users\Damian\Documents\ASUS WebStorage
[2014-01-12 11:42:36 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\bench-sys.job
[2014-01-12 11:37:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\bench-S-1-5-21-2968123945-401488082-1277217751-1001.job
[2014-01-12 09:07:00 | 000,000,932 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2968123945-401488082-1277217751-1001UA.job
[2014-01-11 21:27:02 | 000,000,910 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2968123945-401488082-1277217751-1001Core.job
[2013-03-10 12:02:16 | 000,000,000 | ---D | M] -- C:\Users\Damian\AppData\Roaming\EurekaLog
:Commands
[emptytemp]
Kliknij Wykonaj skrypt.
Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
[2013-10-30 13:35:58 | 000,000,000 | ---D | M] -- C:\Users\Bożena\AppData\Roaming\ASUS WebStorage
[2013-02-21 22:24:10 | 000,000,000 | ---D | M] -- C:\Users\Damian\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
:Commands
[emptytemp]
[resethosts]
Kliknij Wykonaj skrypt.
Witam ponownie. Niestet nie udało mi się usunąć dotąd: fst_pl_31 (błąd instalatora przy użyciu “dodaj lub usuń programy”) i doznałem zmasowanego ataku dziadostwa zwanego Discount Dragon. Po tym przywróciłem Windowsa do połowy naszych działań w sobotę. Przeskanowałem wszystko Malwarebytes i znalazło te 5 co ostatnio.
Wrzucam logi, z uprzejmą prośbą o przyjrzenie się im szczególnie pod kątem fst_pl_31 i discount dragon.
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKU\S-1-5-21-2968123945-401488082-1277217751-1001..\Run: [NextLive] C:\Users\Damian\AppData\Roaming\newnext.me\nengine.dll (NewNextDotMe)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2014-01-16 18:57:14 | 000,000,000 | ---D | C] -- C:\Users\Damian\.android
[2014-01-16 18:57:12 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Local\cache
[2014-01-16 18:57:11 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Roaming\newnext.me
[2014-01-16 18:57:10 | 000,000,000 | ---D | C] -- C:\Users\Damian\Documents\Mobogenie
[2014-01-16 18:57:10 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Local\Mobogenie
[2014-01-16 18:57:10 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Local\genienext
[2014-01-16 18:57:02 | 000,000,000 | ---D | C] -- C:\ProgramData\WPM
[2014-01-16 18:56:35 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
[2014-01-12 11:26:04 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Cling Clang
[2014-01-12 11:25:48 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\predm
[2014-01-12 11:25:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Discount Dragon
[2014-01-12 11:25:33 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Local\Discount Dragon
[2014-01-12 08:41:55 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\fst_pl_31
[2014-01-15 21:07:03 | 000,000,932 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2968123945-401488082-1277217751-1001UA.job
[2014-01-15 21:07:01 | 000,000,910 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2968123945-401488082-1277217751-1001Core.job
:Commands
[emptytemp]
Kliknij Wykonaj skrypt.
Witam
Wszystko ok, oprócz dwóch rzeczy, których ten program nie potrafi usunąć a się pojawiają. Jedna jest w chromie a druga w rejestrze. Wrzucić OTL?
