chef
(Chefrenek)
23 Październik 2011 06:34
#1
Witajcie,
od paru dni mam problem z jakimś wirusem na stronie. W kod strony wstawiony jest jakiś skrypt. Przeskanowałam komputer antyvirem - było parę wirusów ale wszystko zostało usunięte. Myślałam, że po problemie a dziś znów to samo. Co robić i jak się tego pozbyć? #-o
Pozdrawiam
drobok
(Drobok)
23 Październik 2011 06:59
#2
Daj adres strony, btw masz pewność, że nie ma już nic ??
chef
(Chefrenek)
23 Październik 2011 07:22
#3
Pewności nie mam. Myślę, że może coś w rejestrze kompa się zapodziało ale nie wiem jak to zidentyfikować. Generalnie, sprawa wygląda tak, że ten wirus najpierw pojawił się na stronie mojej znajomej a potem “przeszedł” na moje. :shock: Ja ze swoich usunęłam więc na tą chwilę go nie ma. Natomiast widzę, że u znajomej znów się pojawił -> link .
drobok
(Drobok)
23 Październik 2011 07:29
#4
Usuń to i powinno być ok.
Oraz daj log z olt’a, wg instrukcji z tego działu.
Acorus
(Acorus)
23 Październik 2011 08:30
#6
Odinstaluj BitTorrentBar Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL SRV - File not found [Auto | Stopped] – -- (.bntr) IE - HKLM…\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) IE - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) [2011-05-09 09:01:08 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\Klaudia\AppData\Roaming\mozilla\Firefox\Profiles\au9npkvc.Klaudia\extensions\engine@conduit.com O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (BitTorrentBar Toolbar) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM…\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (BitTorrentBar Toolbar) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Toolbar\WebBrowser: (BitTorrentBar Toolbar) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) O4 - HKLM…\Run: [DVDAgent] ; “C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe” File not found O4 - HKLM…\Run: [HP Health Check Scheduler] ; c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe File not found O4 - HKLM…\Run: [hpsysdrv] ; c:\program files\hewlett-packard\HP odometer\hpsysdrv.exe File not found O4 - HKLM…\Run: [iAAnotif] ; C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe File not found O4 - HKLM…\Run: [KBD] ; C:\Program Files\Hewlett-Packard\KBD\KbdStub.EXE File not found O4 - HKLM…\Run: [smartMenu] ; %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe File not found O4 - HKLM…\Run: [startCCC] ; “c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” MSRun File not found O4 - HKLM…\Run: [sunJavaUpdateSched] ; “C:\Program Files\Java\jre6\bin\jusched.exe” File not found O4 - HKLM…\Run: [TSMAgent] ; “c:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe” File not found O4 - HKLM…\Run: [TVAgent] ; “C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe” File not found O4 - HKLM…\Run: [updateLBPShortCut] ; “c:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe” “c:\Program Files\CyberLink\LabelPrint” UpdateWithCreateOnce “Software\CyberLink\LabelPrint\2.5” File not found O4 - HKLM…\Run: [updateP2GoShortCut] ; “c:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe” “c:\Program Files\CyberLink\Power2Go” UpdateWithCreateOnce “SOFTWARE\CyberLink\Power2Go\6.0” File not found O4 - HKLM…\Run: [updatePDIRShortCut] ; “c:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe” “c:\Program Files\CyberLink\PowerDirector” UpdateWithCreateOnce “SOFTWARE\CyberLink\PowerDirector\7.0” File not found O4 - HKLM…\Run: [updatePSTShortCut] ; “c:\Program Files\CyberLink\CyberLink DVD Suite Deluxe\MUITransfer\MUIStartMenu.exe” “c:\Program Files\CyberLink\CyberLink DVD Suite Deluxe” UpdateWithCreateOnce “Software\CyberLink\PowerStarter” File not found O4 - HKLM…\Run: [Windows Defender] ; %ProgramFiles%\Windows Defender\MSASCui.exe -hide File not found O4 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Run: [9XWWXUWVZC6I1VUIMLMP] C:\win32s\9DCCDACDEA1.exe (CodeGear) O4 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Run: [ALLUpdate] ; “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” File not found O4 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Run: [ehTray.exe] ; C:\Windows\ehome\ehTray.exe File not found O4 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Run: [sidebar] ; C:\Program Files\Windows Sidebar\sidebar.exe /autoRun File not found [2011-09-30 15:08:17 | 000,000,456 | ---- | M] () – C:\Windows\Tasks\PCDRScheduledMaintenance.job @Alternate Data Stream - 478 bytes -> C:\Users\Klaudia\Documents\chef.eml:OECustomProperty :Commands [emptytemp]
Kliknij Wykonaj skrypt .Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
chef
(Chefrenek)
23 Październik 2011 10:41
#7
Niestety po restarcie OTL się zawiesza. Czy ustawienia mają być takie jak przy skanowaniu?
http://wklej.to/VVgdJ
http://wklej.to/FfItt
http://wklej.to/HRUUl
Acorus
(Acorus)
23 Październik 2011 12:24
#8
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL [2011-09-23 10:19:48 | 000,000,000 | —D | M] (BitTorrentBar Community Toolbar) – C:\Users\Klaudia\AppData\Roaming\mozilla\Firefox\Profiles\au9npkvc.Klaudia\extensions{88c7f2aa-f93f-432c-8f0e-b7d85967a527} O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU…\Run: [9XWWXUWVZC6I1VUIMLMP] C:\win32s\9DCCDACDEA1.exe File not found :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Przeskanuj progr.Malwarebytes Anti-Malware
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW
Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.
chef
(Chefrenek)
23 Październik 2011 16:37
#9
Niestety nic to nie dało.
Acorus
(Acorus)
23 Październik 2011 17:01
#10
http://www.deficca.pl/ Ta strona jest zarażona.Antywirusy blokują.
chef
(Chefrenek)
23 Październik 2011 17:43
#11
Wiem, nie jest to moja strona tylko znajomej. Ja na swojej miałam to samo ale co usunę to znów się to pojawia. W ogóle to nie wiem czemu ale OTL wiesza mi się podczas pracy. Może wstawię loga po tych instrukcjach, które podałeś?
drobok
(Drobok)
23 Październik 2011 18:37
#12
Jeśli masz jakąś kopię zapasową to wywal wszystko z serwera. Jeśli nie to daj cały kod wszystkiego co masz na stronie.
chef
(Chefrenek)
24 Październik 2011 20:33
#13
Niestety znów się to pojawiło.
http://wklej.to/188Rh
http://wklej.to/TYXmv
– Dodane 25.10.2011 (Wt) 13:19 –
Teraz jeszcze polskie nazwy katalogów w menu start zmieniły nazwę na angielską. Czy to też wina wirusów?
– Dodane 26.10.2011 (Śr) 11:08 –
Zasugerowano mi że wirusy włażą przez total commandera. Zmieniłam wszystkie hasła, po czym wykasowałam połączenia w panelu. Poprawa była tylko na jeden dzień. Dziś znów to samo. Jestem załamana. Nie wiem co z tym zrobić. Kończą mi się pomysły.