Wirus podmieniał pliki na FTP


(Piotrswiniarski87) #1

Mam pewien problem, poprzez klienta FTP(miałem zapisane hasła) dodałem sobie jakieś śmieci na moje strony. Strony już wyczyściłem, hasła do FTP pozmieniałem, przeskanowałem antyvirem, trochę śmieci usunąłem, ale prośba o sprawdzenie logów. Może coś tam jeszcze zostało.

 

HJT: http://wklej.to/68eZb

OTL.txt http://wklej.to/ISOys

OTL: extras.txt : http://wklej.to/rjinv


(Acorus) #2

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Semtex) #3

Witaj, popraw proszę tytuł tematu tak aby wstępnie informował o problemie, użyj przycisku EDYTUJ , który znajdziesz w prawym dolnym rogu Swojego posta-> następnie skorzystaj z opcji Użyj pełnego edytora. Dziękuję za uwagę.

Tip: Unikaj słów: "problem", "help", "pomocy" i.t.p. Tego typu słowa nie spowodują szybszej reakcji a mogą odnieść odwrotny skutek od oczekiwanego, tytuł tematu ma być skróconym opisem Twojego posta- powodzenia.


(Piotrswiniarski87) #4

Addition: http://wklej.to/qA3CX

FRST: http://wklej.to/zobEa


(Acorus) #5

Odinstaluj GeekBuddy.Otwórz Notatnik i wklej:

Task: {43DDCFBE-C8BD-4AB6-8AB2-F355E3F4E20F} - System32\Tasks\FoxTab = C:\Users\Piotr\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE ==== ATTENTION
Task: C:\WINDOWS\Tasks\FoxTab.job = C:\Users\Piotr\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE ==== ATTENTION
HKLM\...\Run: [] = [X]
HKLM-x32\...\Run: [] = [X]
HKLM-x32\...\Run: [tvncontrol] = C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe [2327248 2014-09-24] (Comodo Security Solutions, Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start GeekBuddy.lnk
ShortcutTarget: Start GeekBuddy.lnk - C:\Program Files (x86)\Comodo\GeekBuddy\launcher.exe (Comodo Security Solutions, Inc.)
SearchScopes: HKCU - {8160AC98-618F-403E-A984-27956EF9989F} URL =
SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}fr=chr-comodo
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={B4825874-A335-4622-AF6E-75560E23B409}mid=77000e78e587497bb9b5f6968c6afaf6-a351f31c490c957de41583273548203aae03bc9alang=ends=hk011pr=d=2012-12-09 15:36:56v=15.3.0.11pid=avgsg=0sap=dspq={searchTerms}
CHR Extension: (dataslayer) - C:\Users\Piotr\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikbablmmjldhamhcldjjigniffkkjgpo [2014-10-18]
R2 GeekBuddyRSP; C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe [2327248 2014-09-24] (Comodo Security Solutions, Inc.)
2014-10-25 11:46 - 2013-11-06 22:47 - 00000300 _____ () C:\WINDOWS\Tasks\FoxTab.job
2014-10-25 10:48 - 2013-11-06 22:46 - 00000000 ____ D () C:\Users\Piotr\AppData\Roaming\FoxTab
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Piotrswiniarski87) #6

Zrobiłem tak jak piszesz, log: http://wklej.to/jfLF7


(Acorus) #7

Dlaczego nie zezwoliłeś na reboot? Pokaż nowe logi z FRST.


(Piotrswiniarski87) #8

W zasadzie to było tak,że program przestał mi działać i się zamknął.

 

nowy log:

http://wklej.to/ziSUo


(Acorus) #9

Jeszcze log Addition.txt

Zaznacz okienko. 


(Piotrswiniarski87) #10

Juz daję:

Nowy FRTS: http://wklej.to/iaQs4

Addition.txt: http://wklej.to/hipzD


(Acorus) #11

Otwórz Notatnik i wklej:

Task: {43DDCFBE-C8BD-4AB6-8AB2-F355E3F4E20F} - System32\Tasks\FoxTab = C:\Users\Piotr\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE ==== ATTENTION
Task: C:\WINDOWS\Tasks\FoxTab.job = C:\Users\Piotr\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE ==== ATTENTION
HKLM\...\Run: [] = [X]
HKLM-x32\...\Run: [] = [X]
2014-10-26 08:46 - 2013-11-06 21:47 - 00000300 _____ () C:\WINDOWS\Tasks\FoxTab.job
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Piotrswiniarski87) #12

Zrobiłem tak jak piszesz. Jeśli to wszystko to ogromne dzięki za pomoc.