Przeglądając obrazki w google(normalne!) , avast wywalił że jest wirus… 3 komunikaty i na full screen piękny obrazek ( uruchomiony w IE , który połączył się z jakimś adresem IP , bez neta widac tylko monit o braku połączenia). A na obrazku policja angielska… że oglądałem strony xxx… wiecie. A za 100 $ moje problemy znikną.
Daje się wyłączyć ten fullscreen ( F4 + alt bodajże) , ale wtedy system jest jakiś taki okrojony. Avast nie działa wtedy… a OTL wyłącza się po 15 s. Uruchomiłem teraz w awaryjnym z siecią. OTL przeskanował. Wrzucam.
PS. Zrobiłem przywracanie… ale nic to nie dało
PS2. Jest dla mnie szansa? Czy szukać pomocy u “speca” ?
http://wklej.org/id/723346/
W normalnym trybie nic raczej nie zrobię , więc weźcie pod uwagę że tylko awaryjny daje jakie takie pole do popisu. Dziękuję za ewentualną pomoc. Spowolnił strasznie PC.
Atis
2 Kwiecień 2012 20:01
#2
Odinstaluj Winamp Toolbar
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
IE - HKU\S-1-5-21-3309308985-383979606-3300847392-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=LMW2&o=10148&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=A2&apn_dtid=YYYYYYYYPL&apn_uid=361B2607-1768-4713-930C-EF2E7F71C6B0&apn_sauid=916B0F2F-7344-4AED-BCAC-E4EC86E76BC
IE - HKU\S-1-5-21-3309308985-383979606-3300847392-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..network.proxy.ftp: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"
FF - prefs.js..network.proxy.gopher: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"
FF - prefs.js..network.proxy.http: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"
FF - prefs.js..network.proxy.ssl: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"
FF - prefs.js..network.proxy.type: 1
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
O4 - HKU\S-1-5-21-3309308985-383979606-3300847392-1003..\Run: [RealNetworks] C:\Users\Leslaw\AppData\Roaming\977136.exe ()
O4 - HKU\S-1-5-21-3309308985-383979606-3300847392-1003..\Run: [TOSCDSPD] TOSCDSPD.EXE File not found
F3 - HKU\S-1-5-21-3309308985-383979606-3300847392-1003 WinNT: Load - (C:\Users\Leslaw\LOCALS~1\Temp\msapea.exe) - C:\Users\Leslaw\LOCALS~1\Temp\msapea.exe ()
[2010-02-05 14:00:09 | 000,000,524 | ---- | M] () -- C:\Windows\Tasks\Install_NSS.job
[2012-04-02 17:45:27 | 000,000,877 | ---- | M] () -- C:\Users\Leslaw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EC05.tmp.lnk
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
roobal
2 Kwiecień 2012 20:19
#3
Kacperex225 , zgodnie z regulaminem, który zaakceptowałeś podczas rejestracji, proszę dokonać zmiany tytułu na taki, który wstępnie opisze problem, w przeciwnym razie temat wyląduje w koszu.
@roobal Lepszy tytuł?
Winamp toolbar for IE ładnie się usunął , ten dla ff żądał praw admina… których nie szło uzyskac. Ani w awaryjnym , ani w normalnym. Ale mam nadzieję że bez tego , jest dobrze.
Po usunięciu , resecie i wejściu do normalnego trybu wywaliło raport, a po ponownym przejsciu do awaryjnego zapuściłem skan.
http://wklej.org/id/723406/
PS. Mam nadzieję że extras nie trzeba było?
Atis
3 Kwiecień 2012 06:15
#5
Dlaczego nadal w trybie awaryjnym?
W logu nie widać infekcji.
Wklej i kliknij Wykonaj skrypt:
:OTL
SRV - File not found [Auto | Stopped] -- -- (CLTNetCnService)
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Po wykonaniu skryptu log:
http://wklej.org/id/723666/
W czasie sprzątania OTL się zawiesił… ale po resecie już go nie było.
[Wpis aktualizowany]
Atis
3 Kwiecień 2012 11:56
#7
Nie napisałeś czy nadal występuje problem z tym trojanem?
Jeżeli problem został rozwiązany to na tym koniec.
To normalne, że sprzątanie kasuje plik OTL.
Tak, trojan zniknął . Dziękuję bardzo… jak się odwdzięczyc? ;p
Zrobiłem wszystko tak jak kazałeś , i komputer działa… chyba tak jak wcześniej.Jestem taki happy… w porównaniu do wczoraj.
Jedyne co to adobe reader mam najnowszy… a i tak pokazuje out…
Żadnych pozostałości skan nie znalazł… uznaję że pc jest czysty jak łza. Choc poinstaluję wszelkie aktualizacje
Pozdrawiam
Atis
3 Kwiecień 2012 13:31
#9
Adobe Reader 8.1.3 to raczej nie jest najnowsza wersja:
http://www.dobreprogramy.pl/Adobe-Reade … 11539.html
Dodatkowo miałeś starą wersje Java, Shockwave Player i Flash Player dla Internet Explorer.
Aktualizuj nawet jeśli nie używasz IE.
Adobe Shockwave Player
Flash Player
Java
Jakiś proces chciał uruchamiac plik w AppData w Roamingu… ale ręcznie szukanie nic nie dało ( nie ma , nawet w ukrytych).
