Wirus próbujący wyłudzić pieniądze


(Kacperex225) #1

Przeglądając obrazki w google(normalne!) , avast wywalił że jest wirus... 3 komunikaty i na full screen piękny obrazek ( uruchomiony w IE , który połączył się z jakimś adresem IP , bez neta widac tylko monit o braku połączenia). A na obrazku policja angielska... że oglądałem strony xxx... wiecie. A za 100 $ moje problemy znikną.

Daje się wyłączyć ten fullscreen ( F4 + alt bodajże) , ale wtedy system jest jakiś taki okrojony. Avast nie działa wtedy... a OTL wyłącza się po 15 s. Uruchomiłem teraz w awaryjnym z siecią. OTL przeskanował. Wrzucam.

PS. Zrobiłem przywracanie... ale nic to nie dało :frowning: Jakiś proces chciał uruchamiac plik w AppData w Roamingu... ale ręcznie szukanie nic nie dało ( nie ma , nawet w ukrytych).

PS2. Jest dla mnie szansa? Czy szukać pomocy u "speca" ?

http://wklej.org/id/723346/

W normalnym trybie nic raczej nie zrobię , więc weźcie pod uwagę że tylko awaryjny daje jakie takie pole do popisu. Dziękuję za ewentualną pomoc. Spowolnił strasznie PC.


(Atis) #2

Odinstaluj Winamp Toolbar

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7

IE - HKU\S-1-5-21-3309308985-383979606-3300847392-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=LMW2&o=10148&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=A2&apn_dtid=YYYYYYYYPL&apn_uid=361B2607-1768-4713-930C-EF2E7F71C6B0&apn_sauid=916B0F2F-7344-4AED-BCAC-E4EC86E76BC

IE - HKU\S-1-5-21-3309308985-383979606-3300847392-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..network.proxy.ftp: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"

FF - prefs.js..network.proxy.gopher: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"

FF - prefs.js..network.proxy.http: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"

FF - prefs.js..network.proxy.share_proxy_settings: true

FF - prefs.js..network.proxy.socks: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"

FF - prefs.js..network.proxy.ssl: "63:53:34:af:3f:94:f3:f2:92:fa:aa:1c"

FF - prefs.js..network.proxy.type: 1

O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found

O4 - HKU\S-1-5-21-3309308985-383979606-3300847392-1003..\Run: [RealNetworks] C:\Users\Leslaw\AppData\Roaming\977136.exe ()

O4 - HKU\S-1-5-21-3309308985-383979606-3300847392-1003..\Run: [TOSCDSPD] TOSCDSPD.EXE File not found

F3 - HKU\S-1-5-21-3309308985-383979606-3300847392-1003 WinNT: Load - (C:\Users\Leslaw\LOCALS~1\Temp\msapea.exe) - C:\Users\Leslaw\LOCALS~1\Temp\msapea.exe ()

[2010-02-05 14:00:09 | 000,000,524 | ---- | M] () -- C:\Windows\Tasks\Install_NSS.job

[2012-04-02 17:45:27 | 000,000,877 | ---- | M] () -- C:\Users\Leslaw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EC05.tmp.lnk


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(roobal) #3

Kacperex225 , zgodnie z regulaminem, który zaakceptowałeś podczas rejestracji, proszę dokonać zmiany tytułu na taki, który wstępnie opisze problem, w przeciwnym razie temat wyląduje w koszu.


(Kacperex225) #4

@roobal Lepszy tytuł?

Winamp toolbar for IE ładnie się usunął , ten dla ff żądał praw admina... których nie szło uzyskac. Ani w awaryjnym , ani w normalnym. Ale mam nadzieję że bez tego , jest dobrze.

Po usunięciu , resecie i wejściu do normalnego trybu wywaliło raport, a po ponownym przejsciu do awaryjnego zapuściłem skan.

http://wklej.org/id/723406/

PS. Mam nadzieję że extras nie trzeba było?


(Atis) #5

Dlaczego nadal w trybie awaryjnym?

W logu nie widać infekcji.

Wklej i kliknij Wykonaj skrypt:

:OTL

SRV - File not found [Auto | Stopped] -- -- (CLTNetCnService)

O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.

O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte ... 13117.html


(Kacperex225) #6

Po wykonaniu skryptu log:

http://wklej.org/id/723666/

W czasie sprzątania OTL się zawiesił... ale po resecie już go nie było.

[Wpis aktualizowany]


(Atis) #7

Nie napisałeś czy nadal występuje problem z tym trojanem?

Jeżeli problem został rozwiązany to na tym koniec.

To normalne, że sprzątanie kasuje plik OTL.


(Kacperex225) #8

Tak, trojan zniknął . Dziękuję bardzo... jak się odwdzięczyc? ;p

Zrobiłem wszystko tak jak kazałeś , i komputer działa... chyba tak jak wcześniej.Jestem taki happy... w porównaniu do wczoraj.

Jedyne co to adobe reader mam najnowszy... a i tak pokazuje out...

Żadnych pozostałości skan nie znalazł... uznaję że pc jest czysty jak łza. Choc poinstaluję wszelkie aktualizacje :wink:

Pozdrawiam !!


(Atis) #9

Adobe Reader 8.1.3 to raczej nie jest najnowsza wersja:

http://www.dobreprogramy.pl/Adobe-Reade ... 11539.html

Dodatkowo miałeś starą wersje Java, Shockwave Player i Flash Player dla Internet Explorer.

Aktualizuj nawet jeśli nie używasz IE.

Adobe Shockwave Player

Flash Player

Java