Zainfekowanie przy włączaniu strony przez dziwny skaner

Dla specjalistów Bezpieczeństwo
#1

Witam,

Sytuacja wygląda tak, że chciałem wejść na stronę z informacjami na temat serialu Dexter. Wpisałem w google dexter serial i wszedłem w któryś link od góry. Nagle włączył się jakiś niby skaner, który włączył mój komputer i zaczął pokazywać ile to jest wirusów na każdym dysku. Potem wyskoczyło okno mniej więcej: “Your system is high of risk. Change your system immidatly” . Potem próbowałem wejść w przeglądarkę i się nie dało wyskakiwało tylko małe okno jakieś. Zeskanowałem wszystkim co miałem na kompie (wszystko już było zainstalowane i chodził nod i spybot w tle+wwdc+zapora windowsa): nod32, spybot, malwere anti spywere, hijack, cwshredder i nic nie znalazło. Wszedłem w procesy (msconfig) i doszły jakieś 2. Element startowy miały [][][][], polecenie takie samo a miejsce miały w SOFTWERE\WindowsNT\CurrentVersion\WindowsLoad i SOFTWERE\WindowsNT\CurrentVersion\WindowsRun. Odznaczyłem te 2 procesy, zrobiłem restart po czym wyskoczyły jakieś komunikaty, że nie da się włączyć tych procesów, które odznaczyłem i pojawiły się nowe 2, tym razem SOFTWERE\WindowsNT\CurrentVersion\Windows i mają więcej []. Znowu je odznaczyłem, zrobiłem restart i działa już internet, ale te procesy zostały w msconfig, co prawda odznaczone, ale są. Prosiłbym o pomoc bo nie wiem czy dalej komputer nie jest zainfekowany. Szczerze to 1 raz się z czymś takim spotykam. Pisałem to dość zdenerwowany, więc proszę o wyrozumiałość, wszystkie potrzebne logi wkleję, tylko proszę powiedzieć jakie.

#2

Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

:slight_smile:

#3

Malwarebytes’ Anti-Malware przeskanowałem tym właśnie - nic nie znalazło. Zaraz podam logi z OTL.

http://wklejto.pl/84000 OTL

http://www.wklejto.pl/84001 Extras

Prosiłbym pilnie o sprawdzenie, z góry serdecznie dziękuję.

zrobiłem restart i pojawiły się znowu [][][] w msconfig Lokalizacja -> HKCU\SOFTWERE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINDOWS:RUN oraz HKCU\SOFTWERE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINDOWS:LOAD

18370575.jpg

są też te stare odznaczone

xddn.jpg

Zrobiłem znowu restart (wpierw odznaczyłem te dłuższe [] w msconfig i podczas włączania wywala taki błąd (jak poniżej na scr a do tego znowu w aktywnych procesach są te drugie []/

xdddr.jpg

Proszę o pomoc.

#4

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.

Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

#5

http://wklejto.pl/84020 z usuwania

Teraz zostało mi w procesach w msconfig tylko 1 [][][][][][] w HKCU/Softwere/Microsoft/WindowsNT/CurrentVersion/Windows:Load. Dam logi z OTL jak skończy skanować.

Screen:

xdddddddv.jpg

#6

wyłącz C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

start >> uruchom >> regedit >> rozwiń + klucz HKCU/Softwere/Microsoft/WindowsNT/CurrentVersion/Windows

>> odszukaj [][][][][] >> usuń

restart kompa

:slight_smile:

#7

http://wklejto.pl/84022 Skan OTL po tym jak wykonałem skrypt w OTL. Co teraz? Po co wyłączać Spybota?

W regedit w tej ścieżce nie mam [][][][] a w msconfig pokazuje…w HKCU/Softwere/Microsoft/WindowsNT/CurrentVersion/Windows:Load

#8

log OTL.txt pokaż

może blokować zmiany w rejestrze

ty masz ten rejestr więc widzisz lepiej

usuń tam gdzie to jest [][][][]

:slight_smile:

#9

Spybot wyłączony. a te [][][][] pokazuje tylko w msconfig, jak sprawdzam tą ścieżkę w rejestrze to jest tylko puste miejsce a nie pokazuje tych [] .

Wklejam skan z teraz:

http://wklejto.pl/84037 OTL

http://www.wklejto.pl/84038 Extras

Wywaliłem z rejestru to całe load… a te krzaczki wróciły znowu… tylko te dłuższe :slight_smile: Co mam zrobić?;/;/

#10

w OTL nic nie widać

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

:slight_smile:

#11

http://wklejto.pl/84046 log z tego co prosiłeś.

EDIT: po skanowaniu tym programem pojawił się ten proces([][][][]) w hijacku (nie wiem jakim cudem, nie było go przedtem)… dałem fix checked i jak na razie czysto. Z czego wrzucić jeszcze logi na potwierdzenie? No i oczywiście proszę o sprawdzenie tego linka powyżej.

#12

w logu System Repair Engineer widać ten wpis

dobrze że go usunąłeś

uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://www.bezpieczenstwosystemow.pl/in … opic=116.0

W OTL kilknij CleanUp (Sprzątanie)

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

:slight_smile:

#13

mam po prostu uruchomić OTL i kliknąć sprzątanie tak?

Ccleaner zawsze używam. Co to są za wpisy?

#14

puste klucze

:slight_smile:

#15

Wygląda, że już czysto. Podziękował :slight_smile: