Zostałem okradziony. Daję skan- jak pousuwac wirusy

Torcik · 3 Marzec 2010 15:54

http://www.wklej.org/id/289564/

Witam. Zostalem okradziony w pewnej grze.

Tu skan z OTL.

Jak mozecie powiedzcie gdzie jest syf i jak usunac.

danielbela · 3 Marzec 2010 16:51

99% problemów leży pomiędzy krzesłem a monitorem - więc najpierw sprawdź gdzie Ty zrobiłeś błąd - pewnie nie zachowałeś minimum bezpieczeństwa jeśli chodzi o hasło do gry, np:

login do gry MUSI być różny od nick’a w grze
na forum inne hasło niż do gry
hasło do gry inne niż na maila
itp, itd no i nie dawać “znajomym” w grze hasła

A potem dopiero można szukać gdzie indziej

jessica · 3 Marzec 2010 17:28

Zgadzam się z @ danielbela!

A do tego TIBIA! To 99% pewności, że masz także jakiegoś Keyloggera.

Ale w logu widzę także infekcję GAMEZTAR.

OTL tworzy dwa logi, więcdaj ten drugi, OTL.txt.

jessi

Torcik · 3 Marzec 2010 17:31

Jak zrobic zeby dac ten drugi bo sie nie znam?

jessica · 3 Marzec 2010 17:50

Ten log został zrobiony automatycznie.

Wystarczy poszukać “OTL.txt”.

jessi

Torcik · 3 Marzec 2010 17:56

http://www.wklej.org/id/289668/

Prosze

jessica · 3 Marzec 2010 18:00

Znowu dałeś “OTL Extras”, a nie “OTL.txt”

jessi

Torcik · 3 Marzec 2010 18:18

http://wklejto.pl/59405

jessica · 3 Marzec 2010 18:39

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL MOD - [2010-03-02 00:49:56 | 000,602,112 | ---- | M] () – C:\Program Files\QuestService\questservice.dll SRV - [2010-03-02 00:50:02 | 000,066,936 | ---- | M] () [Auto | Running] – C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\QuestService\questservice123.exe – (QuestService Service) O32 - AutoRun File - [2009-10-25 16:24:14 | 000,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O4 - Startup: C:\Documents and Settings\Kulka\Menu Start\Programy\Autostart\rhin13.dll () O2 - BHO: (Automated Content Enhancer) - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.1.0.5290\ACEIEAddOn.dll () O2 - BHO: (Customized Platform Advancer) - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\4.1.0.1960\CPAIEAddOn.dll () O2 - BHO: (Content Management Wizard) - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.1.0.1990\CMWIE.dll () O2 - BHO: (Textual Content Provider) - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - C:\Program Files\Textual Content Provider\1.1.0.1810\TCPIE.dll () O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O2 - BHO: (Web Search Operator) - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\4.1.0.2080\WSO.dll () O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKLM…\Toolbar: (Gameztar Toolbar) - {D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2} - C:\Program Files\Gameztar Toolbar\2.1.3.6670\mvb0.dll () O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKCU…\Toolbar\WebBrowser: (Gameztar Toolbar) - {D45817B8-3EAD-4D1D-8FCA-EC63A8E35DE2} - C:\Program Files\Gameztar Toolbar\2.1.3.6670\mvb0.dll () O4 - HKLM…\Run: [CmPCIaudio] File not found O4 - HKLM…\Run: [internet Today Task] C:\Program Files\Internet Today\1.1.0.1260\InternetToday.exe () O4 - HKLM…\Run: [nwiz] File not found O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found [2009-12-16 13:09:10 | 000,002,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice111.xml [2009-12-29 14:33:29 | 000,002,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice113.xml [2010-01-01 11:33:09 | 000,002,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice115.xml [2010-01-16 15:25:07 | 000,002,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice117.xml [2010-01-23 10:33:07 | 000,002,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice119.xml [2010-01-30 09:41:25 | 000,002,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice121.xml [2010-03-03 15:26:23 | 000,002,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice123.xml [2010-01-16 15:25:05 | 000,000,000 | —D | M] (QuestService) – C:\Program Files\Mozilla Firefox\extensions{AAF6454A-4000-4015-84C1-6CD844C06B19} [2010-02-12 04:01:11 | 000,000,000 | —D | M] – C:\Documents and Settings\Kulka\Dane aplikacji\Mozilla\Firefox\Profiles\9o1hdd3m.default\extensions\toolbar@ask.com [2009-12-19 11:58:42 | 000,002,424 | ---- | M] () – C:\Documents and Settings\Kulka\Dane aplikacji\Mozilla\Firefox\Profiles\9o1hdd3m.default\searchplugins\askcom.xml FF - prefs.js…keyword.URL: “http://websearch.ask.com/redirect?client=ff&src=kw&tb=BT5&o=15443&locale=en_US&q=” FF - HKLM\software\mozilla\Firefox\Extensions\{40f1eb95-4de4-4f36-a826-054ee36bb905}: C:\Program Files\Gameztar Toolbar\2.1.3.6670\FFToolbar [2009-12-15 20:17:21 | 000,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\Extensions\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\4.1.0.2080\FF [2009-12-15 20:18:51 | 000,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\Extensions\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.1.0.5290\FF [2009-12-15 20:19:12 | 000,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\Extensions\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\4.1.0.1960\FF [2009-12-15 20:19:32 | 000,000,000 | —D | M] FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…browser.search.selectedEngine: “Ask.com” FF - prefs.js…browser.startup.homepage: “http://www.theprizeday.com/today.php|http://www.ask.com?o=15446&l=dis” FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.6.2.119 FF - prefs.js…extensions.enabledItems: {8141440E-08F0-4339-9959-5C31C6A69F23}:4.1.0.5290 FF - prefs.js…extensions.enabledItems: {E889F097-B0BE-471B-89AD-B86B6F04B506}:4.1.0.1960 FF - prefs.js…extensions.enabledItems: {40f1eb95-4de4-4f36-a826-054ee36bb905}:2.1.3.0 FF - prefs.js…extensions.enabledItems: {AAF6454A-4000-4015-84C1-6CD844C06B19}:1.0 FF - prefs.js…extensions.enabledItems: {E63605FC-D583-4C81-867F-9457BDB3EA1B}:4.1.0.2080 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.ask.com?o=15446&l=dis [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.theprizeday.com/today.php IE - HKCU…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) :Files C:\Program Files\Internet Today C:\Program Files\Automated Content Enhancer C:\Program Files\Customized Platform Advancer C:\Program Files\Content Management Wizard C:\Program Files\Textual Content Provider C:\Program Files\Ask.com C:\Program Files\Web Search Operator C:\Program Files\Gameztar Toolbar C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\QuestService\questservice123.exe C:\Program Files\QuestService :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “3192:TCP”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] “QuestService”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] “Gameztar Toolbar”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] “{86D4B82A-ABED-442A-BE86-96357B70F4FE}”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Ale w nowym logu oprócz normalnych ustawień, dodaj jeszcze jedno:

W pole Custom Scans/Fixes wklej:

i dopiero wtedy kliknij “Run Scan”.

A to dlatego, że w logu “Extras” był klucz CONFICKERA!

Ponieważ ten log nie zmieścił się cały, więc następny podziel na dwie części.

jessi

Torcik · 3 Marzec 2010 19:38

http://wklejto.pl/59420

Zrobione.

jessica · 3 Marzec 2010 19:56

CONFICKER jest już chyba bezplikowy - nie mogę tego stwierdzić na pewno, bo znów to jest niecały log.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Robiąc nowy log zaznacz przy “Skip Microsoft File”

jessi

Torcik · 4 Marzec 2010 18:13

http://wklejto.pl/59500

Prosze

jessica · 4 Marzec 2010 18:24

Znów log się nie zmieścił cały.

Spróbuj to usunąć ręcznie.

Nic tu więcej podejrzanego nie widzę.

jessi

Torcik · 4 Marzec 2010 18:26

usunalem, mam nadzieje ze to juz wszystko.

Dziekuje za pomoc.