Alert bezpieczeństwa

Post15 cze 2013, 19:14

Witam. w tym tygodniu dostałem kilka takich emaili oraz kilka chyba odrzuconych emaili których nie wysyłałem. Czytałem o tym i pisze żebym zmienił hasło na poczcie, dodam że skanowałem kompa mbamem i essentials i ni c nie znalały
Drogi Użytkowniku,

Otrzymujesz od nas tę wiadomość ponieważ istnieje uzasadniona obawa, że Twój komputer jest zainfekowany przez wirusa/trojana.
Przypuszczamy że wirus/trojan przejął kontrolę nad Twoją skrzynką mailową i wysyła SPAM w Twoim imieniu.
W związku z powyższym prosimy o niezwłoczne przeskanowanie komputera programem antywirusowym i odcięcie wirusa/trojana od skrzynki pocztowej przez zmianę hasła.

Po wykonaniu tych czynności prosimy o:
1. wylogowanie się z poczty i ponowne zalogowanie;
2. wysłanie z tego adresu potwierdzenia wykonanych czynności na adres blokadaskrzynki@grupaonet.pl

Do chwili wykonania wszystkich wymienionych czynności mogą występować problemy z wysyłką wiadomości.

Przypominamy, że ze względów bezpieczeństwa Grupa Onet.pl SA nigdy nie prosi o podawanie lub potwierdzanie haseł oraz nie umieszcza w wysyłanych e-mailach odsyłaczy do stron, na których hasło można zmienić.

Hasła nie wolno nikomu ujawniać. Nie należy odpowiadać na e-maile lub telefony z prośbami o podanie hasła. W przypadku otrzymania e-maila zawierającego podobne prośby, prosimy ten fakt zgłosić pod adresem abuse@onet.pl lub dzwonić na numery: 0 801 080 200 lub 012 26 00 200 (poniedziałek-piątek, 7:00-23:00; sobota-niedziela, 10:00-18:00). Polecamy nasze porady na temat bezpieczeństwa: Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiamy,

BOK OnetPoczta

Post15 cze 2013, 19:45

Nic nie wysyłaj, nie odpowiadaj :!:

Przeskanuj komputer programem Malwarebytes Anti-Malware
Nie instaluj wersji PRO tylko Freeware.
Pełne skanowanie.
Obsługa programu Malwarebytes' Anti-Malware
Po skanowaniu wrzuć z niego loga.

Wrzuć logi z:
OTL (OTL.txt + Extras.txt) --> http://www.hotfix.pl/obsluga-programu-otl-a143.htm
TDSSKiller --> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm
Logi wklej na: Dostępne tylko dla zarejestrowanych użytkowników
Na forum podaj linki do nich...

Post18 cze 2013, 17:57

OTL Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller Dostępne tylko dla zarejestrowanych użytkowników
2 log z TDSSKiller bo 2 razy skanowałem Dostępne tylko dla zarejestrowanych użytkowników
Malwarebytes Anti-Malware 1.75 Dostępne tylko dla zarejestrowanych użytkowników tym już wcześniej skanowałem parę rayz i nic nie znalazł

-- 18 cze 2013, 17:57 --

Rzucił by ktoś okiem na te logi.
z góry dzięki

Post22 cze 2013, 13:21

"{1204162A-1E08-4BB4-8F9C-D963D6375834}" = Scan To
"{13F00518-807A-4B3A-83B0-A7CD90F3A398}" = MarketResearch
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"UnityWebPlayer" = Unity Web Player
"SP_09b71135" = ContinueToSave 1.74
"Microsoft Security Client" = Microsoft Security Essentials
"{089EC62B-72C9-490C-94BD-BA6B833A0EB2}}_is1" = e-pity 2012 wersja 4.0

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ahwt9mnh)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {ADD2EFF7-CFFA-477F-BEC9-A0E66595AADD}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{ADD2EFF7-CFFA-477F-BEC9-A0E66595AADD}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GZAZ_plPL524
IE - HKCU\..\SearchScopes\{ADD2EFF7-CFFA-477F-BEC9-A0E66595AADD}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
O4 - HKLM..\Run: [] File not found
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} Dostępne tylko dla zarejestrowanych użytkowników (MUWebControl Class)
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} Dostępne tylko dla zarejestrowanych użytkowników (NVIDIA Smart Scan)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.21.2)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.21.2)
O20 - AppInit_DLLs: (c:\progra~1\contin~1\sprote~1.dll) - c:\Program Files\ContinueToSave\sprotector.dll ()
[2013-05-24 16:10:58 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\StarApp
[2013-05-24 16:01:01 | 000,000,000 | ---D | C] -- C:\Program Files\ContinueToSave
[2013-05-24 16:00:53 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\cuontinuyetoysauve
[2013-05-24 16:00:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
[2012-06-12 16:07:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\ashampoo
[2013-05-24 17:59:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\cuontinuyetoysauve
[2013-05-24 16:10:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
[2013-05-24 16:10:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\StarApp
[2012-06-12 16:09:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Paweł\Dane aplikacji\Ashampoo
[2012-06-12 20:35:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Paweł\Dane aplikacji\DAEMON Tools
[2013-02-23 16:08:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Paweł\Dane aplikacji\efile.epity2012
[2012-07-10 17:43:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Paweł\Dane aplikacji\Lite
[2012-06-12 15:55:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Paweł\Dane aplikacji\OpenOffice.org
[2012-12-26 19:30:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Paweł\Dane aplikacji\Unity

:Services
gupdate
gupdatem

:Files
C:\Program Files\Google\Update
C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Google\Update
C:\windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

PS: Przepraszam za tak długi okres oczekiwania na odpowiedź. Urlop

.

Post25 cze 2013, 11:51

Trochę mi to zajęło ale spaliło mi kartę sieciową podczas burzy i nie miałem neta przez prawie tydz.

log z usuwania Dostępne tylko dla zarejestrowanych użytkowników
log z ADWCleaner (z opcji Delete) Dostępne tylko dla zarejestrowanych użytkowników
log z TDSSKille Dostępne tylko dla zarejestrowanych użytkowników coś chyba znalazł ale nie usuwałem
nowe logi z OTLDostępne tylko dla zarejestrowanych użytkowników
ExtrasDostępne tylko dla zarejestrowanych użytkowników

Nie wiem co mam robić tą pierwszą ramką

"{1204162A-1E08-4BB4-8F9C-D963D6375834}" = Scan To
"{13F00518-807A-4B3A-83B0-A7CD90F3A398}" = MarketResearch
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"UnityWebPlayer" = Unity Web Player
"SP_09b71135" = ContinueToSave 1.74
"Microsoft Security Client" = Microsoft Security Essentials
"{089EC62B-72C9-490C-94BD-BA6B833A0EB2}}_is1" = e-pity 2012 wersja 4.0

Post25 cze 2013, 12:25

Nie wiem co mam robić tą pierwszą ramką

Masz odinstalować programy, które są w niej zawarte.

ADWCleaner.

Naciśnij w nim przycisk Odinstaluj.

Wykonywanie Skryptu.

Źle Go wykonałeś. Pominąłeś początkowe :OTL. Tak nie wolno, bo to część skryptu. Ponów wykonywanie skryptu, podaj log z usuwania, po czym podaj nowe logi z OTL.

Post25 cze 2013, 13:10

W jakim programie ma to odinstalować bo w panelu sterowania/usuń programy nie ma wszystkiego
log z usuwania Dostępne tylko dla zarejestrowanych użytkowników
OTL Dostępne tylko dla zarejestrowanych użytkowników

Post25 cze 2013, 13:18

W jakim programie ma to odinstalować bo w panelu sterowania/usuń programy nie ma wszystkiego

Odinstaluj te programy (bynajmniej te, które będą) za pomocą Dostępne tylko dla zarejestrowanych użytkowników w trybie zaawansowanym (po wcześniejszym zaznaczeniu w nim opcji Pokazuj Elementy Systemowe i Pokazuj Aktualizację). Następnie podaj nowe logi z OTL.

Post25 cze 2013, 14:02

OTL Dostępne tylko dla zarejestrowanych użytkowników

Wyłączył mi się anty wirus chyba muszę go odnowa zainstalować

Post25 cze 2013, 14:19

Wyłączył mi się anty wirus chyba muszę go odnowa zainstalować

Nie. Odinstalowaliśmy Go. Zastąpimy Go czymś innym. Ten, który był w systemie był tragiczny.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | System | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\Definition Updates\{346B6C4A-D776-4103-8F71-D09F5F909925}\MpKsl1353f260.sys -- (MpKsl1353f260)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ak89byba)
IE - HKU\S-1-5-21-606747145-1715567821-682003330-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
O4 - HKU\S-1-5-21-606747145-1715567821-682003330-1004..\Run: [Google Update] "C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c File not found
[2013-06-25 13:51:13 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-06-25 10:12:37 | 000,000,000 | ---D | C] -- C:\Program Files\MSECache

:Files
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware
C:\windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post25 cze 2013, 14:36

log z usuwania Dostępne tylko dla zarejestrowanych użytkowników
autorun Dostępne tylko dla zarejestrowanych użytkowników

Post25 cze 2013, 15:18

Autoruns.

Log z Niego jest uszkodzony. Zrób Go nowego ponownie (pobierz od nowa Autoruns).

Post25 cze 2013, 15:59

autoruns Dostępne tylko dla zarejestrowanych użytkowników

Post25 cze 2013, 20:26

Autoruns.

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wszystko.

C:\Documents and Settings\Paweł\Menu Start\Programy\Autostart

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.

HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers

Wszystko.

HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers

Wszystko.

HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

Wszystko.

HKLM\System\CurrentControlSet\Services

Wszystko z frazą File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Następnie podajesz nowe logi z OTL.

Post26 cze 2013, 20:31

autoruns Dostępne tylko dla zarejestrowanych użytkowników
OTL Dostępne tylko dla zarejestrowanych użytkowników
Po restarcie kompa włączył się kreator znajdowania sprzętu, wyszukało mi wszystkie sprzęty: karta sieciowa, graficzna itp. ale w menadżerze urządzeń nie ma żółtych wykrzykników także sterowniki są wszystkie ale jakość obrazu się pogorszyła (litery są trochę niewyraźne ale czytać się da) ale jeszcze pozmieniam rozdzielczość itp zobaczymy

Dzisiaj znowu przyszedł mi email "alert bezpieczeństwa, próba przejęcia konta " oraz email "delivery status notification"