Podejrzana infekcja komputera !

Post20 sty 2012, 22:00

Ale się strasznie rozpisałeś, na mniej niż 0

Inne forum natychmiastowo :arrow:

Śmietnik.
Opisz dokładnie problem.
Ustawowy czas na odpowiedź 48 godzin

Przeskanuj komputer programem Malwarebytes Anti-Malware
Pełne skanowanie.
Obsługa programu Malwarebytes' Anti-Malware
Po skanowaniu wrzuć z niego logi,
oraz logi zgodnie z tym regulaminem :
bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html
Obsługa programu OTL

Powinny wyskoczyć dwa logi - OTL.txt i Extras.txt - proszę je dać na Forum.

Czekaj za odpowiedzią fachowców z działu Bezpieczeństwo.

Post20 sty 2012, 22:19

Post20 sty 2012, 22:56

Faktycznie jest infekcja

EDYTUJ swój post i wrzuć oddzielnie logi na : Dostępne tylko dla zarejestrowanych użytkowników lub : Dostępne tylko dla zarejestrowanych użytkowników
Nie możesz to ja lub inny Moderator/Administrator później edytujemy...
Czekaj za odpowiedzią fachowców w tym dziale

Post21 sty 2012, 13:21

refresh ;x

Post21 sty 2012, 14:22

Log nie jest zrobiony poprawnie. Jego sprawdzenie to męka. Jednak będę tak miły i Go sprawdzę. Następne logi na pewno wykonasz dokładnie wedle instrukcji

.

Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługę -> NVIDIA Display driver Service.

Następnie odinstaluj -> TuneUp Utilities (obecnie to On nie za bardzo przyspiesza), Firefox Plumber (fakt obniża zużycie RAM`u, ale czy warto tak męczyć procesor i dysk?) i Toolbar Cleaner (zbędny).

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: \"ProxyServer\" = :80
FF - prefs.js..keyword.URL: \"http://search.yahoo.com/search?fr=panda&type=PCAFSI1190&p=\"
[2011-12-23 21:44:20 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Documents and Settings\konrad\Dane aplikacji\Mozilla\Firefox\Profiles\jv9ul6qq.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2011-12-28 23:39:46 | 000,000,000 | ---D | M] (cacaoweb) -- C:\Documents and Settings\konrad\Dane aplikacji\Mozilla\Firefox\Profiles\jv9ul6qq.default\extensions\cacaoweb@cacaoweb.org

:Files
C:\Program Files\Toolbar Cleaner
C:\temp
C:\FOUND.*
C:\Documents and Settings\konrad\Ustawienia lokalne\Dane aplikacji\setup.exe
C:\Documents and Settings\konrad\Dane aplikacji\cacaoweb
C:\Program Files\cacaoweb

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
"nwiz"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL, wykonane dokładnie wedle instrukcji -> http://hotfix.pl/articles.php?article_id=143.

Post21 sty 2012, 15:00

Wykonaj ponownie logi. Te co były wcześniej zawierały jakiś błąd ponieważ nie dają sie ponownie wkleić.

Post21 sty 2012, 15:34

Po zastosowaniu tego skryptu :

Kod: Zaznacz cały

http://wklej.org/id/674453/

Nowa analiza OTL :

OTL :

Kod: Zaznacz cały

http://wklej.org/id/674460/

Extras :

Kod: Zaznacz cały

http://wklej.org/id/674462/

Post21 sty 2012, 19:19

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=panda&type=PCAFSI1190&p="
O4 - Startup: C:\Documents and Settings\konrad\Menu Start\Programy\Autostart\runjar.bat ()

:Files
C:\WINDOWS\tasks\*.job
C:\Documents and Settings\All Users\Dane aplikacji\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
C:\Documents and Settings\LocalService\Dane aplikacji\TuneUp Software
C:\Documents and Settings\konrad\Dane aplikacji\TuneUp Software
C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software
C:\Documents and Settings\Administrator\Dane aplikacji\TuneUp Software

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL na takich samych ustawieniach, jak ostatnio.

Post21 sty 2012, 19:52

Podaje logi z usuwania :

Dostępne tylko dla zarejestrowanych użytkowników

tutaj NOWA analiza po wykonaniu tamtego skryptu :

Otl : Dostępne tylko dla zarejestrowanych użytkowników

Extras : Dostępne tylko dla zarejestrowanych użytkowników

Post22 sty 2012, 11:36

Odinstaluj -> Akamai NetSession Interface.

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4 - HKU\S-1-5-21-117609710-1993962763-1417001333-1003..\Run: [Firefox Plumber] C:\Documents and Settings\konrad\Moje dokumenty\Pobieranie\Firemin-019195\Firemin.exe ()

:Files
C:\Documents and Settings\konrad\Ustawienia lokalne\Dane aplikacji\Akamai
C:\Program Files\Common Files\Akamai
C:\WINDOWS\tasks\SA.DAT

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post22 sty 2012, 11:53

Log z usuwania : Dostępne tylko dla zarejestrowanych użytkowników

NOWE logi :

Otl : Dostępne tylko dla zarejestrowanych użytkowników

Extras : Dostępne tylko dla zarejestrowanych użytkowników

Post22 sty 2012, 16:05

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [On_Demand | Stopped] -- -- (gusvc)
O4 - HKU\S-1-5-21-117609710-1993962763-1417001333-1003..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\konrad\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found

:Files
C:\FOUND.*
C:\WINDOWS\tasks\SA.DAT
C:\Documents and Settings\konrad\Menu Start\Programy\Autostart\runjar.bat

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.
Odinstaluj starą wersję Java`y -> Java(TM) 6 Update 30 i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.
Odinstaluj starą wersję programu do odczytu .PDF -> Adobe Reader 9.5.0 - Polish i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.
Odinstaluj starą wersję Skype`a -> Skype™ 5.5 i zainstaluj najnowszą -> http://www.hotfix.pl/infusions/pro_down ... e-p147.htm.
Przeczyść dysk i rejestr CCleaner`em -> http://www.hotfix.pl/infusions/pro_down ... r-p158.htm.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> http://www.hotfix.pl/infusions/pro_down ... e-p164.htm, jeśli coś znajdzie usuń i daj raport.