RockTurner, Trojan Semnagaz i... czy to wszystko?

Post21 lip 2014, 17:07

Dzięki serwisowi poczty elektronicznej dowiedziałem się, że najprawdopodobniej moje konto jest używane do rozsyłania spamu. Mniej więcej w tym samym czasie przeglądarka zaczęła się łączyć z jakimiś dziwnymi adresami apirock.akamai coś tam coś tam.
Sam z siebie zauważyłem, że pojawił się u mnie program Rock Turner, usunąłem RevoUninstalerem z wszystkimi ( ?mama nadzieję) komponentami
Norton wykrył i usunął Trojan. Semnagaz
ADW Cleaner też wyrzucił trochę śmiecia.
Na koniec MBAM zidentyfikował 6 wpisów (3 pliki i 3 klucze) czegoś o nazwie PUP.Optional.Sanbreel.A i tu zaczyna się mały problem bo mimo informacji o usunięciu przy nastepnym przebiegu wykrywa je znowu.
W tej sytuacji pozwalam sobie wkleić logi OTLa z prośbą żeby ktoś spojrzał i rozstrzygnął czy to wszystko czy czeka mnie jeszcze zabawa.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post21 lip 2014, 18:23

Na koniec MBAM zidentyfikował 6 wpisów (3 pliki i 3 klucze) czegoś o nazwie PUP.Optional.Sanbreel.A i tu zaczyna się mały problem bo mimo informacji o usunięciu przy nastepnym przebiegu wykrywa je znowu.

Pokaz raport MBAM.

Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11311.sys -- (EraserUtilDrv11311)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}]
[-HKEY_USERS\S-1-5-21-924272793-3169120379-3316876243-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}]]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-924272793-3169120379-3316876243-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

F.

Post22 lip 2014, 21:55

Dzięki, Filutka

Dostępne tylko dla zarejestrowanych użytkowników
Tu jest OTL
Dostępne tylko dla zarejestrowanych użytkowników
A tu MBAM z dnia przed wykonaniem skryptu. Za dwie godziny dołaczę aktualnu MBAM

Post23 lip 2014, 02:27

Ja nie mogę mieć dostępu do takich plików.
Raporty wklej (tekst) na Dostępne tylko dla zarejestrowanych użytkowników, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

F.

Post28 lip 2014, 14:30

Proszę bardzo - OTL
Dostępne tylko dla zarejestrowanych użytkowników

natomiast aktualny log z MBAM jest czysty.

Post28 lip 2014, 15:53

Myślę, że możemy kończyć:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

Post31 lip 2014, 22:56

Wielkie Dzięki