Liczba postów: 14
Liczba wątków: 3
Dołączył: 22.03.2013
Reputacja:
0
Objawy zainfekowania:
Po wejściu na jakąkolwiek stronę wyświetla się komunikat od ESETa: Znaleziono zagrożenie. JS. KryptikI koń trojański
Wykonywane działania:
Komputer skanowany był za pomocą ESETa, który niczego nie znajduje
Logi:
OTL: [Aby zobaczyć linki, zarejestruj się tutaj]
Extras: [Aby zobaczyć linki, zarejestruj się tutaj]
FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Addition: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT13/1
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT13/1
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT13/1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT13/1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT13/1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT13/1
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/711-154371-11896-2/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM-x32 - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/711-154371-11896-2/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKCU - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/711-154371-11896-2/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -No File
HKLM-x32\...\Run: [mnchkgfbrSrv] => C:\Windows\system32\mnchkgfbr.vbe
U4 BthAvrcpTg;
U4 BthHFEnum;
U4 bthhfhid;
C:\Users\Żustina\AppData\Local\Temp\EAD4450.exe
C:\Users\Żustina\AppData\Local\Temp\EAD6D73.exe
C:\Users\Żustina\AppData\Local\Temp\EAD7DE2.exe
C:\Users\Żustina\AppData\Local\Temp\EADA339.exe
C:\Users\Żustina\AppData\Local\Temp\EADBB3D.exe
C:\Users\Żustina\AppData\Local\Temp\EADBCC1.exe
C:\Users\Żustina\AppData\Local\Temp\EADCB73.exe
C:\Users\Żustina\AppData\Local\Temp\EADF4C0.exe
C:\Users\Żustina\AppData\Local\Temp\fp_pl_pfs_installer-1.exe
C:\Users\Żustina\AppData\Local\Temp\fp_pl_pfs_installer.exe
C:\Users\Żustina\AppData\Local\Temp\HPConnectedMusicInstaller_100100106.exe
C:\Users\Żustina\AppData\Local\Temp\InstHelper.exe
C:\Users\Żustina\AppData\Local\Temp\ose00000.exe
C:\Users\Żustina\AppData\Local\Temp\ose00001.exe
C:\Users\Żustina\AppData\Local\Temp\SimilarBundleGenericDl.exe
C:\Users\Żustina\AppData\Local\Temp\UninstallEADM.dll
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.
Liczba postów: 14
Liczba wątków: 3
Dołączył: 22.03.2013
Reputacja:
0
Fixlog: [Aby zobaczyć linki, zarejestruj się tutaj]
TDSSKiller: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
TDSS wykrył tylko prawidłowe ale nie podpisane pliki.
Zrób scan FRST i OTL jeszcze raz i podaj log.
Liczba postów: 14
Liczba wątków: 3
Dołączył: 22.03.2013
Reputacja:
0
OTL: [Aby zobaczyć linki, zarejestruj się tutaj]
FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Wklej na stronę raport z SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] i kliknij Start.
Liczba postów: 14
Liczba wątków: 3
Dołączył: 22.03.2013
Reputacja:
0
SecurityCheck: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Results of screen317''s Security Check version 0.99.82
x64 (UAC is enabled)
Internet Explorer 10 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Windows Firewall Enabled!
ESET Smart Security 7.0
Windows Defender
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Adobe Flash Player 12.0.0.77 Flash Player out of Date!
Adobe Reader XI
Mozilla Firefox (28.0)
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus egui.exe
ESET NOD32 Antivirus ekrn.exe
GfK e-trendy GfK-Reporting.exe
GfK e-trendy GfK-Updater.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:%
````````````````````End of Log``````````````````````
Do aktualizacji pozycje oznaczone na czerwono.
Liczba postów: 14
Liczba wątków: 3
Dołączył: 22.03.2013
Reputacja:
0
Wszystko zrobione wg instrukcji, ale problem nadal pozostał.
Wklejam jeszcze raz raport z SecurityCheck [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Co do raportu to napisałem przecież wyżej.
Z czym dokładnie masz problem jeszcze ?
Liczba postów: 14
Liczba wątków: 3
Dołączył: 22.03.2013
Reputacja:
0
Nadal pojawia się ten komunikat o koniu trojańskim.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Z czego ogólnie to wynika,przy odpaleniu jakiej przeglądarki ?
Liczba postów: 14
Liczba wątków: 3
Dołączył: 22.03.2013
Reputacja:
0
Przy Mozilli. Komunikat pojawia się przy wchodzeniu na większość stron, np. Allegro, albo stronę Ministerstwa Finansów oraz strony zagraniczne. Z tego co udało mi się zaobserwować, nie pojawia się, np. przy wejściu na stronę Google. Przy wchodzeniu na te same strony przez Internet Explorer, nie pojawia się żaden komunikat.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Już wiem czemu przez Site Finderktóry jeszcze widnieje w rozszerzeniach.
tak więc przechodzimy do czyszczenia
W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
Liczba postów: 14
Liczba wątków: 3
Dołączył: 22.03.2013
Reputacja:
0
Pomogło! Dziękuję bardzo.
Przy okazji, zauważyłam ostatnio, że raz na jakiś czas z mojej skrzynki mailowej na outlook.com wysyłają się same maile z podejrzanym linkiem do osób, które mam zapisane w kontaktach lub z którymi kiedykolwiek wymieniłam jakąś wiadomość. Ostatni taki mail wysłał się wczoraj. Trochę to kłopotliwe, bo używam tej skrzynki do celów zawodowych. Jakieś rozwiązanie?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nie wiem,zmień hasło i login do skrzynki pocztowej.
|