Liczba postów: 9
Liczba wątków: 2
Dołączył: 13.01.2013
Reputacja:
0
Objawy zainfekowania:
Od jakiegoś tygodnia obserwuje problem z dostępem do sieci:
Zaczęło sie od tego, że program Microsoft Otlook 2010 przestał pobierać wiadomości z jednej ze skrzynek, wczoraj miałam problem z logowaniem do serwera GG (z innego kompa - zdalnego - logowanie przebiegło bez problemu). Dzisiaj Mozilla Firefox zaczęła fiksować - nie otwierały się wybrane strony https
Po przywróceniu systemu do dnia 01.01.2013 nie mogę zaktualizować baz NODa.
Nadmienię może i sam komputer mam 2,5 miesiąca, od początku zabezpieczony antywirem. Dyski przenośne zabezpieczone FlashDesinfector. Nie podłączam cudzych dysków do komputera.
Wykonywane działania:
1. przeskanowałam komputer (skanowanie dokładne) Eset Smart Security 5: nic nie znalazł
2. Reinstalacja Mozilli i GG nie pomogła (włącznie z wyczyszczeniem rejestru po tych programach i usunięciem zbędnych pozostałości)
Opisz czym był skanowany komputer, jakie posiada oprogramowanie ochronne
3. Niektóre objawy, np. niewyświetlanie stron https w Mozilli ustały, po przywróceniu systemu do stanu z dnia 01.01.2013
Logi:
Logi OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Logi RSIT:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Z góry dziękuję za zainteresowanie i pomoc
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Przeskanuj proszę na [Aby zobaczyć linki, zarejestruj się tutaj] "
Kod: C:\Windows\adirasx64.exe
Liczba postów: 9
Liczba wątków: 2
Dołączył: 13.01.2013
Reputacja:
0
Rozumiem, że tylko ten plik?
Jeśli tak, to wynik (o ile dobrze to zrobiłam):
SHA256: 23c500581b205c4884ba3654e67bde5d6c1bbbc5e97d7afa1193dc466af9df08
SHA1: d6de4ec311cd626a241b1ba37a688baeec53088c
MD5: 4d1d9b5f8e8a9698f7f0679f10a3fbd2
File size: 189.6 KB ( 194128 bytes )
File name: adiras.exe
File type: Win32 EXE
Tags: peexe signed
Detection ratio: 0 / 44
Analysis date: 2012-12-24 14:05:38 UTC ( 2 tygodnie, 6 dni ago )
Z tego co doczytałam to plik używany przez Sagem (modem), a mam taki zainstalowany, bo łącze się przez modem, gdy jestem u rodziny
EDIT:
O dziwo teraz Nod się zaktualizował.
Zastosowałam jeszcze porady z pkt. 5 na tej stronie: [Aby zobaczyć linki, zarejestruj się tutaj]
Ale nadal nie mam pewności, czy jednak coś tam nie siedzi głębiej :/
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W własne opcje skanowania skrypt wklej i wykonaj.
Uruchom AdwCleaner z opcji Delete.
[Aby zobaczyć linki, zarejestruj się tutaj]
Następnie uruchom OTL ponownie i kliknij Skanuj. Przedstaw nowy log OTL.Txt oraz raport z Adwcleaner.
Kod: :OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
FF - prefs.js..browser.startup.homepage: "http://www.umk.pl/"
[2012-10-07 16:04:14 | 000,000,000 | ---D | M] -- C:\Users\Magda G-D\AppData\Roaming\pdfforge
O4 - Startup: C:\Users\Magda G-D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk =File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
:Commands
[RESETHOSTS]
[EMPTYTEMP]
Liczba postów: 9
Liczba wątków: 2
Dołączył: 13.01.2013
Reputacja:
0
Z opcją DEL - czyli z usuwaniem?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Liczba postów: 9
Liczba wątków: 2
Dołączył: 13.01.2013
Reputacja:
0
Zrobione:
Skrypt wykonany
Raport: [Aby zobaczyć linki, zarejestruj się tutaj]
OTL: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 72
Liczba wątków: 0
Dołączył: 24.11.2012
Reputacja:
14
Uruchom OTLi w sekcji Własne opcje skanowania /skryptwklej:
Kod: :OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: [email protected]:1.0
FF - prefs.js..network.proxy.backup.ftp: "213.181.73.145"
FF - prefs.js..network.proxy.backup.ftp_port: 80
FF - prefs.js..network.proxy.backup.socks: "213.181.73.145"
FF - prefs.js..network.proxy.backup.socks_port: 80
FF - prefs.js..network.proxy.backup.ssl: "213.181.73.145"
FF - prefs.js..network.proxy.backup.ssl_port: 80
FF - prefs.js..network.proxy.ftp: "80.243.182.139"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.http: "80.243.182.139"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "80.243.182.139"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "80.243.182.139"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 0
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found
O4 - HKU\S-1-5-21-3177159663-411048137-1679351235-1000..\Run: [Facebook Update] C:\Users\Magda G-D\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O16:[b]64bit:[/b] - DPF: {49312E18-AA92-4CC2-BB97-55DEA7BCADD6} https://support.dell.com/systemprofiler/SysProExe.CAB (Reg Error: Key error.)
O16:[b]64bit:[/b] - DPF: {CAFEEFAC-0016-0000-FFFF-ABCDEFFEDCBA} http://javadl-esd.sun.com/update/1.6.0/jinstall-6-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0001-0003-ABCDEFFEDCBA} Reg Error: Key error. (Reg Error: Key error.)
[2012-12-31 10:18:00 | 000,000,922 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3177159663-411048137-1679351235-1000Core.job
:Commands
[emptytemp]
Kliknij na wykonaj skrypt . Uruchom ponownie system.
W notatniku po restarcie otworzy się raport z wynikami przetwarzania skryptu. przedstaw ten raport do wglądu.
Liczba postów: 9
Liczba wątków: 2
Dołączył: 13.01.2013
Reputacja:
0
Gotowe
Raport: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 72
Liczba wątków: 0
Dołączył: 24.11.2012
Reputacja:
14
Wszystko pomyślnie się wykonało. Możesz przejść do finalizacji tematu :
Uruchom OTL i kliknij sprzątanie - to go usunie razem z jego kwarantanną.
W AdwCleaner klik na Uninstall.
Wszystko. 
Liczba postów: 9
Liczba wątków: 2
Dołączył: 13.01.2013
Reputacja:
0
Dziękuje bardzo.
I wiem, że jestem może troszkę upierdliwa....ale lubię wiedzieć co się dzieje z moim sprzętem i jak uniknąć problemów na przyszłość, stąd tylko ostatnie moje pytanie: Co to było i jak się przed tym ustrzec (o ile się da)? Chętnie poczytam coś na ten temat, ale wolę zapytać bardziej doświadczonych ode mnie, żeby nie czytać jakichś głupot, bo tych w sieci ogrom.
EDIT
Oki - już tam idę
magdagd napisał(a):Chętnie poczytam coś na ten temat, ale wolę zapytać bardziej doświadczonych ode mnie, żeby nie czytać jakichś głupot, bo tych w sieci ogrom.
Ten dział służy do leczenia, jeżeli interesuje Cię profilaktyka na przyszłość do zapraszamy do drugiego 
[Aby zobaczyć linki, zarejestruj się tutaj]
|
