Liczba postów: 7
Liczba wątków: 1
Dołączył: 09.02.2014
Reputacja:
0
Objawy zainfekowania:
Z komputera jest wysyłany SPAM, dostawca usług zablokował mi możliwość wysyłania maili z kont ponieważ "wysyłałam" najpierw 1500 maili a potem jak zwiększył ilość to 3500. Napisał że mój komputer rozsyła spam.
Od razu zaznaczę że nie mam pojęcia co dalej robić oprócz przeskanowania i usunięcia programami,nie jestem informatykiem i zrobiłam te "logi" według podanej przez Państwa instrukcji. Proszę o pomoc.
Wykonywane działania:
Był Avast, ale odinstalowałam po tym i wgrałam ESET NOD 32
Komputer był skanowany antywirusami, Spy Hunter, Cureit, Emsisoft Anti-Malware i inne.. wszystko co było zostało pokasowane ale dalej problem istnieje.
Logi:
OLT.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: HKLM-x32\...\Run: [] - [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPALL13/178
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPALL13/178
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=CMNTDFJS
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=CMNTDFJS
SearchScopes: HKLM - {CDE4CC88-16DD-4431-BECB-16E31CB56D88} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKLM-x32 - {CDE4CC88-16DD-4431-BECB-16E31CB56D88} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=42826&st=bs&tid=3374&q={searchTerms}
SearchScopes: HKCU - {CDE4CC88-16DD-4431-BECB-16E31CB56D88} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\Users\Sylwia\AppData\Local\cache
C:\Users\Sylwia\Doctor Web
C:\ProgramData\Doctor Web
C:\WINDOWS\avastSS.scr
C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\Users\Sylwia\AppData\Local\Temp\i4jdel0.exe
C:\Users\Sylwia\AppData\Local\Temp\iihxep6g.dll
C:\Users\Sylwia\AppData\Local\Temp\Quarantine.exe
C:\Users\Sylwia\AppData\Local\Temp\SHSetup.exe
Task: {1CF09B0D-A9E0-47F3-A11C-1C3CC3D40C3C} - \ProtectedSearch\Protected Search No Task File
Task: {9C4D039C-CB7E-4796-88FB-9FC361E7689B} - \SpyHunter4Startup No Task File
Task: {F1BFA945-3940-4FD6-B724-FDD8332C144C} - \DealPly No Task File
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
SpyHunter (program niskiej reputacji)
Lollipop
W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
W Google Chrome pasku adresu wpisz chrome//settings/,następnie na dole klik pokaż ustawienia zaawansowane,zjedź ponownie na sam dół i klik zresetuj ustawienia przeglądarki.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] kliknij Szukaji następnie Usuń
pokaż raport
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.
Liczba postów: 7
Liczba wątków: 1
Dołączył: 09.02.2014
Reputacja:
0
DZIĘKUJE ZA ODPOWIEDŹ
Już myślałam że sprawa jest beznadziejna. odinstalowałam SpyHunter, Lollipop nie mogę bo coś jest z wpisem, bedę jeszcze próbować. Na razie wklejam raport z AdwCleaner:
[Aby zobaczyć linki, zarejestruj się tutaj]
Prosze o wiadomość co z niego wynika
i działam dalej choć nie do końca rozumiem pierwszą cześć zadania, ale mam nadzieję ze sobie poradzę. Dziekuje
Dodano: 13 lut 2014, 20:10
Co to znaczy że mam umieścić plik fixlist.txt OBOK PROGRAMU ? nie rozumiem tego co konkretnie mam zrobić ?
Będę wdzięczna za pomoc
Dodano: 13 lut 2014, 20:20
udało się
Raport z programu FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 13 lut 2014, 20:59
Raport z TDSSKiller
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 13 lut 2014, 21:05
Zrobiłam wszystko co zaleciłeś, oprócz usunięcia lollipop który był już usunięty i został tylko jakiś ślad i nie mam google chrome. Czekam teraz na dalsze instrukcje i dziękuje
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Zrób ponownie logi FRST i OTL.
Liczba postów: 7
Liczba wątków: 1
Dołączył: 09.02.2014
Reputacja:
0
tachion napisał(a):Zrób ponownie logi FRST i OTL.
Zrobiłam, pliki poniżej. Poczta działała przez 2 dni i znowu dostałam mail z serwera:
A new message or response with subject:
Warning: 3500 emails have just been sent by pracowni
has arrived for you to view.
NOWE LOGI:
FRST:[Aby zobaczyć linki, zarejestruj się tutaj]
otl:[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: GroupPolicyUsers\S-1-5-21-3962417164-2379301711-1367934624-1001\User: Group Policy restriction detected <======= ATTENTION
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll No File
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -No File
C:\TDSSKiller_Quarantine
C:\ProgramData\{18165758-115C-4DC0-9EC2-FF89F725767F}
C:\Users\Sylwia\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
C:\spyhunter.fix
C:\Program Files (x86)\Enigma Software Group
C:\Program Files\Enigma Software Group
C:\WINDOWS\72AAF4551E54475BB0AB5413C78D0E63.TMP
C:\autoexec.bat
C:\Users\Sylwia\AppData\Local\Temp\sp64126.exe
C:\Users\Sylwia\AppData\Local\Temp\UninstallHPSA.exe
C:\Users\Sylwia\AppData\Local\Temp\{94C9DCF1-DA6F-4920-A058-003A9F4C1C2B}.exe
CMD: netsh advfirewall reset
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
I zrób ponowne logi.
Liczba postów: 7
Liczba wątków: 1
Dołączył: 09.02.2014
Reputacja:
0
FRST:[Aby zobaczyć linki, zarejestruj się tutaj]
OTL : [Aby zobaczyć linki, zarejestruj się tutaj]
ZROBIONE
ps
o co tu w ogóle chodzi ? co jest nie tak ? czy to na pewno mój komputer a nie serwer ?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Hmm na razie nic tu nie widać już.
Wklej na stronę raport z SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Liczba postów: 7
Liczba wątków: 1
Dołączył: 09.02.2014
Reputacja:
0
Results of screen317''s Security Check version 0.99.79
x64 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
Windows Firewall Enabled!
Emsisoft Anti-Malware
ESET NOD32 Antivirus 7.0
Windows Defender
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 13
Java version out of Date!
Adobe Flash Player 11.7.700.224
Adobe Reader XI
Mozilla Firefox (27.0.1)
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus egui.exe
ESET NOD32 Antivirus ekrn.exe
Emsisoft Anti-Malware a2service.exe
Emsisoft Anti-Malware a2guard.exe
PLAY ONLINE OnlineUpdate ouc.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:%
````````````````````End of Log``````````````````````
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Czy potrzebne jest tyle programów zabezpieczających nie może zostać tylko jeden ESET lub Emsisoft ?
Działania końcowe:
Odinstaluj i zainstaluj najnowszą Jave [Aby zobaczyć linki, zarejestruj się tutaj]
W Adwcleaner kliknij odinstaluj.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] i kliknij Start.
Liczba postów: 7
Liczba wątków: 1
Dołączył: 09.02.2014
Reputacja:
0
Witaj, nie wiem o jakich programach piszesz, że mam ich dużo. Wg mnie jest ESET wersja próbna i nic więcej nie mam.
Dzisiaj za to dostałam w końcu jakiegoś maila od providera usług, który brzmi następująco:''
Sprawdzał Pan skrypty strony?
Prawdopodobnie znajduję się w nich zainfekowany plik, który może rozsyłać spam z Pana konta.(pomijam formę osobą bo jestem kobietą, to zupełnie nie wiem o czym on do mnie pisze, i nie wiem o jakie strony chodzi. Mam na serwerze kilka stron. I w ogólne nie mam pojęcia jak mam szukać i czego.
Resztę o której piszesz zaraz zrobię...
Znowu dostałam mail ze rozesłałam 3500 maila
już mi ręce opadają bo naprawdę nie wiem co robić
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W procesach widnieje jeszcze Emsisoft Anti-Malware tak więc 2 zabezpieczenie.
No a gdzie się ten serwer znajduje,na komputerze widzę tylko bazę danych.
Przedstaw też te strony,możesz dać do w spoiler.
A logowales sie moze z jakiegos urzadzenia mobilnego na poczte? Mialem u kumpla podobna sytuacje. Mial dobre zabezpieczenia kompa ale zdarzalo sie, ze logowal sie np. Z telefonu ktory byl niezabezpieczony. Ktos zdobyl haslo i potem droga wolna do rozsylania spamu. Zwykle w takich sytuacjach pomaga zmiana hasla.
Liczba postów: 7
Liczba wątków: 1
Dołączył: 09.02.2014
Reputacja:
0
Apocalypse napisał(a):A logowales sie moze z jakiegos urzadzenia mobilnego na poczte? Mialem u kumpla podobna sytuacje. Mial dobre zabezpieczenia kompa ale zdarzalo sie, ze logowal sie np. Z telefonu ktory byl niezabezpieczony. Ktos zdobyl haslo i potem droga wolna do rozsylania spamu. Zwykle w takich sytuacjach pomaga zmiana hasla.
Dziekuje ci za pomoc, jestem załamana bo teraz rozsyłam już co drugi dzień po 3500 maili a dostaje prawie 5000 zwrotek że nie dotarły. Zmieniłam dzisiaj hasło, zoabczymy czy zadziała. jak nie to pozostaje mi wyrzucić komputer za okno bo już nie wiem co robić ! Dam znać
Dodano: 02 mar 2014, 22:33
tachion napisał(a):W procesach widnieje jeszcze Emsisoft Anti-Malware tak więc 2 zabezpieczenie.
No a gdzie się ten serwer znajduje,na komputerze widzę tylko bazę danych.
Przedstaw też te strony,możesz dać do w spoiler. --- nie wiem co to znaczy że mam dać do spoiler ????????
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie ma potrzeby wyrzucania kompa :-). To wina skrzynki pocztowej. Niestety zyjemy w takich czasach. Potrzebne są porządne zabezpieczenia na wszystkich urządzeniach z których się logujemy. Daj znać czy pomogło...
|