Infekcja cyberprzestępczość (wgsdgsdgdsgsd)

[Mike]

Kolejny komp zasyfiony przez wgsdgsdgdsgsd. Czy naprawdę tak łatwo to złapać?
Wrzucam logi z OTL, adwcleaner oaz SystamLock

Proszę o weryfikacje.

[ordynat]

Hmm, ja tu nie widzę ani jednego pliku tej infekcji - czyżby czymś już były usuwane?

Do Notatnika wklej:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
  00,6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
  00,6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
  00,6c,00,6c,00,00,00



Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

Zrób nowy log z SystemLook, jak ostatnio.
.

[Mike]

Odpalałem przed skanem OTL AdwCleaner - może on pozbył się infekcji.

To jest ok:?

Kod: Zaznacz wszystko

FF - prefs.js..extensions.enabledItems: bkmrksync@nokia.com:1.0.0.736
FF - prefs.js..network.proxy.backup.ftp: ""
FF - prefs.js..network.proxy.backup.ftp_port: 0
FF - prefs.js..network.proxy.backup.gopher: ""
FF - prefs.js..network.proxy.backup.gopher_port: 0
FF - prefs.js..network.proxy.backup.socks: ""
FF - prefs.js..network.proxy.backup.socks_port: 0
FF - prefs.js..network.proxy.backup.ssl: ""
FF - prefs.js..network.proxy.backup.ssl_port: 0
FF - prefs.js..network.proxy.ftp: "213.201.217.78"
FF - prefs.js..network.proxy.ftp_port: 80
FF - prefs.js..network.proxy.gopher: "213.201.217.78"
FF - prefs.js..network.proxy.gopher_port: 80
FF - prefs.js..network.proxy.http: "213.201.217.78"
FF - prefs.js..network.proxy.http_port: 80
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "213.201.217.78"
FF - prefs.js..network.proxy.socks_port: 80
FF - prefs.js..network.proxy.ssl: "213.201.217.78"
FF - prefs.js..network.proxy.ssl_port: 80
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found

Ogólnie jest coś wartego pozbycia się w logu z OTL?

[ordynat]

Adw Cleaner nie usuwa żadnej infekcji - to narzędzie służy tylko do usuwania sponsorskich śmieci.
Jakoś nie chce mi się wierzyć, że infekcja sama wyparowała.
Czy są jakieś objawy tej infekcji?

Te prefs.js są OK, nie są podejrzane.
.

[Mike]

Jak dostałem kompa po odpaleniu zaraz wskoczył ekran Cyberprzestępczość .....
1. Usunąłem skrót z autostartu odpowiedzialny za jej uruchomienie.
2. Odpaliłem ATF Cleaner i przeczyściłem tempy, cache przeglądarki....
3. Odpaliłem Adw Cleaner z opcji usuń - po tym restart
4. Odpaliłem SystemLook z parametrem:

:regfind
wgsdgsdgdsgsd

5. Wygenerowałem log z OTL.

Nic poza ww. nie było robione. Pojęcia nie mam gdzie to wyparowało.

[ordynat]

Dziwne.
Ale ważne jest tylko to, że infekcji już nie ma.
W Adw-Cleaner kliknij na przycisk Odinstaluj.
SystemLook - usuń ręcznie.
Fix.Reg - usuń ręcznie.

.

Autor postu otrzymał pochwałę

[Mike]

Ponownie Dziękuję za Pomoc