NowyLaik

Nie widzę (jak na razie, ale to bez połączenia z siecią) Czy można prosić o wskazówki jakiegoś dobrego (a darmowego) programu zabepieczającego?

Fix.bat nie pokazywał problemów. Nowy log SystemLook 30.07.11 by jpshortstuff Log created at 12:20 on 12/06/2012 Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" ========== regfind ========== Searching for "{58693411-709e-9039-e2d9-a805ea0eb781}" No data found. ========== folderfind ========== Searching for "{58693411-709e-9039-e2d9-a805ea0eb781}" No folders found. -= EOF =-

Logi SystemLook 30.07.11 by jpshortstuff Log created at 21:19 on 11/06/2012 Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n." [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{58693411-709e-9039-e2d9-a805ea0eb781}\n." "ThreadingModel"="Both" ========== regfind ========== Searching for "{58693411-709e-9039-e2d9-a805ea0eb781}" [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] @="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{58693411-709e-9039-e2d9-a805ea0eb781}\n." [HKEY_USERS\S-1-5-21-2154615204-4275496255-3731553294-1006\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] @="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n." [HKEY_USERS\S-1-5-21-2154615204-4275496255-3731553294-1006_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] @="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n." ========== folderfind ========== Searching for "{58693411-709e-9039-e2d9-a805ea0eb781}" No folders found. -= EOF =- OTL.txt

BB mowi ze tego folderu nie ma (moze dlatego ze ja go skasowalem rano w trybie awaryjnym?) logi OTL.txt

log SystemLook 30.07.11 by jpshortstuff Log created at 16:58 on 11/06/2012 Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n." [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{58693411-709e-9039-e2d9-a805ea0eb781}\n." "ThreadingModel"="Both" ========== regfind ========== Searching for "{58693411-709e-9039-e2d9-a805ea0eb781}" [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] @="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{58693411-709e-9039-e2d9-a805ea0eb781}\n." [HKEY_USERS\S-1-5-21-2154615204-4275496255-3731553294-1006\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] @="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n." [HKEY_USERS\S-1-5-21-2154615204-4275496255-3731553294-1006_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] @="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n." ========== folderfind ========== Searching for "{58693411-709e-9039-e2d9-a805ea0eb781}" C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781} d--hs-- [18:51 10/08/2004] C:\WINDOWS\Installer\{58693411-709e-9039-e2d9-a805ea0eb781} d--hs-- [18:51 10/08/2004] -= EOF =-

Oto nowe logi. Zrobione w trybie normlanym. Dało się je zrobić po skasowaniu w trybie awaryjnym owego znajdującego się we wskazanm katalogu LSP.exe. Nie było już zablokadowania uruchamiania programów i nie pojawiał się ów komunikat o wirusie, ale cały czas jest problem, bo przy używaniu notatnika pojawia się komunikat o zagrożeniu i podaje inf. że Windows zamknie program i wyśle pliki do raportu "notepad.exe.mdmp" i "appcompat.txt". i następuje zamknięcie Extras.Txt OTL.Txt

1. A co zrobić jak program chce aktualizacji bazy wirusów? A we wskazanym trybie jest przecież off line? czy można podłączyć i uzyc trybu z podlaczeniem do siecie? 2. Czy mozna probowac "na chama" skasowac ten plik LSP.exe znajdujacy sie pod wskazanym przez Ciebie adresem? Bo moze wtedy w trybie normalnym ruszy jak wczoraj? PS. Przy skanowaniu ta zubozona wersja pojawily sie 3 wyniki Trojan.SpyEyes. Mam je usunac tym programem? W trybie awaryjnym daje sie zaczac OTL, zmienic ustawienia, ale klawisz skanuj nie reaguje. OTL nie daje sie tez zamknac, mozna go tylko przymknac. By zamknac trzeba wylaczyc komputer.

To znaczy jak dokladniej? Bo nie wiem

Blokuje mozliwosc MBM, wyswietla komunikat ze program zainfekowany. Zablokowalo tez mozliwosc uruchomienia OTL.

Najpierw zrobić to co teraz zalecasz czy tamto co wcześniej napisałeś?

Oczywiście że tak. Robiłem z komputera zainfekowanego (w opcji wszyscy użytkownicy). A teraz np. jest tam zablokowane USB, nie uruchamiają się programy (niektóre). Nie jest to chyba nowa infekcja, bo zachowuje się nieco inaczej niż wczoraj. Np.nie wstawiło skrótu na pulpit, nie pojawiło się w nowych programach, ale jest jak wczoraj w pasku i "skanuje"..

Nie wiem czy jest to aktualne, bo program się właśnie "obudził" i uaktywnił, i zaczął "skanować" i blokować.

Raporty po wykonaniu powyższego. PS. Ciekaw jestem czy to zauważone "ssanie" z kompa mogło być dziełem konkretnej osoby, która np. doprowadziła do infekcji właśnie w tym celu, czy też nie miało to związku? extras end.txt OTL end.txt

Oto nowe logi OTL po cz.txt

Oto raport otl.txt