Skocz do zawartości
Nadchodzące zmiany w logowaniu

Landuss

Użytkownicy
 Pokaż profil  Zobacz aktywność

  • Postów

    6 919

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez Landuss

  1. Landuss
    Próbowałeś RootRepeal z tego samego linka? To jest alternatywa na Gmera. Ja myślę, że to jednak nie jest wina infekcji bo w OTL nic nie widać niepokojącego. Natomiast system jest w tragicznym stanie zabezpieczenia i bez żadnego Service Packa, a do XP są już przecież trzy wydania: Windows XP Professional Edition (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2600.0000) Załatanie Windows może załatwić wiele problemów więc od tego bym zaczął. SP1 niestety już dawno nie ma na stronach Microsoftu i podam link alternatywny, zaś do SP3 podam link oryginalny. Montuj kolejno - Service Pack 1 / Service Pack 3 / Internet Explorer 8 Kolejnym krokiem jest użycie narzędzia Windows Worms Doors Cleaner w celu zamknięcia robaczywych portów.
  2. Landuss
    Rzeczywiście jest infekcja z urządzeń przenośnych. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-839522115-1957994488-2147074499-1004..\Run: [amva] C:\WINDOWS\system32\amvo.exe () O4 - Startup: C:\Documents and Settings\f\Menu Start\Programy\Autostart\ctfmon.exe (Microsoft Corporation) F3 - HKU\S-1-5-21-839522115-1957994488-2147074499-1004 WinNT: Load - (C:\WINDOWS\svchost.exe) - C:\WINDOWS\svchost.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: explorer = `.vbe () :Files autorun.inf /alldrives C:\WINDOWS\System32\amvo0.dll C:\WINDOWS\System32\temp1.exe C:\WINDOWS\System32\temp2.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.
  3. Landuss
    Miałbyć log z usuwania a nie ze skanu a to znacząca różnica, ale już cie nie będę męczył. Wszystko jest jak należy. Wykonaj poniższe kroki: 1. Szczątek po My Global spróbuj usunąć narzędziem Revo Uninstaller 2. Użyj opcji Sprzątanie w OTL. 3. Wykonaj obowiązkowe aktualizacje oprogramowania bo z takim stanem jesteś narażony na infekcje: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17 "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 "Mozilla Firefox (3.5.14)" = Mozilla Firefox (3.5.14) Szczegóły i linki rozpisane tutaj: INSTRUKCJE.
  4. Landuss
    My Globala zaraz usuniemy w skrypcie. Właściwie już jest niemal dobrze tylko jeszcze jeden skrypt wykonaj: :OTL O3 - HKU\S-1-5-21-839522115-1004336348-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-839522115-1004336348-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {B7D3E479-CC68-42B5-A338-938ECE35F419} - No CLSID value found. O4 - HKLM..\Run: [sniffer] C:\WINDOWS\Temp\_ex-08.exe File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "My Global Search Uninstall"=- :Commands [emptytemp] [clearallrestorepoints] Dajesz już tylko log z usuwania, który powinien się otworzyć w Notatniku.
  5. Landuss
    W logach brak śladu aktywnej infekcji więc raczej nie w tym rzecz. Sprawdź czy to aby Kaspersky nie powoduje u ciebie tego problemu. Tymczasem temat zostaje przeniesiony do działu sieciowego.
  6. Landuss
    Wykonaj powyższe moje zalecenia bo cały czas masz infekcję, dopiero wtedy zgłoś się z nowymi logami.
  7. Landuss
    Zabrakło obowiązkowego loga z GMER lub w razie problemów RootRepeal z tego samego linka. Uzupełnij to następnym razem. Masz infekcję Brontok to po pierwsze, a po drugie infekcje z uprzędzenia przenośnego - nowszy wariant, który tworzy falsyfikat w postaci plików LNK symulujących w nazwie prawidłowe nazwy folderów systemowych: [2010-10-25 19:13:13 | 000,000,186 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne.lnk [2010-10-25 19:13:13 | 000,000,170 | ---- | M] () -- C:\Documents and Settings\Administrator\New Folder.lnk [2010-10-25 19:13:13 | 000,000,168 | ---- | M] () -- C:\Documents and Settings\Administrator\Passwords.lnk [2010-10-25 19:13:13 | 000,000,168 | ---- | M] () -- C:\Documents and Settings\Administrator\Documents.lnk [2010-10-25 19:13:13 | 000,000,166 | ---- | M] () -- C:\Documents and Settings\Administrator\Ulubione.lnk [2010-10-25 19:13:13 | 000,000,166 | ---- | M] () -- C:\Documents and Settings\Administrator\Szablony.lnk [2010-10-25 19:13:13 | 000,000,166 | ---- | M] () -- C:\Documents and Settings\Administrator\Pictures.lnk [2010-10-25 19:13:13 | 000,000,162 | ---- | M] () -- C:\Documents and Settings\Administrator\SendTo.lnk [2010-10-25 19:13:13 | 000,000,160 | ---- | M] () -- C:\Documents and Settings\Administrator\Video.lnk [2010-10-25 19:13:13 | 000,000,160 | ---- | M] () -- C:\Documents and Settings\Administrator\Music.lnk [2010-10-25 19:13:12 | 000,000,178 | ---- | M] () -- C:\Documents and Settings\Administrator\Moje dokumenty.lnk [2010-10-25 19:13:12 | 000,000,178 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji.lnk [2010-10-25 19:13:12 | 000,000,170 | ---- | M] () -- C:\Documents and Settings\Administrator\Menu Start.lnk [2010-10-25 19:13:12 | 000,000,168 | ---- | M] () -- C:\Documents and Settings\Administrator\PrintHood.lnk [2010-10-25 19:13:12 | 000,000,164 | ---- | M] () -- C:\Documents and Settings\Administrator\NetHood.lnk [2010-10-25 19:13:12 | 000,000,164 | ---- | M] () -- C:\Documents and Settings\Administrator\Cookies.lnk [2010-10-25 19:13:12 | 000,000,162 | ---- | M] () -- C:\Documents and Settings\Administrator\Recent.lnk [2010-10-25 19:13:12 | 000,000,162 | ---- | M] () -- C:\Documents and Settings\Administrator\Pulpit.lnk [2010-10-25 19:13:12 | 000,000,160 | ---- | M] () -- C:\Documents and Settings\Administrator\ja.JPG.lnk [2010-10-25 19:13:12 | 000,000,154 | ---- | M] () -- C:\Documents and Settings\Administrator\...lnk [2010-10-25 19:13:11 | 000,000,152 | ---- | M] () -- C:\Documents and Settings\Administrator\..lnk [2010-10-25 19:13:13 | 000,000,170 | ---- | C] () -- C:\Documents and Settings\Administrator\New Folder.lnk [2010-10-25 19:13:13 | 000,000,168 | ---- | C] () -- C:\Documents and Settings\Administrator\Passwords.lnk [2010-10-25 19:13:13 | 000,000,168 | ---- | C] () -- C:\Documents and Settings\Administrator\Documents.lnk [2010-10-25 19:13:13 | 000,000,166 | ---- | C] () -- C:\Documents and Settings\Administrator\Pictures.lnk [2010-10-25 19:13:13 | 000,000,160 | ---- | C] () -- C:\Documents and Settings\Administrator\Video.lnk [2010-10-25 19:13:13 | 000,000,160 | ---- | C] () -- C:\Documents and Settings\Administrator\Music.lnk 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\bitcomet\tools\BitCometBHO_1.4.1.27.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe () O4 - HKU\S-1-5-21-1645522239-1682526488-1177238915-500..\Run: [bitComet] D:\bitcomet\BitComet.exe File not found O4 - HKU\S-1-5-21-1645522239-1682526488-1177238915-500..\Run: [qaisuan] C:\Documents and Settings\Administrator\qaisuan.exe () O4 - HKU\S-1-5-21-1645522239-1682526488-1177238915-500..\Run: [toimod] C:\Documents and Settings\Administrator\toimod.exe File not found O4 - HKU\S-1-5-21-1645522239-1682526488-1177238915-500..\Run: [Tok-Cirrhatus] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe () O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif () O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - C:\WINDOWS\eksplorasi.exe () O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-6801889150-9373263620-417504826-5711\msimfo32.exe) - C:\RECYCLER\S-1-5-21-6801889150-9373263620-417504826-5711\msimfo32.exe () O33 - MountPoints2\{bebed847-02a8-11df-a8d3-0015afb25252}\Shell\AutoRun\command - "" = 2a.exe O33 - MountPoints2\{bebed847-02a8-11df-a8d3-0015afb25252}\Shell\open\Command - "" = 2a.exe O33 - MountPoints2\{bebed848-02a8-11df-a8d3-0015afb25252}\Shell\AutoRun\command - "" = D:\EXPLORER.EXE -- File not found O33 - MountPoints2\{bebed848-02a8-11df-a8d3-0015afb25252}\Shell\explore\Command - "" = D:\EXPLORER.EXE -- File not found O33 - MountPoints2\{bebed848-02a8-11df-a8d3-0015afb25252}\Shell\open\Command - "" = D:\EXPLORER.EXE -- File not found @Alternate Data Stream - 24 bytes -> C:\WINDOWS:4CCD15492063D382 :Files RECYCLER /alldrives C:\Documents and Settings\Administrator\*.lnk C:\WINDOWS\System32\sshnas21.dll C:\Documents and Settings\Administrator\keduf.exe C:\Documents and Settings\Administrator\cxcess.exe C:\Documents and Settings\Administrator\autorun.inf C:\Documents and Settings\Administrator\toimodx.exe C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\Administrator\Moje dokumenty\Moje dokumenty.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe C:\WINDOWS\System32\Administrator's Setting.scr C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-26 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-25 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-24 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-23 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-22 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-20 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-19 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-18 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-17 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-13 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-12 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-11 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-10 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-9 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-8 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-7 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Wykonaj też log z USBFix z opcji Listing najlepiej przy podpięciu zainfekowanego urządzenia przenośnego o ile je posiadasz.
  8. Landuss
    Jeśli jest problem z Gmer masz tam w linku do wyboru program RootRepeal więc spróbuj jego użyć. 1. Z panelu sterowania sekcja dodaj/usuń programy odinstaluj śmieci - Antivirus 2010 / My Global Search Bar / MediaBar / DAEMON Tools Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\12D.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Nastej\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/" FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&q=" [2010-05-17 09:10:54 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\Nastej\Dane aplikacji\Mozilla\Firefox\Profiles\p0zf29ea.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2010-09-17 21:49:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Nastej\Dane aplikacji\Mozilla\Firefox\Profiles\p0zf29ea.default\extensions\DTToolbar@toolbarnet.com [2010-03-28 11:04:34 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Nastej\Dane aplikacji\Mozilla\Firefox\Profiles\p0zf29ea.default\searchplugins\BearShareWebSearch.xml [2010-03-28 11:04:34 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL File not found O3 - HKCU\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL File not found O4 - HKCU..\Run: [cbvcs] C:\WINDOWS\System32\urretnd.exe File not found O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll - File not found O33 - MountPoints2\{912452ae-2086-11df-8e4e-00173187152f}\Shell\AutoRun\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe -- File not found O33 - MountPoints2\{912452ae-2086-11df-8e4e-00173187152f}\Shell\open\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe -- File not found :Files C:\WINDOWS\System32\us?rinit.exe :Reg [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\Program Files\SopCast\adv\SopAdver.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.
  9. Landuss
    Gmer i mbr nadal nie są czyste choć sam nie wiem już co o tym myśleć. A zobacz jeszcze co powie Kaspersky TDSSKiller
  10. Landuss
    Wypróbuj narzędzie TestDisk. Tutaj masz też pomocny poradnik po polsku: KLIK
  11. Landuss
    Bez formata damy rade. Wklej tylko wymagane logi z OTL + GMER według naszych zasad: KLIK
  12. Landuss
    Tak jak pisałem to miało na celu usunięcie strumienia, który był "pod" folderem system32, tak to można tłumaczyć. Jak to wygląda pokazałem ci we wcześniejszym poście. Nie jest pewnym czy to było szkodliwe bo nie zawsze strumień jest szkodliwy, ale budził podejrzenie. Rozumiem, że problem został rozwiązany więc temat pozwolę sobie przymknąć. W razie czego daj znać na PW to otworze.
  13. Landuss
    W logach brak śladu aktywnej infekcji, jedynie jest ślad infekcji z urządzenia przenośnego: O33 - MountPoints2\{95e534fd-ae93-11df-b5ea-00138fd9719f}\Shell\aUtoplaY\cOmmaNd - "" = K:\xufl.cmd -- File not found O33 - MountPoints2\{95e534fd-ae93-11df-b5ea-00138fd9719f}\Shell\AutoRun\command - "" = K:\xufl.cmd -- File not found O33 - MountPoints2\{95e534fd-ae93-11df-b5ea-00138fd9719f}\Shell\ExPlorE\ComMand - "" = K:\xufl.cmd -- File not found O33 - MountPoints2\{95e534fd-ae93-11df-b5ea-00138fd9719f}\Shell\oPEn\cOmmand - "" = K:\xufl.cmd -- File not found To skorygujesz wchodząc w start >>> uruchom >>> regedit i usuwając taki klucz: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95e534fd-ae93-11df-b5ea-00138fd9719f}
  14. Landuss
    Nie mam pojęcia dlaczego tak się stało, nie powinno. Mimo wszystko użyj FIXMBR.
  15. Landuss
    Rzeczywiście jest infekcja bo w narzędziu mbr.exe jest linia: MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. A więc użyj tego narzędzia z parametrem -f tak jak pisze program. W dalszym etapie wykonaj do OTL taki skrypt: :Files RECYCLER /alldrives :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z Gmer i mbr.exe
  16. Landuss
    W porządku, został jeszcze szczątek i zaraz go usuniesz. 1. Wejdź w start >>> uruchom >>> cmd i wklep polecenie SC DELETE nwjuyri 2. Użyj opcji Sprzątanie z OTL. 3. Wykonaj skan za pomocą Malwarebytes Anti-Malware i wklej raport jeśli coś znajdzie. Oceń czy problem ustąpił.
  17. Landuss
    Pliki to będzie można przywrócić dopiero po ewentualnym całkowitym wyleczeniu. Po logu z Gmer można stwierdzić, że jest tu infekcja wirusem Virut (Vitro), który to właśnie zaraża wszystkie pliki .exe na dysku i na każdej partycji (nie tylko na systemowej). Dwa sposoby walki: 1. Metoda mniej skuteczna, poprzez wielokrotne wykonywanie skanowania odpowiednimi narzędziami - KLIK / KLIK / KLIK 2. Metoda skuteczniejsza i bardziej opłacalna to wypalenie na innym komputerze bootowalnej płytki: KLIK. Zalecam zrobić płytkę od Kasperskyego lub Dr.Weba i z jej poziomu przeskanować cały system wielokrotnie aż do niewykrycia niczego. Oba sposoby nie gwarantują sukcesu i niestety często kończy się na formatowaniu całego dysku.
  18. Landuss
    W logach nie bardzo widzę co mogło by generować taki efekt. Nie mam się do czego przyczepić pod kątem aktywnej infekcji bo tej nie widać. Jedyne co mnie zastanawia to podejrzany podpięty strumień pod folder system32: @Alternate Data Stream - 12 bytes -> C:\WINDOWS\system32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} Na próbę usuń to np. za pomocą narzędzia Streams. Umieść je w folderze C:\WINDOWS. Następnie Start > Uruchom > cmd i wklep polecenie: streams -d C:\WINDOWS\system32 Idąc dalej kwestia twojego zabezpieczenia AVG + Comodo. Rozumiem, że Comodo jest zainstalowany jako sam firewall bez antywirusa? W innym wypadku powieliłbyś dwa antywirusy a to jest niewskazane. Sprawdziłbym jak się zachowuje system bez oprogramowania zabezpieczającego. Czy na tym okienku jest coś napisane? Pytanie też czy w trybie awaryjnym może występuje ten problem?
  19. Landuss
    Folder rzeczywiście jest podejrzany, zaś ja bardziej skupiłbym się na poniższym prawdopodobnie szkodliwym sterowniku: [2010-10-24 21:36:47 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\lpbei.sys Możliwe, że to jest sprawca "mulenia" i odtwórca podejrzanego folderu. Wszystko to załączam na kasacje 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu) :Files C:\Program Files\Temporary C:\WINDOWS\System32\drivers\lpbei.sys :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.
  20. Landuss
    W takim razie logów już nie męczymy bo nie tędy droga. To nie jest wina infekcji i temat zostaje przeniesiony. Wykonaj teraz poniższy krok z cytatu @picasso: O wynikach poinformuj.
  21. Landuss
    To nie było nic groźnego i wygląda, że już jest dobrze. Prosze użyć opcji Sprzątanie z OTL. Nie musisz go zmieniać natomiast zaktualizuj do najnowszej wersji Avast. Antywirus nie zawsze ci wszystko wykryje i trzeba się z tym pogodzić. Zaktualizuj też Firefoxa, Javę i Adobe Reader - szczegóły tutaj: INSTRUKCJE.
  22. Landuss
    1. Uzupełnij brakujący log z GMER lub w razie problemów Root Repeal ponieważ OTL nie widzi infekcji rootkit. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1957994488-1960408961-725345543-1003..\Run: [] File not found O4 - HKU\S-1-5-21-1957994488-1960408961-725345543-1003..\Run: [Windows Update] C:\Documents and Settings\Poczta561\Szablony\svvhost.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.
  23. Landuss
    Archiwa nie są infekowane. Ode mnie to by było na tyle, ale obserwuj zachowanie systemu. Na koniec jeszcze ważna uwaga abyś zaktualizował oprogramowanie - instalacja Service Pack 2 + Internet Explorer 8 i aktualizacja Adobe Reader. Szczegóły: INSTRUKCJE.
  24. Landuss
    Rozumiem, że te fotki pokazują wynik jakiegoś skanera? Modyfikacja pliku .EXE może sugerować nadal Sality. Zalecałbym dalsze skany ale wszystkich partycji, nie tylko systemowej.
  25. Landuss
    Wykonaj nowe logi poprzez opcję Skanuj.
×
×
  • Dodaj nową pozycję...