Landuss

Czy to nadal aktualne? Właśnie skrypt miał usunąć trojana. Jeśli tak to podaj dokładną lokalizacje i nazwe obiektu wykrywanego. Wklej też dla pewności jeszcze log z MBRCheck

Ja tu nie widze infekcji, pomijam, że log z OTL nadal nie wykonany na takich warunkach jakich napisałem. Jest drobne spyware, ale to nie wplywa na problem i na razie to zostawimy. "Heur" to często określenie na infekcje w plikach wykonywalnych. Przeskanuj komputer z zewnątrz za pomocą płytki Kaspersky Rescue Disk i poinformuj o wynikach. Dobrze by było też napisać w jakim pliku i lokalizacji był wykryty wirus.

W takim razie spróbuj tego narzędzia: KLIK Infekcja pomyślnie usunięta i nic więcej tu nie ma. Wykonasz jeszcze poniższe zalecenia. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Admin\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Wykonaj obowiązkową aktualizacje Service Pack 3 + Internet Explorer 8

Wiem, że widać. To może przez OTL pójdzie. Wklej taki skrypt w OTL: :OTL O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 85.255.115.67 192.168.0.1 :Commands [emptytemp] [emptyflash] Klikasz w Wykonaj skrypt. Nowe logi do oceny.

Prosze wkleić raport z MBAM.

ComboFix często wyłącza funkcję autostartu. Możesz spróbować to przestawić za pomocą Autoplay Repair Teraz jednak usuwanie infekcji, którą też posiadasz. Wklej do notatnika ten tekst: NetSvc:: hydsz Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hydsz] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "6610:TCP"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Wklejasz wynikowy log z ComboFix.

Infekcji czynnej nie widać, są szczątki które usuniemy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKU\S-1-5-21-1993962763-651377827-725345543-1006\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\.DEFAULT..\Run: [] C:\Documents and Settings\LocalService\.exe File not found O4 - HKU\S-1-5-18..\Run: [] C:\Documents and Settings\LocalService\.exe File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Wklejasz log z usuwania. 2. Sprawdź ESETa czy to aby on nie powoduje zakłócenia w funkcjonowaniu sieci. 3. Wklej do notatnika taki tekst: netsh winsock reset netsh int ip reset ipconfig /flushdns PAUSE Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Zdaj relacje czy coś się po tych działaniach poprawiło.

Logi nie wykonane właściwie. OTL na złych ustawieniach i nie z naszego forum wziętych. Wszystkie opcje w OTL masz zaznaczyć na Użyj filtrowania i wtedy wykonać log. Poza tym prosze dać też koniecznie log z GMER lub w razie problemów z RootRepeal

Dałeś dwa razy ten sam log otl.txt, a powinien być też ten drugi. extras.txt więc to uzupełnij. Przechodzimy do usuwania infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [GEST] File not found O4 - HKLM..\Run: [iE] C:\WINDOWS\system32\iE.exe () O4 - HKLM..\Run: [lE] C:\WINDOWS\System32\lE.exe File not found O4 - HKU\S-1-5-21-1177238915-308236825-1417001333-1004..\Run: [DriverScanner] D:\Program Files\Aplikacje\DriverScanner\launcher.exe File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Czynności kończące działania pozostały. 1. Użyj opcji Sprzątanie z OTL. 2. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\memek\Pulpit\ComboFix.exe" /uninstall 3. W notatniku systemowym sporządź taki tekst: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-1417001333-117609710-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks] "{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"=- [-HKEY_USERS\S-1-5-21-1417001333-117609710-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}] [-HKEY_USERS\S-1-5-21-1417001333-117609710-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 4. Usuń z dysku foldery: - C:\Program Files\MyAshampoo - C:\Documents and Settings\memek\Ustawienia lokalne\Dane aplikacji\Conduit

To właśnie taka infekcja, która się tym charakteryzuje dlatego kazałem ci to wykonać. Sytuacja uległa poprawie. 1. Z panelu sterowania dodaj/usuń programy odinstaluj śmieci - Yahoo! Toolbar / Winamp Toolbar / Ant.com Toolbar / MyAshampoo Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\memek\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1417001333-117609710-725345543-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (no name) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - No CLSID value found. O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found. O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O3 - HKU\S-1-5-21-1417001333-117609710-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Mogło to być z pendrive. Możesz pokazać logi z laptopa w tym temacie. Pozostawimy otwarty.

ComboFixa usuwać jeszcze nie powinieneś bo właśnie będziemy z niego korzystać gdyż jest to tutaj wskazane. Prosze pobierz go na nowo na pulpit. 1. Wejdź w start >>> uruchom >>> devmgmt.msc i z listy urządzeń usuń te które mają jakiś pytajnik lub wykrzyknik (o ile takie będą) 2. Wklej do notatnika ten tekst: RenV:: c:\program files\Camera Assistant Software for Toshiba\traybar .exe c:\program files\CardDetector\HUAWEI160\carddetector .exe c:\program files\Common Files\InstallShield\UpdateService\issch .exe c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe c:\program files\CyberLink\PowerDVD\pdvdserv .exe c:\program files\CyberLink\PowerDVD\Language\language .exe c:\program files\CyberLink\Shared files\brs .exe c:\program files\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe c:\program files\HP\HP Software Update\hpwuschd2 .exe c:\program files\Java\jre6\bin\jusched .exe c:\program files\OrangeBS\BEWInternet-PL-IEW\SessionManager\sessionmanager .exe c:\program files\Synaptics\SynTP\syntpenh .exe c:\program files\TOSHIBA\TOSHIBA Applet\thotkey .exe c:\program files\Winamp\winampa .exe c:\windows\system32\ctfmon .exe c:\windows\system32\hkcmd .exe c:\windows\system32\igfxpers .exe c:\windows\system32\igfxtray .exe c:\windows\system32\tpsmain .exe File:: c:\windows\system32\myfdtdtp.dll c:\windows\system32\dllcache\lbrtfdc.sys c:\windows\system32\drivers\lbrtfdc.sys c:\windows\system32\dllcache\i2omgmt.sys c:\windows\system32\drivers\i2omgmt.sys c:\windows\system32\dllcache\changer.sys c:\documents and settings\NetworkService\Dane aplikacji\yopgrf.dat c:\documents and settings\memek\Dane aplikacji\yopgrf.dat Folder:: c:\program files\Conduit c:\documents and settings\memek\Ustawienia lokalne\Dane aplikacji\Conduit Driver:: nasdopyiv qpyde yesinuwb NetSvc:: yesinuwb nasdopyiv qpyde Registry:: [HKEY_USERS\S-1-5-21-1417001333-117609710-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Wklejasz nowe logi z ComboFix, OTL i Gmer.

Nie masz aktywnej infekcji. Wejdź w start >>> uruchom >>> cmd i wklej kolejno: SC DELETE njtifoe SC DELETE zqshg W dalszej kolejności możesz pozbyć się Hamachi. Sprawdzić też należy czy to aby NOD nie powoduje tego spowolnienia. Sprawdź też jak się zachowuje komputer w trybie awaryjnym.

Usuwanie pomyślnie wykonane. 1. Użyj opcji Sprzątanie z OTL. 2. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\user\Pulpit\ComboFix.exe" /uninstall 3. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner To wszystko i problem powinien minąć.

Nic tutaj nie ma, jest czysto.

Pendrive możesz podpiąć, ale nie wchodź na niego. Zamiast tego USBFix z opcji Listing i pokaż wynikowy raport.

To teraz zapytam czy problem jest nadal aktualny i czy udało się to coś usunąć? W logach ani śladu aktywnej infekcji.

Ale tutaj masz wszystko podane jak na dłoni. Dałem ci linki i wszystko masz opisane. Nie trzeba nic tłumaczyć wystarczy trochę chęci zrozumienia.

Wklej do notatnika ten tekst: File:: c:\documents and settings\LocalService\Dane aplikacji\yopgrf.dat Driver:: mndul Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Nowy log do oceny. Wykonaj też dla pewności nowy log z Gmer.

Ten konkretny plik to sterownik samego Gmera właśnie. Tym sie nie należy przejmować, to taki program, że lubi się pluć. Infekcję masz i w tym konkretnym przypadku zastosuj ComboFix i wklej wynikowy log.

Sytuacja wróciła do początku. Dodatkowo pojawił się kolejny obiekt w procesach: [color=#E56717]========== Processes (SafeList) ==========[/color] PRC - [2010-10-04 15:33:09 | 000,032,768 | ---- | M] () -- C:\WINDOWS\Temp\VRT3.tmp To może zwiastować, że jest tutaj infekcja w plikach wykonywalnych .exe. Zresztą log z RootRepeal też budził podejrzenia. Do poczytania temat z forum: KLIK. U ciebie prawdopodobnie to wariant Virut więc zastosuj się do zaleceń i przeskanuj komputer odpowiednim narzędziem. Bardziej polecam jednak sposób drugi czyli wykonanie na innym komputerze specjalnej płytki i skan komputera z jej poziomu: KLIK. Po tych zabiegach dopiero zgłoś się z nowymi logami z OTL i Gmer lub RootRepeal.

W logach nie widać żadnej infekcji i temat migruje do działu Windows 7. Jeżeli coś można tutaj podejrzewać to pierwszym jest oprogramowanie zabezpieczające w twoim wypadku Panda Internet Security. Na próbe odinstaluj i zobacz jak się zachowa system.

Wszystko wygląda w porządku. Wykonaj jeszcze poniższe zalecenia. 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix. 3. Wykonaj obowiązkowe aktualizacje. System jest goły i nie ma żadnego Service Packa, a do Visty mamy już dwa wydania. Musisz je montować jeden za drugim. Również IE zaktualizujesz do najnowszej wersji. - Vista Service Pack 1 - Vista Service Pack 2 - Internet Explorer 8