-
Postów
6 919 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez Landuss
-
To musisz sprecyzować dokładnie co to są za komunikaty i o jakiej treści. Gmera oczywiście wykonać musisz. Pamiętaj tylko o wyłączeniu emulatorów bo obecnie masz aktywne. Poza tym możesz wykonać też log z MBRCheck
-
1. Zacznij od wykonania dwóch logów z OTL 2. Wykonaj log z MBRCheck
-
Nie bardzo jest tutaj czego szukać bo logi nie wykazują infekcji a przyczyny trzeba szukać gdzie indziej. 1. Sprawdzić jak się zachowuje system po deaktywacji lub nawet odinstlowaniu Nortona. 2. Za pomocą narzędzia Autoruns wyłącz trwale poniższe wpisy w karcie Logon: O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Camera Assistant Software] C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe (Chicony) O4 - HKLM..\Run: [FingerPrintNotifer] C:\Program Files\TrueSuite Access Manager\FpNotifier.exe (AuthenTec, Inc) O4 - HKLM..\Run: [Google EULA Launcher] c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe ( ) O4 - HKLM..\Run: [PwdBank] C:\Program Files\TrueSuite Access Manager\PwdBank.exe (Arachnoid Biometrics Identification Group) O4 - HKLM..\Run: [smoothView] C:\Program Files\Toshiba\SmoothView\SmoothView.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [sMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe (SAMSUNG ELECTRONICS) O4 - HKLM..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (TOSHIBA) O4 - HKLM..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe (Toshiba) O4 - HKLM..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe (Toshiba Europe GmbH) O4 - HKU\S-1-5-21-2121021179-2380161755-872617078-1000..\Run: [TOSCDSPD] C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA) O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe) O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe) W karcie Task Scheduler usuń poniższe niepotrzebne zaplanowane zadania od Google: [2010-09-12 15:07:05 | 000,001,036 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2010-09-12 15:01:11 | 000,001,062 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2121021179-2380161755-872617078-1000UA.job [2010-08-29 11:25:51 | 000,001,010 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2121021179-2380161755-872617078-1000Core.job 3. Wykonaj defragmentacje dysku za pomocą Puran Defrag Free Edition Temat zostaje przeniesiony do działu systemowego.
-
Nie da się uruchomić programów antywirusowych.
Landuss odpowiedział(a) na yakobo temat w Dział pomocy doraźnej
Wygląda na to, że wszystko się powiodło ale w najbliższym czasie obserwuj czy infekcja znowu się nie uaktywniła. 1. Użyj opcji Sprzątanie z OTL. 2. Koniecznie zaktualizuj IE do wersji Internet Explorer 8. Nawet jeśli nie korzystasz IE ma być w najnowszej wersji co zwiększa bezpieczeństwo. -
Nie da się uruchomić programów antywirusowych.
Landuss odpowiedział(a) na yakobo temat w Dział pomocy doraźnej
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives :Services asc3360pr :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. -
W logach właściwie nie widać aktywnej infekcji. Jedyne co zastanawia to nieznane mi zaplanowane zadanie: [2010-09-04 13:32:23 | 000,000,310 | -HS- | M] () -- C:\WINDOWS\tasks\jpeljmsor.job Przeskanuj ten plik na skanerze Virus Total i daj znać jakie są wyniki. Plik jest ukryty dlatego przestaw sobie opcje widoku w panelu sterowania na pokazywanie ukrytych + systemowych plików i folderów. Poza tym masz bardzo mało wolnego miejsca na partycji "E": Drive E: | 74,83 Gb Total Space | 0,18 Gb Free Space | 0,24% Space Free | Partition Type: NTFS To też może mieć niepożądany wpływ na system. W logach widzę też oprogramowanie IObit, którego tutaj nie polecamy dlatego, że twórcy kradli sygnatury właśnie Malwarebytes. Radzę to odinstalować za pomocą BitRemover. Zobacz czy coś się zmieni po jego odinstalowaniu.
-
Nie da się uruchomić programów antywirusowych.
Landuss odpowiedział(a) na yakobo temat w Dział pomocy doraźnej
Niestety ale sytuacja jest trudna. ComboFix usuwał taką usługe: ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ASC3360PR -------\Service_asc3360pr -------\Legacy_ASC3360PR -------\Service_asc3360pr To sugeruje wirusa Sality, który infekuje wszystkie pliki .EXE na dysku. Skoro po formacie nadal jest to albo nie sformatowałeś wszystkich partycji, albo gdzieś zostawiłeś zalążek wirusa i tym samym ponownie zaogniłeś infekcje. Poczytaj sobie temat na naszym forum o tych infekcjach: KLIK W twoim przypadku najlepiej po pierwsze użyć narzędzia Sality Killer, a po drugie lepszym sposobem jest po prostu skanowanie z zewnątrz (nie spod działającego Windowsa) poprzez zrobienie na innym zdrowym komputerze bootowalnej płytki: KLIK. Proponuję wykonać płytkę Dr.Web LiveCD lub Kaspersky Rescue Disk. Dopiero po tym możesz zgłosić się tutaj z nowymi logami z Gmera i OTL. -
Problem z dyskiem i opcją ukryte pliki
Landuss odpowiedział(a) na paramo2 temat w Dział pomocy doraźnej
To by było na tyle z usuwania i problem powinien zniknąć. 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia. 3. Zaktualizuj IE do wersji Internet Explorer 8. Nawet jeśli nie korzystasz powinna być w najnowszej wersji. -
Problem z dyskiem i opcją ukryte pliki
Landuss odpowiedział(a) na paramo2 temat w Dział pomocy doraźnej
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives RECYCLER /alldrives vgyn6ewc.exe /alldrives cgaqyi.exe /alldrives utcddeq.exe /alldrives i8ikdjwt.exe /alldrives Recycled /alldrives 9rfpp.exe /alldrives bbjl2g.exe /alldrives affi8l.exe /alldrives mi9al8rs.exe /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania opcja dodaj/usuń programy odinstaluj niepotrzebny ZoneAlarm Toolbar. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. -
Problem z dyskiem i opcją ukryte pliki
Landuss odpowiedział(a) na paramo2 temat w Dział pomocy doraźnej
To nic innego jak infekcja z mediów przenośnych np. z pendrive. Nie wykonałeś drugiego loga z OTL - extras.txt. Podczas skanu opcja Rejestr - skan dodatkowy ma być zaznaczona na Użyj filtrowania. Uzyskaj ten log i wklej go na forum. Poza tym najlepiej przy podpiętych wszelkich urządzeniach przenośnych uruchom USBFix z opcji Listing i pokaż wynikowy raport. -
Wszystkie strony antywirusów poblokowane
Landuss odpowiedział(a) na mikus3 temat w Dział pomocy doraźnej
Teraz jest już dobrze i tylko końcówka do zrobienia. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Krzysiek\Pulpit\ComboFix.exe" /uninstall 2. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner 3. Dokonaj obowiązkowej aktualizacji systemu - Service Pack 3 -
Logi nie wykazują aktywnej infekcji. Możesz ewentualnie sprawdzić co pokaże Virus Total, ale moim zdaniem to nie wygląda na infekcję. Tym bardziej jeśli łatka była pobierana z zaufanego źródła.
-
Wszystkie strony antywirusów poblokowane
Landuss odpowiedział(a) na mikus3 temat w Dział pomocy doraźnej
Skrypt jednak nie do końca wykonany bo nie poszedł sterownik. Powtórz skrypt z takątreścią: Driver:: xp sgoybcrmn Wynikowy log do oceny. -
Wszystkie strony antywirusów poblokowane
Landuss odpowiedział(a) na mikus3 temat w Dział pomocy doraźnej
Wklej do notatnika taki tekst: File:: c:\windows\system32\zijdj.dll Driver:: xp sgoybcrmn NetSvc:: sgoybcrmn Registry:: [-HKLM\~\startupfolder\C:^Documents and Settings^All Users^My applications^Windows Defender Apps Control.exe] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "6681:TCP"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Wklejasz wynikowy log z ComboFix. -
Nie działa opcja "Pokaż ukryte pliki i foldery".
Landuss odpowiedział(a) na Przemek temat w Dział pomocy doraźnej
Wszystko wygląda w porządku. Wykonaj poniższe zalecenia: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\panJankowski\Pulpit\ComboFix.exe" /uninstall 2. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner 3. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia. 4. Dokonaj obowiązkowej aktualizacji Service Pack 3 + Internet Explorer 8: INSTRUKCJE. -
Nie działa opcja "Pokaż ukryte pliki i foldery".
Landuss odpowiedział(a) na Przemek temat w Dział pomocy doraźnej
1. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. 2. Wykonaj log z GMER -
Infekują mi się pendrive plikiem drogeras.exe
Landuss odpowiedział(a) na maxaga temat w Dział pomocy doraźnej
Operacja pomyślnie wykonana. Kroki końcowe: 1. Wejdź w start >>> uruchom >>> regedit i skasuj z prawokliku ten klucz: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4249f6f0-5227-11df-ba59-028037ec0200} 2. Wyzeruj stan przywracania systemu: KLIK 3. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia. 4. Możesz wykonać skan za pomocą Malwarebytes Anti-Malware . -
Infekcja Win32/Kryptik.ENF, Win32/PSW.Agent.NPQ itp
Landuss odpowiedział(a) na arekk temat w Dział pomocy doraźnej
W tym wypadku zacznij od zastosowania ComboFix i wklej wynikowy log. -
Infekują mi się pendrive plikiem drogeras.exe
Landuss odpowiedział(a) na maxaga temat w Dział pomocy doraźnej
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\administrator.AXPLNT01\Dane aplikacji\gnja.exe :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. -
Zastosuj się do zasad działu i wklej wymagane logi: KLIK. ComboFixa też dołącz skoro go używałeś.
-
Logi nie wykazują żadnej infekcji więc możesz być spokojny. To wygląda na fałszywy alarm, a kwarantanne możesz sobie opróżnić jeśli ci przeszkadza.
-
Operacja pomyślnie wykonana. Na koniec pare rzeczy jeszcze do zrobienia. 1. W menu Start w polu szukania wpisz Uruchom a następnie wklej i wywołaj polecenie "e:\users\Damian\Downloads\ComboFix.exe" /uninstall 2. Wykonaj skan za pomocą Malwarebytes Anti-Malware 3. Wykonaj obowiązkową aktualizację Java: INSTRUKCJE.
-
1. Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Dwuklik w wartość Startup i zastąp obecny tam ciąg prawidłową ścieżką Windows 7: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2. Wklej do notatnika taki tekst: File:: C:\Program Files\My applications\Windows Live Control.exe C:\Program Files\My applications\Windows Defender Apps Control.exe e:\users\Damian\AppData\Roaming\TuneUp Software\TuneUp Utilities\StartUp Manager\Wyłącz obiekty\win.exe Folder:: c:\program files\My applications Registry:: [-HKLM\~\startupfolder\C:^Program Files^My applications^W] [-HKLM\~\startupfolder\C:^Program Files^My applications^Windows Defender Apps Contro] Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Wklejasz nowy log z ComboFix, Gmer i OTL.
-
1. Zastosuj ComboFix i wklej z niego log. 2. Wykonaj log z Gmer na ustawieniu - Rootkit >>> zaznaczyć tylko Usługi >>> zaznaczyć Pokaż wszystko >>> Szukaj >>> Zapisz
-
Wszystkie strony antywirusów poblokowane
Landuss odpowiedział(a) na mikus3 temat w Dział pomocy doraźnej
Na początek radzę poczytać i się zastosować: https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/ https://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/