-
Postów
6 919 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Landuss
-
-
-
Nie bardzo jest tutaj czego szukać bo logi nie wykazują infekcji a przyczyny trzeba szukać gdzie indziej.
1. Sprawdzić jak się zachowuje system po deaktywacji lub nawet odinstlowaniu Nortona.
2. Za pomocą narzędzia Autoruns wyłącz trwale poniższe wpisy w karcie Logon:
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Camera Assistant Software] C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe (Chicony)
O4 - HKLM..\Run: [FingerPrintNotifer] C:\Program Files\TrueSuite Access Manager\FpNotifier.exe (AuthenTec, Inc)
O4 - HKLM..\Run: [Google EULA Launcher] c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe ( )
O4 - HKLM..\Run: [PwdBank] C:\Program Files\TrueSuite Access Manager\PwdBank.exe (Arachnoid Biometrics Identification Group)
O4 - HKLM..\Run: [smoothView] C:\Program Files\Toshiba\SmoothView\SmoothView.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [sMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe (SAMSUNG ELECTRONICS)
O4 - HKLM..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (TOSHIBA)
O4 - HKLM..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe (Toshiba)
O4 - HKLM..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe (Toshiba Europe GmbH)
O4 - HKU\S-1-5-21-2121021179-2380161755-872617078-1000..\Run: [TOSCDSPD] C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)
W karcie Task Scheduler usuń poniższe niepotrzebne zaplanowane zadania od Google:
[2010-09-12 15:07:05 | 000,001,036 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010-09-12 15:01:11 | 000,001,062 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2121021179-2380161755-872617078-1000UA.job
[2010-08-29 11:25:51 | 000,001,010 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2121021179-2380161755-872617078-1000Core.job
3. Wykonaj defragmentacje dysku za pomocą Puran Defrag Free Edition
Temat zostaje przeniesiony do działu systemowego.
-
Wygląda na to, że wszystko się powiodło ale w najbliższym czasie obserwuj czy infekcja znowu się nie uaktywniła.
1. Użyj opcji Sprzątanie z OTL.
2. Koniecznie zaktualizuj IE do wersji Internet Explorer 8. Nawet jeśli nie korzystasz IE ma być w najnowszej wersji co zwiększa bezpieczeństwo.
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:Files RECYCLER /alldrives :Services asc3360pr :Commands [emptyflash] [emptytemp] [clearallrestorepoints]
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.
-
W logach właściwie nie widać aktywnej infekcji. Jedyne co zastanawia to nieznane mi zaplanowane zadanie:
[2010-09-04 13:32:23 | 000,000,310 | -HS- | M] () -- C:\WINDOWS\tasks\jpeljmsor.job
Przeskanuj ten plik na skanerze Virus Total i daj znać jakie są wyniki. Plik jest ukryty dlatego przestaw sobie opcje widoku w panelu sterowania na pokazywanie ukrytych + systemowych plików i folderów.
Poza tym masz bardzo mało wolnego miejsca na partycji "E":
Drive E: | 74,83 Gb Total Space | 0,18 Gb Free Space | 0,24% Space Free | Partition Type: NTFS
To też może mieć niepożądany wpływ na system.
W logach widzę też oprogramowanie IObit, którego tutaj nie polecamy dlatego, że twórcy kradli sygnatury właśnie Malwarebytes. Radzę to odinstalować za pomocą BitRemover. Zobacz czy coś się zmieni po jego odinstalowaniu.
-
Niestety ale sytuacja jest trudna. ComboFix usuwał taką usługe:
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
To sugeruje wirusa Sality, który infekuje wszystkie pliki .EXE na dysku. Skoro po formacie nadal jest to albo nie sformatowałeś wszystkich partycji, albo gdzieś zostawiłeś zalążek wirusa i tym samym ponownie zaogniłeś infekcje. Poczytaj sobie temat na naszym forum o tych infekcjach: KLIK
W twoim przypadku najlepiej po pierwsze użyć narzędzia Sality Killer, a po drugie lepszym sposobem jest po prostu skanowanie z zewnątrz (nie spod działającego Windowsa) poprzez zrobienie na innym zdrowym komputerze bootowalnej płytki: KLIK. Proponuję wykonać płytkę Dr.Web LiveCD lub Kaspersky Rescue Disk.
Dopiero po tym możesz zgłosić się tutaj z nowymi logami z Gmera i OTL.
-
To by było na tyle z usuwania i problem powinien zniknąć.
1. Użyj opcji Sprzątanie z OTL.
2. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia.
3. Zaktualizuj IE do wersji Internet Explorer 8. Nawet jeśli nie korzystasz powinna być w najnowszej wersji.
-
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:Files autorun.inf /alldrives RECYCLER /alldrives vgyn6ewc.exe /alldrives cgaqyi.exe /alldrives utcddeq.exe /alldrives i8ikdjwt.exe /alldrives Recycled /alldrives 9rfpp.exe /alldrives bbjl2g.exe /alldrives affi8l.exe /alldrives mi9al8rs.exe /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints]
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Z panelu sterowania opcja dodaj/usuń programy odinstaluj niepotrzebny ZoneAlarm Toolbar.
3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.
-
To nic innego jak infekcja z mediów przenośnych np. z pendrive. Nie wykonałeś drugiego loga z OTL - extras.txt. Podczas skanu opcja Rejestr - skan dodatkowy ma być zaznaczona na Użyj filtrowania. Uzyskaj ten log i wklej go na forum.
Poza tym najlepiej przy podpiętych wszelkich urządzeniach przenośnych uruchom USBFix z opcji Listing i pokaż wynikowy raport.
-
Teraz jest już dobrze i tylko końcówka do zrobienia.
1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Krzysiek\Pulpit\ComboFix.exe" /uninstall
2. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner
3. Dokonaj obowiązkowej aktualizacji systemu - Service Pack 3
-
Logi nie wykazują aktywnej infekcji. Możesz ewentualnie sprawdzić co pokaże Virus Total, ale moim zdaniem to nie wygląda na infekcję. Tym bardziej jeśli łatka była pobierana z zaufanego źródła.
-
Skrypt jednak nie do końca wykonany bo nie poszedł sterownik.
Powtórz skrypt z takątreścią:
Driver:: xp sgoybcrmn
Wynikowy log do oceny.
-
Wklej do notatnika taki tekst:
File:: c:\windows\system32\zijdj.dll Driver:: xp sgoybcrmn NetSvc:: sgoybcrmn Registry:: [-HKLM\~\startupfolder\C:^Documents and Settings^All Users^My applications^Windows Defender Apps Control.exe] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "6681:TCP"=-
Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:
Wklejasz wynikowy log z ComboFix.
-
Wszystko wygląda w porządku. Wykonaj poniższe zalecenia:
1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\panJankowski\Pulpit\ComboFix.exe" /uninstall
2. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner
3. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia.
4. Dokonaj obowiązkowej aktualizacji Service Pack 3 + Internet Explorer 8: INSTRUKCJE.
-
-
Operacja pomyślnie wykonana. Kroki końcowe:
1. Wejdź w start >>> uruchom >>> regedit i skasuj z prawokliku ten klucz:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4249f6f0-5227-11df-ba59-028037ec0200}
2. Wyzeruj stan przywracania systemu: KLIK
3. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia.
4. Możesz wykonać skan za pomocą Malwarebytes Anti-Malware
.
-
W tym wypadku zacznij od zastosowania ComboFix i wklej wynikowy log.
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:Files C:\Documents and Settings\administrator.AXPLNT01\Dane aplikacji\gnja.exe :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp]
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.
-
Zastosuj się do zasad działu i wklej wymagane logi: KLIK. ComboFixa też dołącz skoro go używałeś.
-
Logi nie wykazują żadnej infekcji więc możesz być spokojny. To wygląda na fałszywy alarm, a kwarantanne możesz sobie opróżnić jeśli ci przeszkadza.
-
Operacja pomyślnie wykonana. Na koniec pare rzeczy jeszcze do zrobienia.
1. W menu Start w polu szukania wpisz Uruchom a następnie wklej i wywołaj polecenie "e:\users\Damian\Downloads\ComboFix.exe" /uninstall
2. Wykonaj skan za pomocą Malwarebytes Anti-Malware
3. Wykonaj obowiązkową aktualizację Java: INSTRUKCJE.
-
1. Start > w polu szukania wpisz regedit > wejdź do klucza:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Dwuklik w wartość Startup i zastąp obecny tam ciąg prawidłową ścieżką Windows 7:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2. Wklej do notatnika taki tekst:
File:: C:\Program Files\My applications\Windows Live Control.exe C:\Program Files\My applications\Windows Defender Apps Control.exe e:\users\Damian\AppData\Roaming\TuneUp Software\TuneUp Utilities\StartUp Manager\Wyłącz obiekty\win.exe Folder:: c:\program files\My applications Registry:: [-HKLM\~\startupfolder\C:^Program Files^My applications^W] [-HKLM\~\startupfolder\C:^Program Files^My applications^Windows Defender Apps Contro]
Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:
3. Wklejasz nowy log z ComboFix, Gmer i OTL.
-
1. Zastosuj ComboFix i wklej z niego log.
2. Wykonaj log z Gmer na ustawieniu - Rootkit >>> zaznaczyć tylko Usługi >>> zaznaczyć Pokaż wszystko >>> Szukaj >>> Zapisz
-
Problemy z internetem.
w Dział pomocy doraźnej
Opublikowano
To musisz sprecyzować dokładnie co to są za komunikaty i o jakiej treści.
Gmera oczywiście wykonać musisz. Pamiętaj tylko o wyłączeniu emulatorów bo obecnie masz aktywne. Poza tym możesz wykonać też log z MBRCheck