-
Postów
6 919 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez Landuss
-
Czy to może być fałszywy alarm Aviry
Landuss odpowiedział(a) na shiris temat w Dział pomocy doraźnej
To jest mniej istotny alarm Aviry. Obiekt w cache przeglądarki a więc bez szczególnego znaczenia. Takie rzeczy są i będą. Raz ci chyba już na starych śmieciach wyjaśniałem o tym, że można cache od czasu do czasu czyścić. -
Nic tu więcej nie widać na usuwanie. 1. Użyj opcji Sprzątanie (CleanUp) z OTL. 2. Start >>> w polu szukania wpisz regedit i skasuj z prawokliku ten klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5823DAE2-76F5-3173-BF59-FEE2D2B0056A} 3. Zaktualizuj przeglądarkę Firefox: INSTRUKCJE. .
-
Pierwsza sprawa to pytanie do ciebie czy ten system jest jakiś sztucznie modyfikowany? Pytam dlatego, że w logu stoją niezgodne sumy kontrolne niektórych plików systemowych + brak niektórych plików. Wyjaśnij to. Wklej do notatnika systemowego taki tekst: File:: c:\windows\Bmylub.exe c:\windows\Bmylua.exe Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Pokazujesz wynikowy log z ComboFix oraz nowe logi z OTL i Gmer.
-
Generalnie w logach nie widać składników wirusa Sality czy innych podobnych, aloe tego wcale nie musi być widać. Do usunięcia są nieznane mi obiekty i teraz to wykonasz. Uruchom OTL i w białym oknie na dole wklej następujący tekst: :Processes killallprocesses :Files C:\Windows\System32\xwr62108.dll C:\Windows\System32\wr62108.dll C:\Windows\System32\xa6893855.exe C:\Windows\System32\xa6892623.exe :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt (Run Script). Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj (Run Scan). Pokazujesz nowy log z OTL.
-
Użyj i naprawdę nie masz się czego obawiać. To jest tu wskazane, a tam gdzie wskazane tam nie ma zagrożenia, że coś się stanie. ComboFix sam zrobi ci Konsole jeśli zgodzisz sie na to w stosownym komunikacie.
-
Zacznij od zastosowania narzędzia ComboFix i wklej z niego log.
-
Minęło kilka dni a więc prosze wykonaj nowy zestaw logów z OTL oraz wykonaj też obowiązkowy log z GMER Jeżeli tu rzeczywiście chodzi infekcja w plikach exe to może nie być to takie proste. Wszystko opisane jest w tym temacie na forum: KLIK
-
Jakie zbędne aplikacje uruchamiają się z systemem?
Landuss odpowiedział(a) na shiris temat w Windows XP
W kwestii optymalizacji usług radzę skorzystać z poradnika na naszym forum: https://www.fixitpc.pl/topic/43-optymalizacja-uslug-w-windows-xp/ -
Wygląda na to, że się udało i nic już więcej w logach nie widać. Zalecenia końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Obowiązkowo zaktualizuj IE do wersji Internet Explorer 8
-
W logach nie ma żadnych śladów aktywnej infekcji więc najprawdopodobniej wygrałeś walkę.
-
Zacznijmy od tego, że jeżeli podmieniamy jakikolwiek plik systemowy to najpierw robimy to do folderu dllcache bo stamtąd system przywraca pliki ponownie na swoje miejsce i jeśli tam jest plik zainfekowany to zostanie on zawsze przywrócony. Tak jest też w twoim przypadku co widać w logach. Spróbuję plik podmienić przez OTL. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [M3000Mnt] File not found O4 - HKU\S-1-5-21-927890586-2322712386-1997616605-1005..\Run: [cdoosoft] C:\DOCUME~1\Paula\USTAWI~1\Temp\herss.exe File not found O20 - HKLM Winlogon: UserInit - (autorun.bat) - C:\WINDOWS\System32\autorun.bat () :Files C:\WINDOWS\System32\dllcache\ndis.sys|C:\Documents and Settings\Paula\Pulpit\ndis.sys /replace C:\WINDOWS\System32\autorun.bat C:\WINDOWS\System32\autorun.vbs C:\WINDOWS\System32\autorun.pif C:\WINDOWS\System32\autorun.bin C:\WINDOWS\System32\autorun.reg C:\WINDOWS\System32\autorun.inf C:\WINDOWS\System32\AUTORUN.FCB C:\WINDOWS\System32\autorun.wsh C:\WINDOWS\System32\autorun.dat C:\WINDOWS\System32\Desktop_.ini C:\WINDOWS\explorer(2).exe C:\WINDOWS\explorer(3).exe C:\WINDOWS\explorer(4).exe C:\WINDOWS\explorer(5).exe C:\WINDOWS\explorer(6).exe C:\WINDOWS\explorer(7).exe C:\WINDOWS\explorer(8).exe C:\autorun.bat C:\autorun.bin C:\autorun.dat C:\autorun.inf C:\autorun.pif C:\autorun.reg C:\autorun.txt C:\autorun.vbs C:\autorun.wsh D:\autorun.bin D:\autorun.dat D:\autorun.pif D:\autorun.bat D:\autorun.txt D:\autorun.wsh D:\autorun.inf D:\autorun.reg D:\autorun.vbs :Services MSK80Service :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z Gmer.
-
Absolutnie nie używaj żadnego ComboFix jeśli cię o to nie poprosimy. Na początek aby sprawdzić czy rzeczywiście ndis.sys jest zainfekowany wykonaj logi z narzędzi OTL + GMER
-
09lf.exe / eyruu.exe / krwyrv0d.exe / autorun.inf
Landuss odpowiedział(a) na Antonek temat w Dział pomocy doraźnej
Wszystko usunięte i nic tu więcej nie ma. Finalnie wykonaj poniższe zalecenia. 1. Użyj opcji Sprzątanie (CleanUp) z OTL. 2. Użyj opcji Vaccinate z USBFix co utworzy zabezpieczenie przeciwko infekcjom z mediów. 3. System jest pozbawiony SP3 i IE8: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Wykonaj obowiązkowe aktualizacje: INSTRUKCJE. . -
Zawieszanie podczas pierwszej akcji typu otworzenie folderu
Landuss odpowiedział(a) na nooldor temat w Windows XP
Absolutnie tu nie ma podstaw do przenoszenia tematu. Wszystkie logi są czyste. To co widzisz w Gmer to nie sugeruje rootkita ponieważ log z MBR wykazał by stosowny komunikat, a ten wyraźnie pokazuje, że MBR jest czysty. Podejrzani na podstawie logów: 1. Bardzo duży plik HOSTS: O1 - Hosts: 14125 more lines... Taki stan rzeczy może wprowadzać problem z systemem. Przestaw sobie opcje widoku w panelu sterowania na pokazywanie ukrytych plików + pokazywanie plików systemowych i odszukaj w lokalizacji C:\WINDOWS\system32\drivers\etc plik HOSTS. Otwórz go w Notatniku i wyedytuj zawartość tak aby została tam tylko linijka 127.0.0.1 localhost. 2. Problematyczne kodeki: "KLiteCodecPack_is1" = K-Lite Mega Codec Pack 6.0.4 To bardzo duża paczka, za duża. Prosze je odinstalować a w zamian zainstalować lekki zestaw bazujący na ffdshow - Combined Community Codec Pack -
09lf.exe / eyruu.exe / krwyrv0d.exe / autorun.inf
Landuss odpowiedział(a) na Antonek temat w Dział pomocy doraźnej
Według loga na dysku "H" pozostał nam jeszcze jeden plik infekcji. Zamontuj kolejny skrypt z podpiętym pendrivem "H": :Processes killallprocesses :Files H:\vi8f.exe Następnie wklejasz log z USBFix. -
09lf.exe / eyruu.exe / krwyrv0d.exe / autorun.inf
Landuss odpowiedział(a) na Antonek temat w Dział pomocy doraźnej
Mogłeś podłączyć od razu obydwa pendrivy. Urządzenia mają być teraz podpięte. Montuj taki skrypt do OTL: :OTL O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-776561741-813497703-1060284298-1003..\Run: [dso32] C:\Documents and Settings\Michalek\Ustawienia lokalne\temp\dsoqq.exe () :Files C:\09lf.exe C:\autorun.inf C:\eyruu.exe C:\krwyrv0d.exe C:\RECYCLER C:\SYSTEM C:\vi8f.exe D:\09lf.exe D:\autorun.inf D:\eyruu.exe D:\krwyrv0d.exe D:\RECYCLER D:\vi8f.exe G:\SYSTEM G:\09lf.exe G:\vi8f.exe G:\autorun.inf H:\autorun.inf H:\SYSTEM :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz nowy log z USBFix z tej samej opcji. -
Nic nie rób. Skany Pandy są do olania. Problem uznaję za rozwiązany i temat zamykam.
-
Wpisy mountpoints wykazują, że było tu podpinane zainfekowane urządzenie przenośne. W celu usunięcia wejdź w start >>> uruchom >>> regedit i skasuj ten klucz: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4f70787-04f3-11de-ae72-00225f0bf101} Poza tym w logach nie ma śladu aktywnej infekcji. Na początek sprawdziłbym jak się zachowuje system po odinstalowaniu Comodo. Temat idzie do działu Windows XP.
-
Ja polecam odinstalowanie poprzedniej wersji.
-
Nic tu nie ma i pytanie czy coś się zmieniło po kasacji powyższego pliku. Nie odpowiedziałeś nic w tej kwestii: To co można tu zrobić na podstawie logów to redukcja ogromnego pliku HOSTS: O1 - Hosts: 9926 more lines... Taki stan wprowadza oprogramowanie Spybot i często sprawia to problemy z systemem. Przestaw sobie opcje widoku w panelu sterowania na pokazywanie ukrytych plików + pokazywanie plików systemowych i odszukaj w lokalizacji C:\WINDOWS\system32\drivers\etc plik HOSTS. Otwórz go w Notatniku i wyedytuj zawartość tak aby została tam tylko linijka 127.0.0.1 localhost. Jeśli po tej operacji ten długi start systemu nadal będzie występował warto srawdzić jaki jest start w stanie czystego rozruchu
-
W logach brak śladów czynnej infekcji więc możesz być spokojny. Jedynie Avast u ciebie wymaga aktualizacji do najnowszej wersji KLIK.
-
Wykasuj ten plik z dysku przez SHIFT + DEL: [2010-06-21 23:03:08 | 000,000,364 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job Poza tym nic tu w logach nie widać jednak nie wkleiłeś jeszcze loga extras.txt z OTL. Podczas skanu powinieneś mieć zaznaczoną opcje Extra Registry W przypadku wykrycia Pandy musisz podać konkretne dane czyli ścieżka dostępu + nazwa pliku.
-
Log z Gmer może tak wyglądać i to nie jest zaskoczenie. W logach brak śladu aktywnej infekcji. Na początek sprawdź co się stanie po odinstalowaniu Hamachi: DRV - [2009-09-23 11:41:58 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi) Wprawdzie ty masz XP a to powoduje raczej problem na systemach Vista / 7, ale warto spróbować. Tu przykład: KLIK Temat wędruje do działu Windows XP.
-
Windows Defender Apps Control i Windows Live Control
Landuss odpowiedział(a) na marzar temat w Dział pomocy doraźnej
Jeśli masz takie coś to usuń. Nie powinno byc problemu. -
Windows Defender Apps Control i Windows Live Control
Landuss odpowiedział(a) na marzar temat w Dział pomocy doraźnej
Infekcja pomyślnie usunięta. Do wykonania kroki końcowe. 1. Zamontuj skrypt przywracający folder omyłkowo usunięty przez ComboFix: DeQuarantine:: C:\Qoobox\Quarantine\C\WINDOWS\SEC Quit:: 2. W Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "c:\users\marzar\Desktop\viry\ComboFix.exe" /uninstall 3. Wykonaj obowiązkowe aktualizacje oprogramowania: "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64 "Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4) Szczegółowe INSTRUKCJE.