-
Postów
20 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Alexoss
-
-
Wykonałem wszystkie instrukcje. Niestety problemy pozostały.
Wyjaśnie dokładniej jaki jest problem:
W przypadku instalowania wtyczki flashplayer z poziomu mozilli otrzymuję komunikat:
Nie zainstalowano żadnej wtyczki
Adobe Flash Player 11.8.800.168 Błąd
Przy ręcznej instalacji, plik instalacyjny znika po uruchomieniu i koniec. Kiedy próbuję jeszcze raz dostaje komunikat:" Może działać tylko jedno wystąpienie tej aplikacji"
WORM/Autorun.cxl był w jakimś keygen-ie który od razu usunąłem.
Poniżej wklejam informacje o ostatnich plikach znalezionych przez avirę. Może to jakoś pomoże.
Type: File
Source: D:\System Volume Information\_restore{E7881DA6-E4E9-4660-AE82-850875AF5BA4}\RP1092\A0250914.exe
Status: Infected
Quarantine object: 513dd662.qua
Restored: NO
Uploaded to Avira: NO
Operating system: Windows XP/VISTA Workstation/Windows 7
Search engine: 8.02.12.132
Virus definition file: 7.11.108.140
Detection: TR/Spy.209408.59
Date/Time: 2013-10-19, 10:17
Type: File
Source: C:\System Volume Information\_restore{E7881DA6-E4E9-4660-AE82-850875AF5BA4}\RP1092\A0250915.exe
Status: Infected
Quarantine object: 513da727.qua
Restored: NO
Uploaded to Avira: NO
Operating system: Windows XP/VISTA Workstation/Windows 7
Search engine: 8.02.12.132
Virus definition file: 7.11.108.140
Detection: WORM/Autorun.cxl
Date/Time: 2013-10-19, 09:14
Type: File
Source: C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\Sun\Java\Deployment\cache\6.0\15\a04360f-75de6d10
Status: Infected
Quarantine object: 1c650c12.qua
Restored: NO
Uploaded to Avira: NO
Operating system: Windows XP/VISTA Workstation/Windows 7
Search engine: 8.02.12.132
Virus definition file: 7.11.108.122
Detection: JAVA/Lamar.zdq.3
Date/Time: 2013-10-19, 03:14
Type: File
Source: C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\Sun\Java\Deployment\cache\6.0\15\a04360f-5d52f29d
Status: Infected
Quarantine object: 7a5243d0.qua
Restored: NO
Uploaded to Avira: NO
Operating system: Windows XP/VISTA Workstation/Windows 7
Search engine: 8.02.12.132
Virus definition file: 7.11.108.122
Detection: JAVA/Lamar.zdq.3
Date/Time: 2013-10-19, 03:14
Type: File
Source: D:\Nowy folder (5)\tyh\trojan.killer.2.0.7.xxx-patch.exe
Status: Infected
Quarantine object: 56e8791c.qua
Restored: NO
Uploaded to Avira: NO
Operating system: Windows XP/VISTA Workstation/Windows 7
Search engine: 8.02.12.132
Virus definition file: 7.11.108.122
Detection: TR/Spy.209408.59
Date/Time: 2013-10-19, 03:14
-
Witam,
No i znowu potrzebuję pomocy.
Generalnie objawy jak w temacie posta. Do tego bardzo wolny start systemu.
Avira i mbam przy skanowaniu coś usuną ale problem zostaje.
Załączam logi wg. instrukcji.
Bardzo proszę o ich sprawdzenie i wskazówki do naprawy systemu.
Alexoss,
-
Wszystko zrobione zgodnie z instrukcją.
Dziękuję za pomoc.
Do zamknięcia.
-
No nie sam oczywiście.
Terminy goniły więc wyjątkowo skorzystałem z pomocy forum dobreprogramy.pl
dokładnie ten wątek:
http://forum.dobreprogramy.pl/ukash-zblokowal-t531893.html?sid=5c04859dc6ce5e7f5d9c6dbe712efcf7
A oto logi z przed chwili, już po wszystkich aktualizacjach:
-
edit Naprawione, temat do zamknięcia
Witam i po raz kolejny prosze o pomoc.
Tym razem mam do naprawy komputer Taty i tak, wiem już, że poziom aktualizacji wtyczek i programów jest bardzo nie ok.
Niemniej podaję logi i bardzo proszę o pomoc w pozbyciu się blokady. Później zajmę się aktualizacją.
-
-
Witam ponownie,
Xgen-a zdaje się usunął mbam, ale dwa kolejne wracają i chciałbym wszystko wyczyścić.
Problemów z systemem wynikających z ich działania na tą chwilę jeszcze nie zauważam.
Doklejam logi i proszę o pomoc.
-
gg wyrzucone, reszta po aktualizacjach
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI
"{AF0CE7C0-A3E4-4D73-988B-B29187EC6E9A}" = QuickTime
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"FileZilla Client" = FileZilla Client 3.6.0
"ie8" = Windows Internet Explorer 8
wszystko gra, net chodzi.
dziękuję
do zamknięcia
-
W załączniku nowy log z otl
System został odblokowany ale jest problem z pobraniem adresu sieciowego (brak sieci był już w trybie awaryjnym).
To sprawka ucash -a czy siedzi coś jeszcze ?
edit 21.03pm
Jako że mam usługe dostepu do netu na 2 ip podmieniłem mac karty sieciowej na ten ze zdrowego komputera i teraz działa, więc najprawdopodobniej blokada jest wynikiem celowego działania administratorów sieci. Zgłosiłem problem i czekam na odpowiedz czy powodem była infekcja.
-
Witam ponownie
Po problemach z zeroacces starałem się uważać gdzie wchodzę no ale znów mnie złapało. Tym razem blokada policyjna.
Podaję logi i bardzo proszę o pomoc w usunięciu.
Log z gmera jakiś nietypowy wyszedł ale nie wiem dlaczego.
-
Kwestia haseł i aktualizacji załatwiona.
Bardzo dziękuję za poświęcony czas i fachową pomoc.
Gratuluję i zazdroszczę znajomości wiedzy o systemie.
Alexoss
/temat do zamknięcia/
-
Kaspersky po pełnym skanowaniu znalazł i usunął:
Status: Deleted (events: 2)
2012-03-09 14:20:30 Deleted Trojan program Trojan-Downloader.WMA.FakeDRM.w F:\k2\lk.il.i.wmv High
2012-03-09 14:20:57 Deleted Trojan program Trojan-Downloader.WMA.FakeDRM.bh F:\k2\rfgr.wmv High
-
U Kasperskiego czysto.
Czy to już meta ?
-
hmm, jeśli dobrze interpretuje loga to problem jest z:
PhysicalDrive1 Model Number: SAMSUNGHD403LJ, Rev: CT100-11
H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
I: --> \\.\PhysicalDrive1 at offset 0x00000008`8b905a00 (NTFS)
J: --> \\.\PhysicalDrive1 at offset 0x00000025`d7a2de00 (NTFS)
K: --> \\.\PhysicalDrive1 at offset 0x00000040`b31c6e00 (NTFS)
O ile pamiętam dysk został przepięty z danymi ze starego pc jakieś 2-3 lata temu,bez formatowania, ale na wszystkich partycjach są tam same pliki typu avi,mp3,pdf,doc itp
Jedyna rzecz która się rzuca w oczy to K:\MSOCache pewnie po starym office
Natomiast z innych partycji znalazłem katalog :
G:\Nowy folder\instalki po formacie\zlob
a w katalogu
killbox.exe
HJTInstall.exe
SmitfraudFix.exe
SmitfraudFix.exe
Silent Runners.vbs
SDFix
smitRem
Ale to tak na marginesie bo pewnie nie ma związku z problemem
-
Sprzątanie przebiegło pomyślnie ale później Kaspersky znalazł znowu Rootkit.Win32.TDSS.mbr \Device\Harddisk1\DR1
/ na razie dałem skip /
Mbam nic nie znalazł.
Czy ten rootkit jest aktywny jeśli jest na innym dysku czy to tylko jakiś plik lub program który instaluje wirus ?
-
Wszystko zrobione, podaję logi.
-
TDSSKiller znalazł jeszcze Rootkit.Win32.TDSS.tdl4 Physical drive: \Device\Harddisk1\DR1
Jaką akcje mam wybrać ?
-
Po użyciu combofix większość objawów ustąpiło.
Google przy wyszukiwaniu zaczął natomiast wysyłać komunikaty jak poniżej, więc najprawdopodobniej nie wszystko zostało usunięte.
Nasze systemy wykryły nietypowy ruch pochodzący z Twojej sieci komputerowej. Ta strona ma na celu sprawdzenie, czy to rzeczywiście Ty wysyłasz żądania, a nie robot. Dlaczego tak się stało?
Adres IP: 66.199.XXX.XX
Godzina: 2012-03-06T19:41:22Z
Efektów ubocznych pracy combofix na razie nie stwierdziłem.
Poniżej logi i proszę o wskazówki dalszego postępowania.
/ p.s. Blisko 2 tyg zwłoki w podjęciu naprawy systemu wynikło z konieczności dokończenia projektu, istniało ryzyko uszkodzenia systemu w czasie naprawy a termin gonił /
-
Witam
Zostałem skierowany tutaj po założeniu tematu:
http://forum.idg.pl/...tl-t211860.html
objawy
- przekierowania na abnow .com
- blokowane skrzynki, bukmacherzy
- alerty zabezpieczeń windows przy odpalaniu programów
- avast zawiesza się przy pełnym skanowaniu
Proszę o sprawdzenie loga i wskazówki jak naprawić system
Zablokowana aktualizacja Flash, alerty Avira WORM/Autorun.cxl
w Dział pomocy doraźnej
Opublikowano
Po którejś próbie udało się uruchomić instalator i zadziałało.
Skoro logi niczego poważnego nie wykryły nie będę zawracać głowy i poproszę o zamknięcie tematu.
Postaram się jeszcze trochę posprzątać a pisać bedę jak by coś złego się działo.
Dziekuje za pomoc.
A.