luke555

Zamieszczam log z OTL po zresetowaniu Firefoxa. OTL.Txt

Punkt 1 i 3 wykonane (folder Nvidiia usuwałem już wcześniej ręcznie), co do drugiego punktu o jakie adware chodzi? Szczerze mówiąc nic podejrzanego nie odnotowałem. otl_skrypt.txt

Witam, od jakiegoś czasu na moim laptopie zadomowiły się najwyraźniej 3 trojany (myślę, że dłużej niż 30 dni). Jedynym objawem, którym mógł zaniepokoić było 100% użycie procesora przez niedługi czas gdzieś tak 5 min po starcie systemu. Z reguły identyfikuje takie zagrożenia sam najpóźniej w ciągu kilkudziesięciu godzin, jednakże w tym wypadku chyba trochę moja czujnośc została uśpiona, ponieważ jedynym podejrzanym procesem był niby proces Nvidii, choć nie posiadam takiej kart w systemie to jednak trochę zlekceważyłem sprawę, ponadto komputer działał bez zastrzeżeń. Dziś wreszcie postanowiłem przeskanowac system programem Kaspersky Virus Removal Tool... zachęcił mnie do tego dzisiejszy komunikat narzędzia windows do usuwania złośliwego oprogramowania o usunięciu Trojan-Downloader... Wygląda na to, że Kaspersky usunął zagrożenia, jednak chciałbym mieć pewność że po infekcjach nie zostały żadne pozostałości w systemie/na dysku. Poniżej zamieszczam wymagane logi + log z Kasperskiego. ks.txt OTL.Txt Extras.Txt GMER.txt

Nie sądziłem, że tak szybko tu wróce... i to przez niemal to samo. Nie mając pewności 100% czy poprzednio wirus nabyłem ze strony audiostrereo dalej przeszukając strony związane zgłośnikami, tym razem już a Avastem przekonałem się że jednak nie warto było... swoją drogą przeszło to jak przez sito, inna sprawa że chyba ostatnio jakaś plaga z tymi wirami, bo strona sama w sobie jak każda inna, pewnie coś dorwało się do serwera i rozsyła Niby coś blokowował ale niestety na nic to wszystko. Dokładnie tak samo sie wszystko odbyło, po kilkunatu sekundach wykryłem że jest coś nie tak, następnie usunąłem proces, od razu zajrzałem do msconfig a tam w autostarcie niemal identyczne procesy jak poprzednio regedit i jakiś ciąg liter i cyfr w drugim - odznaczyłem. Do tego jeszcze avast skanujac recznie cos usunął. Narazie jest ok.. ale znowu te pozostałości trzeba usunąć. Proszę o pomoc w tym i radzę nie ryzykować nikomu wchodzić na wyżej wymienioną stronę. P.S. Co do aktualizacji to flash player w wersji 10 u mnie lepiej działa - szybciej i dlatego taki jest, ale może zupdatuje jeżeli to konieczne. Extras.Txt OTL.Txt gmer.txt SystemLook.txt

Zgadza się. W takim razie bardzo dziękuje za pomoc.

Daje logi z wykonania skryptu i skan z OTL. W msconfig zniknęły oczywiście te 2 dziwne wpisy. OTL.Txt 01172013_151935.txt

Aktualnie wirus chyba nie jest aktywny (nie ma żadnych oznak), po wyłączeniu procesu via msconfig i usunięciu pliku z którego niby się odpalał. Od razu daje log z mbam - tutaj zastanawiający jest ten wpis regedit32 w rejestrze, ccleaner daje komunikat związany z tym wpisem skanując rejestr - brakujace oprogramowanie startowe. Czy nie jest to czasem związane z tym wirusem? W autostarcie też jest ten niby regedit32, wczesniej tego nie widziałem... SystemLook.txt MBAM-log-2013-01-16 (22-30-07).txt

Witam, szukając materiałów na projekt głośnika nabyłem trojana najprawdopodobniej podczas generowania się reklamy na jednej ze stron, nie wiem czy to zbieg okoliczności czy nie ale dysk zaczął przez pewien czas zaskakująco mocno pracować właśnie w momencie ładowania reklamy na forum strony audiostereo co wzbudziło moją podejrzliwość, jak się okazało słusznie, po chwili odpaliłem menadżer zadań i pojawił się nowy proces - zakończyłem go. Następnie przeszukałem komputer w celu wykrycia źródła kierując się nazwą i jak to zwykle bywa w folderze "Ustawienia lokalne/Temp" aktywnego usera znajdował się plik, który natychmiast przeskanowałem na Virustotal - oto wynik https://www.virustot...sis/1358347291/ Po usunięciu owego pliku i odłączeniu internetu przeskanowałem dysk Kasperskym Virus Removal Tool, który nic nie wykrył. W miedzyczasie z autostartu w pasku start znikł wpis "unist_tutaj był szereg cyfr i liter". Obecnie nie widzę żadnych efektów tego zakażenia korzystając z internetu, choć przed odłączeniem sieci wydawało mi się, że internet nieco zaczął zamulać po wykryciu przeze mnie zagrożenia. Może szybka reakcja z mojej strony coś tu pomogła... ale pewnie jakieś pozostałości po robaku są. Poniżej załączam wymagane logi. Nie uruchamiałem jeszcze ponownie komputera - być może ma to jakieś znaczenie. Edit: No niestety ma znaczenie, trojan wyskoczył w procesach pod inną nazwą a konkretnie remgupinsacf.exe i zaczął uruchamiać kolejne procesy svchost które zaczęły obciążać cpu w 100% ale jakoś udało sie je zamknąć, w msconfig odznaczyłem proces w zakładce uruchamianie. Dołączam logi z otl po restarcie systemu. Proszę o poradę. OTL.Txt Extras.Txt gmer.txt Extras_new.Txt OTL_new.Txt

OK, dzięki za pomoc P.S. Przywracanie systemu mam wyłączone na stałe

Po uruchomieniu ponownym log mi się w ogóle nie pojawił. Natomiast folderu już nie ma w katalogu Windows a jedynie w OTL/moved files. Aha mam po tym zabiegu widoczne ukryte pliki np. na pulpicie

Zrobione. Oto nowe logi: skrypt.txt OTL_nowy.Txt

W trybie awaryjnym poszło bez problemu. Oczywiście internet jest, problemów które pojawiły się po zainfekowaniu nie widzę. Oto nowe logi, w tym z wykonania skryptu w trybie awaryjnym (reszta zrobiona podczas normalnej pracy windows): Extras.Txt gmer.txt log z wykonanego skryptu.txt OTL.Txt

Niestety jest problem z zabijaniem procesów co już zauważyłem wcześniej próbując użyć Temp File Cleaner. Podczas wykonywania skryptu program zawiesza się na Killing processes. Zastosować tryb awaryjny?

Witam, Jeden z userów mojego latopa dziś (nie wiem dokładnie w jaki sposób ) spowodował zainfekowanie rootkitem/wirusem wymienionym w temacie. Pierwsze co rzuciło mi się w oczy to fakt że w chwili otwarcia firefoxa zapora systemu zapytała czy nadal blokować ten program co wcześniej nie miało miejsca i wiem że to nie jest raczej normalne. Ściągnałem więc Malwarebytes Anti-Malware który w pełnym skanowaniu wykrył 2 zagrożenia które chyba nie stanowiły o problemie. Poza tym co rusz ochrona rzeczywista informowała o zablokowaniu niebezpiecznej strony (różne adresy IP) w momencie kiedy nawet na komputerze nie robiło się nic. Odpaliłem wobec tego eset online scanner który wykrył wirusa którego nazwy już nie pamiętam z tego co pamiętam w pliku netbt.sys, niby usunął ten plik, ale nic to nie dało bo za chwilę pojawiał się znowu. Następnie wybrałem narzędzie Kaspersky removal tool które wykryło ten wirus najprawdopodobniej w tym samym pliku tylko inaczej nazwało zagrożenie czyli win32.zaccess W między czasie usunąłem flash playera. Dopiero po 2 usunięciu wirus przestał być widzialny przez program, przestały sie pojawiać komunikaty o zablokowaniu danego ip ale za to non stop pojawiało się okienko z instalką flash playera. Poza tym zauwqażyłem że po zainfekowaniu po zamknięciu niektórych okien tak jakby komp na chwilę się przycinał i trzeba było odczekać żeby podjąc jakąś kolejną akcję, np. zamknąć kolkejne okno. Sytuacja na ten moment wygląda tak że po 1 restarcie od momentu kiedy wirus już nie jest wykrywany w antywirusie czy tdsskiller nie ma już tego efektu ale nie ma też internetu (karta się lączy bezprzewodowo z routerem ale nie pobiera adresu IP)... Najprawdopodobniej jest to związane z brakiem pliku netbt.sys w systemie. Narazie nie próbuje go odtwarzać tylko proszę o poradę odnośnie logów które zamieszczam poniżej. Extras.Txt gmer.txt OTL.Txt