OdGda

Dziękuję. Instrukcję oczywiście wykonam. Temat widziałem - ale tak byłem przejęty sobą, że zarejestrowałem tylko, że zalecasz wykonanie skryptu - dopiero dziś "dotarłem" do postu z informacją o fałszywym alarmie;] Dziękuję i pozdrawiam.

Witam. Avast zakomunikował o zagrożeniu w lokalizacji C:\Windows\system32\drivers\sfloppy.sys, nazywając je Rootkit:ukryty plik. Potwierdziłem usunięcie pliku + restart systemu i skanowanie Avasta podczas uruchamiania. Podczas uruchamiania Avast nie wykrył zagrożeń, jednak po kilku minutach pracy komunikat ponowił. Tym razem odmówiłem restartu i ruszyłem na forum Z ew. wątpliwości własnych to zaobserwowałem jedynie kilkusekundowe zawieszki podczas otwierania Menu Start. Zdarza się to czasami, od kilku tygodni. Załączam wymagane logi. Niestety log Gmera jest ze starej wersji (miałem na dysku). Aktualny Gmer nie uruchamia się - próbowałem kilka wersji. Podczas pre-scanu program zostaje wyłączony i pojawia się komunikat Windowsa informujący, że wystąpił problem z aplikacją i zostanie ona zamknięta. Z góry dziękuję za sprawdzeni i ew. pomoc. Results of screen317's Security Check version 0.99.28 x86 Internet Explorer 8 Out of date! `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! avast! Free Antivirus ``````````````````````````````` Anti-malware/Other Utilities Check: Spybot - Search & Destroy Java™ 6 Update 29 Adobe Flash Player 11.1.102.55 Mozilla Firefox (8.0.1) Mozilla Thunderbird (3.1.6) Thunderbird out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent Spybot Teatimer.exe is disabled! Alwil Software Avast5 AvastSvc.exe ALWILS~1 Avast5 avastUI.exe ``````````End of Log```````````` Extras.Txt OTL.Txt gmer 6 XII.txt

Dziękuję za sprawdzenie i odpowiedź. Skrypt oczywiście wykonam. Pozdrawiam.

Na wstępie przepraszam, za być może nieprecyzyjny tytuł, ale od tego zaczęły się moje wątpliwości. Na liście procesów dziś doszedł dodatkowy (a ilość u mnie niezmienna od początku systemu) - niestety nie wiem jaki (może być to np. svchost.exe - jest ich teraz siedem - wszystkie z system32) bo wszystkie wyglądają znajomo. Korzystając z narzędzia konfiguracji systemu, zakładka "Uruchamianie" "odptaszkowałem" podejrzany element startowy, gdzie i "Nazwa" i "Polecenie" to było kilkanaście kwadracików, a "Lokalizacja" HKCC\SOFTWARE\MIcrosoft\Windows NT\CurrentVersion\Windows:load, po restarcie na "jego miejsce" pojawił się podobny element - nazwa i polecenie to dwa kwadraciki, a lokalizacja - SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Podczas startowania (po tym restarcie) systemu pojawiły się też dwa komunikaty: - "System Windows nie może odnaleźć pliku "[i tu jego nazwa, czyli dwa kwadraciki]". Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie. Aby wyszukać plik, kliknij Start, a następnie polecenie Wyszukaj." - "Nie można załadować lub uruchomić podanego w Rejestrze pliku "[i tu jego nazwa, czyli dwa kwadraciki]". Upewnij się, że plik istnieje na tym komputerze lub usuń z Rejestru odwołanie do niego." W tej chwili na liście "odptaszkowanych" jest tylko drugi (dwa kwadraciki), pierwszego (kilkanaście kwadracików) brak. Przy kolejnym starcie systemu (po "odptaszkowaniu" "dwóch kwadracików") komunikatów już nie było. Z loga SpyBot S&D: 2011-01-28 10:52:21 Zezwolono (based on user decision) value "load" (new data: "?") zmienione in NT startup! 2011-01-28 11:06:01 Zezwolono (based on user decision) value "load" (new data: "") zmienione in NT startup! Z (nie)istotnych informacji; - przeinstalowywałem Avasta (15 I), ponieważ z rozwijalnego menu ikonki obok zegara nie aktualizował się, a tylko na polecenie aktualizuj uruchamiał interfejs z podstroną aktualizacji. Przy pełnym skanowaniu zwracał błędy: c:\program files\alwil software\avast5\defs\11011001\algo.dll c:\program files\alwil software\avast5\defs\11011001\aswcmnbs.dll c:\program files\alwil software\avast5\defs\11011001\aswcmnis.dll c:\program files\alwil software\avast5\defs\11011001\aswcmnos.dll c:\program files\alwil software\avast5\defs\11011001\aswengin.dll c:\program files\alwil software\avast5\defs\11011001\aswscan.dll Przy wszystkich w pozycji "Stan" jest informacja: "Błąd: System nie może odnaleźć określonej ściezki (3)" Po przeinstalowaniu (narzędziem Avasta) było ok. Z grzechów własnych przypominam sobie tylko nie przeinstalowanie kodeków, zalecone przez Picasso przy mojej ostatniej wizycie. Zapomniałem i posypuję głowę popiołem. W załączeniu wymagane logi. Avast i MBAM nie wykrywają żadnych nieprawidłowości. gmer_28_I.txt OTL.Txt Extras.Txt

Bardzo dziękuję za wyjaśnienia. Aktualizacje, które zaleciłaś już robię. Daruję sobie tylko kodeki (po prostu odinstaluję), bo nie odtwarzam żadnych filmów. Usunę też szczątki starego Avasta. Miałem nadzieję, że to jakiś babol MBAM i nawet zacząłem od szukania, ale chyba forum MBAM było miejscem zbyt oczywistym, bo tam nie trafiłem Jeszcze raz dziękuję i pozdrawiam.

Witam. Zaniepokoiło mnie wykryte przez MBAM zagrożenie: c:\WINDOWS\system32\java.exe (Trojan.Downloader) -> Quarantined and deleted successfully. oraz c:\program files\Java\jre6\bin\java.exe (Trojan.Downloader) -> Quarantined and deleted successfully. Pierwsze pochodzi z szybkiego skanu (po restarcie "czysto"), drugie ze skanu pełnego (po restarcie "czysto"). Sekwencja zdarzeń z logu SpyBot S&D: 2010-12-06 00:36:10 Odmówiono (based on user decision) value "run" (new data: "") dodane in NT startup! 2010-12-06 00:36:21 Odmówiono (based on user decision) value "TaskMan" (new data: "") dodane in Winlogon! 2010-12-06 00:38:34 Odmówiono (based on user decision) value "run" (new data: "") dodane in NT startup! 2010-12-06 00:38:35 Odmówiono (based on user decision) value "TaskMan" (new data: "") dodane in Winlogon! 2010-12-06 01:17:09 Odmówiono (based on user decision) value "run" (new data: "") dodane in NT startup! 2010-12-06 01:17:09 Odmówiono (based on user decision) value "TaskMan" (new data: "") dodane in Winlogon! 2010-12-06 01:17:41 Zezwolono (based on user decision) value "Malwarebytes' Anti-Malware (reboot)" (new data: ""C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript") dodane in System Startup global entry! 2010-12-06 01:20:40 Zezwolono (based on user decision) value "Malwarebytes' Anti-Malware (reboot)" (new data: "") usunięte in System Startup global entry! 2010-12-06 01:20:44 Odmówiono (based on user decision) value "run" (new data: "") dodane in NT startup! 2010-12-06 01:20:47 Odmówiono (based on user decision) value "TaskMan" (new data: "") dodane in Winlogon! "Odmówione" zdarzenia były kolejno przed restartem po "szybkim skanie" oraz po restarcie, oraz analogicznie po pełnym skanowaniu MBAM. Nie wiem czego dotyczą. Usunięte pliki java były datowane na 25 X 2010 i Windows wskazywał, że są autorstwa Sun Microsystems, więc może to nadczułość MBAM + moje przewrażliwienie? Tym bardziej, jeśli ich data jest prawidłowa - uruchamiałem w międzyczasie MBAM wielokrotnie i nic nie wykrywał. Z ew. niepokojących objawów zaobserwowałem jedynie bardzo powolne aktualizowanie się MBAM - nie zawsze, ale dość często. Ok. miesiąc temu Avast usunął z pulpitu plik Gmer (pod losową nazwą) - nie informując mnie o tym (zauważyłem po czasie). Gdy sprawdziłem, to opisał go jako Tojan.gen. Niestety nie potrafię wydobyć z Avasta tej informacji. W załączeniu wymagane logi. Extras.Txt OTL.Txt gmer.txt

Dziękuję za sprawdzenie logów. Popraw mnie, proszę, jeśli źle zrozumiałem - pkt. 5 podlinkowanego powinienem wykonać, żeby przy ew. przyszłych restartach spisać z ekranu "winowajcę". W tej chwili sprawa jest zamknięta (o ile restarty nie będą się powtarzać)?

Witam. Zaniepokoił mnie nagły restart systemu - nastąpił w momencie, kiedy podłączyłem kabel internetowy i, chcąc z'aktualizować SpyBot S&D, nacisnąłem prawym przyciskiem myszy na ikonę tegoż. Restart nastąpił ok. godz. 2.00 - niestety nie jestem w stanie stwierdzić, co było pierwsze (restart czy poniższe zdarzenie). Poniżej ostatnie zdarzenia z logu SB S&D: Włączyłem skanowanie MBAB - nie znalazł zagrożeń, jednak podczas pełnego skanu kilkukrotnie (na kilka sekund) startował proces (z listy "menedżera zadań Windows") sf.bin. Wcześniej tego nie zaobserwowałem, ale też nie przywiązywałem do tego wagi, więc mogłem nie zauważyć. W tej chwili system pracuje stabilnie, bez zmian. Jeśli podałem informacje zbędne, lub bezsensowne - przepraszam. Napisałem wszystko co udało mi się zaobserwować. W załączeniu wymagane logi. Pozdrawiam. OTL.Txt Extras.Txt gmer 23 VII 2010.txt

Ok - tak też uczynię. Jeszcze raz dziękuję i pozdrawiam.

Wielkie dzięki za sprawdzenie. Avasta właśnie ściągnąłem - i mam pytanie z gatunku głupich - czy muszę najpierw odinstalować poprzedniego narzędziem avasta, czy instalować na tę wersję?

Witam. Na początku przepraszam za bezsensowny tytuł - niestety w momencie, gdy wyświetlił się komunikat o zablokowanym zdarzeniu* (przez SpyBot S&D) zamknąłem przeglądarkę i odłączyłem internet, zakładając, że szczegóły zobaczę w logach - niestety/stety ani w logu Avasta, ani SpyBota nie ma wzmianki o zdarzeniu. Uruchomiłem skanowaniem MBAMem - nic nie znalazł. System działa bez zmian, więc pewnie fałszywy alarm - jednak będę z'obowiązany za profilaktyczne sprawdzenie logów. *)Jeśli to istotne, to zablokowany trojan pochodził ze strony J. Korwina-MIkke. OTL.Txt Extras.Txt gmer.txt