bekon
-
Postów
20 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez bekon
-
-
-
-
-
Muszę jeszcze raz ściągnąć OTL. Na razie serwer do ściągnięcia tego programu jest zajęty, muszę czekać aż go uruchomią. Może masz jakieś inne źródło, skąd mogę go ściągnąć?
-
Dodaję log z USBfix. Zauważyłem, że na pendrive'ie nie ma wielu plików i folderów, których nie kasowałem, a które były mi potrzebne. A miejsce na nim jest jakby w 100% zajęte...
-
Cześć Picasso!
Po urlopie wracam do działań ochronnych mojego komputera i zadań, które mi wyznaczyłaś.
I już na samym początku pojawił się problem. Z twoich powyższych zaleceń z USBFix i Panda Vaccine wchodząc na podane strony złapałem kolejnego robaka. Nie do końca wiem czy wejście na którąś z tych stron było tego powodem, ale wchodząc na inne strony problemu nie było. Security Essential pokazuje coś takiego:
Program Security Essentials napotkał następujący błąd: Kod błędu: 0x80508023. Program nie znalazł na komputerze złośliwego oprogramowania ani innego potencjalnie niechcianego oprogramowania.
Kategoria: Wirus
Opis: Ten program jest niebezpieczny i może się powielać, infekując inne pliki.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy:
file:C:\RECYCLER\S-1-5-21-1220945662-117609710-1417001333-500\Dc1.exe->(VFS:curl.exe#7)
Program Security Essentials napotkał następujący błąd: Kod błędu: 0x80070002. Nie można odnaleźć określonego pliku.
Kategoria: Wirus
Opis: Ten program jest niebezpieczny i może się powielać, infekując inne pliki.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy:
containerfile:C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe
file:C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe->(VFS:curl.exe#7)
Program Security Essentials napotkał następujący błąd: Kod błędu: 0x8007065e. Dane tego typu nie są obsługiwane.
Kategoria: Wirus
Opis: Ten program jest niebezpieczny i może się powielać, infekując inne pliki.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy:
containerfile:C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe
file:C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe->(VFS:curl.exe#7)
Program usunął część, część dał jako kwarantanna, ogólnie mocno spowolnił działanie komputera.
Co jest nie tak, czy znowu będzie trzeba podjąć wiele działań, czy jest to kolejny niebezpieczny robak?
Proszę o pomoc!
-
Dzięki za pomoc!
Na razie nie obserwuję żadnych problemów z działaniem systemu.
Ze względu na małą pojemność dysku nie mogę dokonać aktualizacji, które zajmują dużo miejsca. Czy są one konieczne?
Z Centrum Zabezpieczeń również się uporałem, komunikator wymienię na lepszy.
Teraz pytania:
Czy działanie ochrony Microsoft Essential nie będzie powodowało problemów z jednoczesnym działaniem Kasperskyego?
Czy Essential jest wystarczająco dobrym programem do walki z wirusami? Jeśli nie to co polecasz?
Co z zainfekowanym pendrivem?
-
Uporałem się z zaporą, posprzątałem po narzędziach.
Zapuściłem Kasperskyego i po 4,5 h zeskanował 42% danych i wygląda na to, że dalej nie ruszy, gdyż stoi już długo w jednym miejscu. Znalazł jakieś dwa śmieci, jeden z nich to Trojan Dropper.Win32.Dapato.bjam, drugi nie wiem.
Umiejscowiony jest w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\LocalCopy\{622DF84C-A8B5-8D74-AA2F-AA0B2504B161}-2kfx.exe
Zapuściłem antywira jeszcze raz, zobacze czy teraz uda się przeskanować całość.
Udało się zeskanować całość, jednak z problemami. Dwa razy musiałem wznawiać działanie programu, gdyż nie chciał dalej ruszyć.
Załączam raport, pełny się nie zmieścił więc jest "detected".
Status: Detected (events: 2)
2012-06-20 11:06:44 Detected Trojan program Trojan-Dropper.Win32.Dapato.bjam C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\LocalCopy\{ADDC3B01-229D-3EA0-5E67-8EB6A4B75E23}-2kfx.exe//PE-Crypt.XorPE High
2012-06-20 11:06:44 Detected Trojan program Trojan-Dropper.Win32.Dapato.bjam C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\LocalCopy\{622DF84C-A8B5-8D74-AA2F-AA0B2504B161}-2kfx.exe//PE-Crypt.XorPE High
-
Tym razem wszystko sprawnie
SystemLook 30.07.11 by jpshortstuff
Log created at 13:06 on 18/06/2012 by Administrator
Administrator - Elevation successful
========== filefind ==========
Searching for "ws2_32.dll"
C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll -----c- 82944 bytes [08:43 22/07/2010] [12:00 04/08/2004] AB82237486B727DD7DAB36A76F38A3A2
C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll ------- 82432 bytes [08:48 22/07/2010] [20:51 14/04/2008] C0AA2AB856680C44739B41E01F5BD4E9
C:\WINDOWS\system32\ws2_32.dll --a---- 82432 bytes [12:00 04/08/2004] [20:51 14/04/2008] C0AA2AB856680C44739B41E01F5BD4E9
-= EOF =-
-
Wreszcie
BlitzBlank 1.0.0.32
File/Registry Modification Engine native application
MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\drivers\ebzgijrh.sys", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\all users\dane aplikacji\common.data", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\docume~1\alluse~1\locals~1\temp", destinationDirectory = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\docume~1\alluse~1\locals~1\temp\msiqaa.exe", destinationFile = "(null)", replaceWithDummy = 0
LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"
-
GMER bardzo długo się tworzy...:/
-
Załączam OTL. Niestety, działa on już tylko z trybu awaryjnego
-
Po niedzielnej przerwie wracam do walki ze śmieciami.
Niestety, skrypty wpisuję z poziomu awaryjnego, nawet ten zmodyfikowany nie pomógł i dalej komp się zawiesza i nie restartuje.
Spisałem na kartce kilka chyba ostatnich linijek tego co wyszło w okienku skryptu, może Ci pomoże:
[M] Kernel/Auto/Stopped -- C:\WINDOWS\System32\drivers\ebzgijrh.sys
04 - HKCV...\Run:[cdtoeg] C:\Documents and Settings\Administrator\cdtoeg.exe (vigorless)
06 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policises\Explorer\Run:18083=C.
FF - prefs.js.browser.search.order.1: "Ask.com"
Tak jak napisałem wyżej, nie jestem przekonany która to część skryptu, czy końcowa czy jakaś inna.
-
Niestety podany przez Ciebie skrypt z punktu 1 nie działa, tzn. zawiesza kompa i działanie programu OTL. Komputer nie jest restartowany
-
Zrobiłem jak prosiłaś.
Załączam brakujące pliki.
SystemLook 30.07.11 by jpshortstuff
Log created at 11:26 on 16/06/2012 by Administrator
Administrator - Elevation successful
========== reg ==========
[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
(Unable to open key - key not found)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]
@="Microsoft WBEM New Event Subsystem"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="C:\WINDOWS\system32\wbem\wbemess.dll"
"ThreadingModel"="Both"
-= EOF =-
-
Ok. Zrobiłem kolejne kroki 2 i 3. Przy 4, kiedy chciałem wygenerować log z OTL skan zatrzymał się na : "scanning driver: ebzgijrh" i dalej nic, zatrzymał się, program nie odpowiada. Załączam pozostałe, bez OTL
BlitzBlank 1.0.0.32
File/Registry Modification Engine native application
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}", destinationDirectory = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\@", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\L", destinationDirectory = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U", destinationDirectory = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\800000cb.@", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}", destinationDirectory = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\@", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\L", destinationDirectory = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U", destinationDirectory = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\dane aplikacji\updates", destinationDirectory = "(null)", replaceWithDummy = 0
LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"
-
Wykonałem polecenie 1. Przy drugim wyskoczyło, że jest błędna składnia w linijce 10 - "Synax error in line 10, Invalid file path". Może pomocną będzie informacja, że ciągle pracuje Essential Security i może on usuwać lub robić coś z tymi robakami.
Właśnie do kolekcji doszedł nowy kolega: WinNT/Alureon - kazałem programowi go spróbować usunąć, nie wiem z jakim skutkiem, ale coraz bardziej mi antywirus wariuje, każe coś usuwać, zamykać, restartować kompa...
I jeszcze jeden Win32\Gamarue.I - robi się coraz goręcej
-
Dzięki za szybką odp.
Załączam raport
SystemLook 30.07.11 by jpshortstuff
Log created at 20:14 on 15/06/2012 by Administrator
Administrator - Elevation successful
========== reg ==========
[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
(No values found)
[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
"ThreadingModel"="Both"
@="C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n."
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]
@="Microsoft WBEM New Event Subsystem"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="\\.\globalroot\systemroot\Installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n."
"ThreadingModel"="Both"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
@="MruPidlList"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
@="%SystemRoot%\system32\shdocvw.dll"
"ThreadingModel"="Apartment"
========== filefind ==========
Searching for "services.exe"
C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a--c- 111104 bytes [11:47 06/12/2010] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445
C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 108544 bytes [08:43 22/07/2010] [12:00 04/08/2004] 3DA8D964D2CC12EF8E8C342471A37917
C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [12:46 06/12/2010] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA
C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 109056 bytes [08:48 22/07/2010] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA
C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 04/08/2004] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F
C:\WINDOWS\system32\dllcache\services.exe -----c- 111104 bytes [11:47 06/12/2010] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F
-= EOF =-
-
Witam!
Proszę o pomoc w sprawie pozbycia się Trojana. Z tego co widzę, wielu użytkowników ma ostatnio z nim problem. Zaciągnąłem go wczoraj z uczelnianego kompa, przez pendrive'a. Moja sytuacja wygląda następująco: system jest zamulony, nie mogę uruchomić zapory windowsa "z powodu niezidentyfikowanego problemu", czasami procek pracuje na maksie, Microsoft security essential ciągle pracuje i pokazuje komunikaty, że "wykrywane zagrożenia są usuwane", ale jeśli puszczę skan, to nic nie wykrywa, a w historii operacji widnieją zapiski o :
Kategoria: Koń trojański
Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy:
file:C:\WINDOWS\Installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\00000001.@
Mam różne rodzaje trojana: Sirefef, Sirefef.AL, Sirefef. AG, czasami pokazuje jeszcze inny typ wirusa, ale teraz nie jestem w stanie go wychwycić, może raporty coś wskażą. Antywirus klasyfikuje te pliki do kwarantanny, z poziomem alertu poważny.
Proszę o pomoc
Trojan Win32/Sirefef
w Dział pomocy doraźnej
Opublikowano
Serdecznie Ci dziękuję za pomoc w rozwiązaniu problemów i duże zaangażowanie!!!
Twoja praca jest nieoceniona!
Pozdrawiam serdecznie i polecę wszystkim to forum!
Zamykamy