bekon

Serdecznie Ci dziękuję za pomoc w rozwiązaniu problemów i duże zaangażowanie!!!

Twoja praca jest nieoceniona!

Pozdrawiam serdecznie i polecę wszystkim to forum!

Zamykamy

Przepraszam za zamieszanie. Głupi błąd.

Dodaję świeży log.

UsbFix.txt

Teraz przez Mój komputer pokazuje już wszystkie pliki i foldery

Co dalej zrobić?

UsbFix.txt

ok już zrobione.

UsbFix.txt

07092012_201158.txt

Muszę jeszcze raz ściągnąć OTL. Na razie serwer do ściągnięcia tego programu jest zajęty, muszę czekać aż go uruchomią. Może masz jakieś inne źródło, skąd mogę go ściągnąć?

Dodaję log z USBfix. Zauważyłem, że na pendrive'ie nie ma wielu plików i folderów, których nie kasowałem, a które były mi potrzebne. A miejsce na nim jest jakby w 100% zajęte...

UsbFix.txt

Cześć Picasso!

Po urlopie wracam do działań ochronnych mojego komputera i zadań, które mi wyznaczyłaś.

I już na samym początku pojawił się problem. Z twoich powyższych zaleceń z USBFix i Panda Vaccine wchodząc na podane strony złapałem kolejnego robaka. Nie do końca wiem czy wejście na którąś z tych stron było tego powodem, ale wchodząc na inne strony problemu nie było. Security Essential pokazuje coś takiego:

Program Security Essentials napotkał następujący błąd: Kod błędu: 0x80508023. Program nie znalazł na komputerze złośliwego oprogramowania ani innego potencjalnie niechcianego oprogramowania.

Kategoria: Wirus

Opis: Ten program jest niebezpieczny i może się powielać, infekując inne pliki.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy:

file:C:\RECYCLER\S-1-5-21-1220945662-117609710-1417001333-500\Dc1.exe->(VFS:curl.exe#7)

Program Security Essentials napotkał następujący błąd: Kod błędu: 0x80070002. Nie można odnaleźć określonego pliku.

Kategoria: Wirus

Opis: Ten program jest niebezpieczny i może się powielać, infekując inne pliki.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy:

containerfile:C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe

file:C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe->(VFS:curl.exe#7)

Program Security Essentials napotkał następujący błąd: Kod błędu: 0x8007065e. Dane tego typu nie są obsługiwane.

Kategoria: Wirus

Opis: Ten program jest niebezpieczny i może się powielać, infekując inne pliki.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy:

containerfile:C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe

file:C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe->(VFS:curl.exe#7)

Program usunął część, część dał jako kwarantanna, ogólnie mocno spowolnił działanie komputera.

Co jest nie tak, czy znowu będzie trzeba podjąć wiele działań, czy jest to kolejny niebezpieczny robak?

Proszę o pomoc!

Dzięki za pomoc!

Na razie nie obserwuję żadnych problemów z działaniem systemu.

Ze względu na małą pojemność dysku nie mogę dokonać aktualizacji, które zajmują dużo miejsca. Czy są one konieczne?

Z Centrum Zabezpieczeń również się uporałem, komunikator wymienię na lepszy.

Teraz pytania:

Czy działanie ochrony Microsoft Essential nie będzie powodowało problemów z jednoczesnym działaniem Kasperskyego?

Czy Essential jest wystarczająco dobrym programem do walki z wirusami? Jeśli nie to co polecasz?

Co z zainfekowanym pendrivem?

Uporałem się z zaporą, posprzątałem po narzędziach.

Zapuściłem Kasperskyego i po 4,5 h zeskanował 42% danych i wygląda na to, że dalej nie ruszy, gdyż stoi już długo w jednym miejscu. Znalazł jakieś dwa śmieci, jeden z nich to Trojan Dropper.Win32.Dapato.bjam, drugi nie wiem.

Umiejscowiony jest w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\LocalCopy\{622DF84C-A8B5-8D74-AA2F-AA0B2504B161}-2kfx.exe

Zapuściłem antywira jeszcze raz, zobacze czy teraz uda się przeskanować całość.

Udało się zeskanować całość, jednak z problemami. Dwa razy musiałem wznawiać działanie programu, gdyż nie chciał dalej ruszyć.

Załączam raport, pełny się nie zmieścił więc jest "detected".

Status: Detected   (events: 2)	

2012-06-20 11:06:44 Detected Trojan program Trojan-Dropper.Win32.Dapato.bjam C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\LocalCopy\{ADDC3B01-229D-3EA0-5E67-8EB6A4B75E23}-2kfx.exe//PE-Crypt.XorPE High

2012-06-20 11:06:44 Detected Trojan program Trojan-Dropper.Win32.Dapato.bjam C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\LocalCopy\{622DF84C-A8B5-8D74-AA2F-AA0B2504B161}-2kfx.exe//PE-Crypt.XorPE High

Tym razem wszystko sprawnie

SystemLook 30.07.11 by jpshortstuff

Log created at 13:06 on 18/06/2012 by Administrator

Administrator - Elevation successful

========== filefind ==========

Searching for "ws2_32.dll"

C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll -----c- 82944 bytes [08:43 22/07/2010] [12:00 04/08/2004] AB82237486B727DD7DAB36A76F38A3A2

C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll ------- 82432 bytes [08:48 22/07/2010] [20:51 14/04/2008] C0AA2AB856680C44739B41E01F5BD4E9

C:\WINDOWS\system32\ws2_32.dll --a---- 82432 bytes [12:00 04/08/2004] [20:51 14/04/2008] C0AA2AB856680C44739B41E01F5BD4E9

-= EOF =-

OTL5.Txt

06182012_130216OTL.txt

Wreszcie

BlitzBlank 1.0.0.32

File/Registry Modification Engine native application

MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\drivers\ebzgijrh.sys", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\all users\dane aplikacji\common.data", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\docume~1\alluse~1\locals~1\temp", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\docume~1\alluse~1\locals~1\temp\msiqaa.exe", destinationFile = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

gmer2.txt

OTL4.Txt

GMER bardzo długo się tworzy...:/

Załączam OTL. Niestety, działa on już tylko z trybu awaryjnego

OTL3.Txt

Po niedzielnej przerwie wracam do walki ze śmieciami.

Niestety, skrypty wpisuję z poziomu awaryjnego, nawet ten zmodyfikowany nie pomógł i dalej komp się zawiesza i nie restartuje.

Spisałem na kartce kilka chyba ostatnich linijek tego co wyszło w okienku skryptu, może Ci pomoże:

[M] Kernel/Auto/Stopped -- C:\WINDOWS\System32\drivers\ebzgijrh.sys

04 - HKCV...\Run:[cdtoeg] C:\Documents and Settings\Administrator\cdtoeg.exe (vigorless)

06 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policises\Explorer\Run:18083=C.

FF - prefs.js.browser.search.order.1: "Ask.com"

Tak jak napisałem wyżej, nie jestem przekonany która to część skryptu, czy końcowa czy jakaś inna.

Niestety podany przez Ciebie skrypt z punktu 1 nie działa, tzn. zawiesza kompa i działanie programu OTL. Komputer nie jest restartowany

Zrobiłem jak prosiłaś.

Załączam brakujące pliki.

SystemLook 30.07.11 by jpshortstuff

Log created at 11:26 on 16/06/2012 by Administrator

Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="C:\WINDOWS\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

-= EOF =-

FSS.txt

OTL2.Txt

Ok. Zrobiłem kolejne kroki 2 i 3. Przy 4, kiedy chciałem wygenerować log z OTL skan zatrzymał się na : "scanning driver: ebzgijrh" i dalej nic, zatrzymał się, program nie odpowiada. Załączam pozostałe, bez OTL

BlitzBlank 1.0.0.32

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\800000cb.@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\dane aplikacji\updates", destinationDirectory = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

AdwCleanerS2.txt

Wykonałem polecenie 1. Przy drugim wyskoczyło, że jest błędna składnia w linijce 10 - "Synax error in line 10, Invalid file path". Może pomocną będzie informacja, że ciągle pracuje Essential Security i może on usuwać lub robić coś z tymi robakami.

Właśnie do kolekcji doszedł nowy kolega: WinNT/Alureon - kazałem programowi go spróbować usunąć, nie wiem z jakim skutkiem, ale coraz bardziej mi antywirus wariuje, każe coś usuwać, zamykać, restartować kompa...

I jeszcze jeden Win32\Gamarue.I - robi się coraz goręcej

Dzięki za szybką odp.

Załączam raport

SystemLook 30.07.11 by jpshortstuff

Log created at 20:14 on 15/06/2012 by Administrator

Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n."

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n."

"ThreadingModel"="Both"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

========== filefind ==========

Searching for "services.exe"

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a--c- 111104 bytes [11:47 06/12/2010] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445

C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 108544 bytes [08:43 22/07/2010] [12:00 04/08/2004] 3DA8D964D2CC12EF8E8C342471A37917

C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [12:46 06/12/2010] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 109056 bytes [08:48 22/07/2010] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 04/08/2004] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\dllcache\services.exe -----c- 111104 bytes [11:47 06/12/2010] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

-= EOF =-

Witam!

Proszę o pomoc w sprawie pozbycia się Trojana. Z tego co widzę, wielu użytkowników ma ostatnio z nim problem. Zaciągnąłem go wczoraj z uczelnianego kompa, przez pendrive'a. Moja sytuacja wygląda następująco: system jest zamulony, nie mogę uruchomić zapory windowsa "z powodu niezidentyfikowanego problemu", czasami procek pracuje na maksie, Microsoft security essential ciągle pracuje i pokazuje komunikaty, że "wykrywane zagrożenia są usuwane", ale jeśli puszczę skan, to nic nie wykrywa, a w historii operacji widnieją zapiski o :

Kategoria: Koń trojański

Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy:

file:C:\WINDOWS\Installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\00000001.@

Mam różne rodzaje trojana: Sirefef, Sirefef.AL, Sirefef. AG, czasami pokazuje jeszcze inny typ wirusa, ale teraz nie jestem w stanie go wychwycić, może raporty coś wskażą. Antywirus klasyfikuje te pliki do kwarantanny, z poziomem alertu poważny.

Proszę o pomoc

OTL.Txt

Extras.Txt

gmer1.txt