pzm Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 Witaj,dzisiaj podczas aktualizacji antywirusa AVG, wykrył mi on międzyinnymi właśnie tego konia trojańskiego,problem w tym że kiedy chciałem go usunąć otrzymałem komunikat że obiekt nie istnieje lub dostęp do niego jest niemożliwy,dlatego chciałem się zorientować czy jednak mam go wciąż na dysku,zrobiłem log OTL,nie robiłem GMER'U nie wiem czy jest konieczny również? takie wyskakujące alerty że mam zainfekowane pliki zaczęły mi się pojawiać kilka dni temu jak otworzyłem wiadomość którą otrzymałem że ktoś próbował zmienić hasło do mojego konta na Allegro i był podany link ja niechcący kliknałem i zaczęło się coś ściągać ale własnie antywirus natychmiast zareagował wykrył konia trojańskiego już nie pamietam jakiego i zaczął blokowac i usuwac ten syf więc chyba nie 'wkradl' mi się do kompa całkowicie,sam nie wiem, potem czyściłem komputer programem antymalware i antywirusem i jeszcze tam jakims dodatkiem do Kasperskiego i powykrywały mi te programy jakis konie trojańskie i wirusy ale wszystko dało się usunąć i dziś znowu właśnie AVG mi wykrył tego konia ... w kwarantannie wirusów w AVG mam takie wpisy infekcja znaleziony wirus Win32/Cryptor ostrzeżenie Znaleziono klucz rejestru z odniesieniem do zainfekowanego pliku C:\Documents and Settings\Przemek\Dane aplikacji\Ytvuet\obapx.exe infekcja Koń trojański PSW.Generic10.TXX ostrzeżenie Znaleziono klucz rejestru z odniesieniem do zainfekowanego pliku C:\Documents and Settings\Przemek\Dane aplikacji\Ytvuet\obapx.exe infekcja Koń trojański PSW.Generic10.TXX słuchaj mam kilka wirtualnych zainstalowanych napędów czy musze je odinstalowywać robiąc ten GMER ? z tym że ta informacja o wirusie Cryptor jest z 26 września a nie z dziś ... OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 EDIT: Miałeś logi podmienić w pierwszym poście. Sklejam posty tak, by był logiczny ciąg zdarzeń. nie robiłem GMER'U nie wiem czy jest konieczny również? Raport obowiązkowy w dziale diagnostyki infekcji. słuchaj mam kilka wirtualnych zainstalowanych napędów czy musze je odinstalowywać robiąc ten GMER ? Jeśli chcesz mieć porządnie sprawdzony system, to GMER należy pokazać. Przed jego uruchomieniem należy wybrać jedno z dwóch: albo odinstalować cały program DAEMON Tools i jego sterownik SPTD, albo tylko wyłączyć sterownik SPTD za pomocą Defogger. Wszystko opisane w ogłoszeniu: KLIK. Przechodząc do usuwania szczątków infekcji (przy okazji i innych odpadków): 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Przemek\Dane aplikacji\Ytvuet C:\Documents and Settings\Przemek\Dane aplikacji\Viyn C:\Documents and Settings\Przemek\Dane aplikacji\Fola C:\Documents and Settings\Przemek\Dane aplikacji\Ylac C:\Documents and Settings\Przemek\Dane aplikacji\Qayx C:\Documents and Settings\Przemek\Dane aplikacji\Ciotk C:\Documents and Settings\Przemek\Dane aplikacji\SendSpace C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\All Users\Dane aplikacji\InstallMate :OTL O4 - HKU\S-1-5-21-1482476501-1757981266-839522115-1003..\Run: [Yhniwiu] "C:\Documents and Settings\Przemek\Dane aplikacji\Ytvuet\obapx.exe" File not found IE - HKLM\..\SearchScopes\{099EF85B-3260-4b87-9239-33355EE6A548}: "URL" = "http://results.myway.com/GGmain.jhtml?id=YI&ptb=0C821106-5FDA-4E00-A078-AD4DA2108350&psa=&ind=2010070716&ptnrS=YI&si=&st=sb&n=&searchfor={searchTerms}" IE - HKU\S-1-5-21-1482476501-1757981266-839522115-1003\..\SearchScopes\{099EF85B-3260-4b87-9239-33355EE6A548}: "URL" = "http://results.myway.com/GGmain.jhtml?id=YI&ptb=0C821106-5FDA-4E00-A078-AD4DA2108350&psa=&ind=2010070716&ptnrS=YI&si=&st=sb&n=&searchfor={searchTerms}" DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8139.SYS -- (rtl8139) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\h648103.sys -- (h648103) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\h648101.sys -- (h648101) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\h647906.sys -- (h647906) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\a347bus.sys -- (a347bus) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\explorer.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
pzm Opublikowano 29 Września 2012 Autor Zgłoś Udostępnij Opublikowano 29 Września 2012 zamieszczam log i to co mi wyskoczyło po zrestartowania komputera All processes killed ========== FILES ========== C:\Documents and Settings\Przemek\Dane aplikacji\Ytvuet folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Viyn folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Fola folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Ylac folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Qayx folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Ciotk folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\SendSpace folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Premium\Setup folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Premium folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\InstallMate\{1D40D775-1CA3-C7FC-F105-189E196C2608}\E8DAAC370E84D2A3 folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\InstallMate\{1D40D775-1CA3-C7FC-F105-189E196C2608} folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\InstallMate folder moved successfully. ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-1482476501-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Yhniwiu deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{099EF85B-3260-4b87-9239-33355EE6A548}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{099EF85B-3260-4b87-9239-33355EE6A548}\ not found. Registry key HKEY_USERS\S-1-5-21-1482476501-1757981266-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes\{099EF85B-3260-4b87-9239-33355EE6A548}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{099EF85B-3260-4b87-9239-33355EE6A548}\ not found. Service rtl8139 stopped successfully! Service rtl8139 deleted successfully! File system32\DRIVERS\RTL8139.SYS not found. Service h648103 stopped successfully! Service h648103 deleted successfully! File system32\drivers\h648103.sys not found. Service h648101 stopped successfully! Service h648101 deleted successfully! File system32\drivers\h648101.sys not found. Service h647906 stopped successfully! Service h647906 deleted successfully! File system32\drivers\h647906.sys not found. Service a347bus stopped successfully! Service a347bus deleted successfully! File system32\DRIVERS\a347bus.sys not found. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\explorer.exe deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: Przemek ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 3166607 bytes ->Java cache emptied: 508 bytes ->FireFox cache emptied: 587395839 bytes ->Flash cache emptied: 11372 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 128798 bytes Total Files Cleaned = 563,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 09292012_155940 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... mam kilka napędów wirtualnych np. Alcohol,ultra iso i ten Deamon oki więc usunę Deamona wraz ze sterownikiem i zrobie GMER ... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 Skrypt wykonany, ale jeden wpis się nie usunął. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1482476501-1757981266-839522115-1003..\Run: [Yhniwiu] "C:\Documents and Settings\Przemek\Dane aplikacji\Ytvuet\obapx.exe" File not found Klik w Wykonaj skrypt. Tym razem nie będzie restartu. mam kilka napędów wirtualnych np. Alcohol,ultra iso i ten Deamon oki więc usunę Deamona wraz ze sterownikiem i zrobie GMER ... Zamiast usuwania aplikacji i sterownika, po prostu użyj Defogger zgodnie z opisem. Po ukończeniu skanu z GMER wystarczy w Defogger przywrócić obiekty wyłączone. . Odnośnik do komentarza
pzm Opublikowano 29 Września 2012 Autor Zgłoś Udostępnij Opublikowano 29 Września 2012 Demona juz usunałem tylko sterownika nie więc w takim razie zamiast usuwać ten sterownik użyje defogger'a, potem i tak ponownie chce ściągnać i zainstalować Deamon'a,a skąd pobrać ten Defogger ? Odnośnik do komentarza
picasso Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 a skąd pobrać ten Defogger ? vs. Wszystko opisane w ogłoszeniu: KLIK. . Odnośnik do komentarza
pzm Opublikowano 29 Września 2012 Autor Zgłoś Udostępnij Opublikowano 29 Września 2012 (edytowane) użyłem Defraggera i nie miałem komunikatu o konieczności zrestartowania komputera zamieszczam log defogger_disable by jpshortstuff (23.02.10.1) Log created at 16:28 on 29/09/2012 (Przemek) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... SPTD -> Disabled -=E.O.F=- jeśli mimo wszystko jest już oki to wyłącze antywirusa i firewall i użyje GMER Edytowane 29 Września 2012 przez pzm Odnośnik do komentarza
picasso Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 Mimo braku zawiadomienia o potrzebie resetu, musisz zresetować system, by odładować sterownik SPTD z pamięci. Odnośnik do komentarza
pzm Opublikowano 29 Września 2012 Autor Zgłoś Udostępnij Opublikowano 29 Września 2012 (edytowane) no właśnie zrestartowałem a więc zabieram się za GMER a potem przedstawie raport GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-09-29 19:10:52 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-7 ST3500630AS rev.3.AAK Running: 7w40hw9j.exe; Driver: C:\DOCUME~1\Przemek\USTAWI~1\Temp\uxncapob.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwNotifyChangeKey [0xAB032004] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwNotifyChangeMultipleKeys [0xAB0320D4] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwOpenProcess [0xAB031D76] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateProcess [0xAB031E1E] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateThread [0xAB031EBA] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwWriteVirtualMemory [0xAB031F56] ---- Kernel code sections - GMER 1.0.15 ---- .xreloc C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xB7F66000, 0xC58, 0x40000040] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB5DF93C0, 0x9B091A, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAADD1300, 0x3AE88, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB83C0300, 0x1B7E, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs avgidsfilterx.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. ) AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\atapi \Device\Ide\IdePort0 8AC3E6B8 Device \Driver\atapi \Device\Ide\IdePort1 8AC3E6B8 Device \Driver\atapi \Device\Ide\IdePort2 8AC3E6B8 Device \Driver\atapi \Device\Ide\IdePort3 8AC3E6B8 Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-7 8AC3E6B8 AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8ABE2F48 Device \Driver\JRAID \Device\Scsi\JRAID1 8ABE2F48 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat avgidsfilterx.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. ) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... ---- EOF - GMER 1.0.15 ---- już i co powiesz? Edytowane 29 Września 2012 przez pzm Odnośnik do komentarza
pzm Opublikowano 30 Września 2012 Autor Zgłoś Udostępnij Opublikowano 30 Września 2012 (edytowane) kurde znowu mi wyskoczył komunikat antywirusa AVG jak otwierałem program odkurzacz żeby usunąć niepotrzebne pliki, wykryto zagrożenie koń trojański psw.generic10.usj wykryto przy otwieraniu nazwa procesu c:\program files\odk_qc.exe i gdy kliknąłem zalecane przeniesienie do kwarantanny to pojawił się komunikat brak obiektu zagrożenia obiekt nie istnieje lub uzyskanie dostępu do niego jest niemożliwe,w sumie nie przeszkadza mi to ale tylko informuje ... a teraz AVG wykrył mi innego konia trojańskiego backdoor w c:\document and settings\przemek\ustawienia lokalne\temp\wgsdgsdgdsgsd.exe ale ten dał się przenieść do przechowalni i zneutralizować,mam pytanie jak usuwam wirusa z przechowalni to na stałe z komputera tak? usunę zaraz tego trojana po co mi on w kwarantannie ... uruchomiłem tdsskiller Kaspersky i nic nie znalazł czyli system mam czysty nie wiem jednak czemu pojawił mi się ten komunikat wcześniej ... Edytowane 30 Września 2012 przez pzm Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 W GMER nic niepokojącego. kurde znowu mi wyskoczył komunikat antywirusa AVG jak otwierałem program odkurzacz żeby usunąć niepotrzebne pliki, wykryto zagrożenie koń trojański psw.generic10.usj wykryto przy otwieraniu nazwa procesu c:\program files\odk_qc.exe i gdy kliknąłem zalecane przeniesienie do kwarantanny to pojawił się komunikat brak obiektu zagrożenia obiekt nie istnieje lub uzyskanie dostępu do niego jest niemożliwe,w sumie nie przeszkadza mi to ale tylko informuje ... Plik odk_qc.exe to Odkurzacz ... Jeżeli AVG go klasyfikuje jako "psw.generic10.usj", to jest to fałszywy alarm. Natomiast "obiekt nie istnieje lub uzyskanie dostępu do niego jest niemożliwe" to nie wykluczone, że to błąd Odkurzacza: KLIK. a teraz AVG wykrył mi innego konia trojańskiego backdoor w c:\document and settings\przemek\ustawienia lokalne\temp\wgsdgsdgdsgsd.exe ale ten dał się przenieść do przechowalni i zneutralizować,mam pytanie jak usuwam wirusa z przechowalni to na stałe z komputera tak? usunę zaraz tego trojana po co mi on w kwarantannie ...uruchomiłem tdsskiller Kaspersky i nic nie znalazł czyli system mam czysty nie wiem jednak czemu pojawił mi się ten komunikat wcześniej ... Na wszelki wypadek zrób nowy log z OTL (bez Extras). Tak, opróżnianie kwarantanny jest równoznaczne z usunięciem całkowicie tego obiektu z kwarantanny. . Odnośnik do komentarza
pzm Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 rozumiem,podaje nowy log OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Nic nowego nie wyskoczyło, więc myślę że możemy kończyć: 1. W OTL uruchom Sprzątanie, które skasuje z dysku kwarantannę OTL z trojanami + OTL jako taki. Za pomocą Defogger możesz z powrotem aktywować sterownik emulatora napędów wirtualnych. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Adobe, Java, Firefox, Foxit: KLIK. Wersje widziane aktualnie w systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 23"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Foxit Reader" = Foxit Reader"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () . Odnośnik do komentarza
pzm Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 posprzątałem,sterowniki wirtualnych napędów aktywowałem juz 'dawno temu' zaraz po zakończeniu GMER'U jak instalowałem ponownie Deamona,foldery wyczyściłem,zaktualizowałem Adobe i Java online,przeglądarki póki co nie aktualizuje bo ta wersja mi dobrze działa,dziękuje Ci za pomoc jak zwykle, buziak! Odnośnik do komentarza
Rekomendowane odpowiedzi