ona Opublikowano 7 Stycznia 2013 Zgłoś Udostępnij Opublikowano 7 Stycznia 2013 Witam, Prosze o sprawdzenie logów. Jakiś czas temu antywirus wykrył wirusa: Gen:Variant.Kazy.130762; Katalog:C/Users/beata h/AppData/Local/Temp; Proces wpbt0.dll. Kolejnego dnia miała miejsce próba kolejnego ataku, tym razem wirus: Trojan.Generic.KDZ; Plik: wpbt0.dll; Katalog:C/Users/beata h/AppData/Local/Temp, Proces:explorer.exe. Po tych atakach postanowiłam zeskanować system, po godzinie otrzymałam informacje, że jest odmowa dostępu do dwóch plików: EtwRTdiagLog.etl, Katalog:C/Widnows/System32/LogFiles/WMI/RtBackup oraz MountPointManagerRemoteDatabase, Katalog:C/SystemVolumeInformation. Nie wiem, czy to o czymś świadczy, nigdy wcześniej po skanowaniu antywirus nie wyświetlał takich informacji. Kilka dni temu antywirus poinformował o złośliwym programie svchost.exe uruchomionym przez service.exe i zalecił jego usunięcie (w opisie: program ten wykonywał operacje w imieniu innego programu, program nawiązuje połączenie sieciowe.) Chciałabym się upewnić, czy wszystko jest w porządku. Dołączam logi, niestety nie jestem pewna czy Gmer jest po poprawny (skanowanie trwało około godziny) - ale niewiele tego jest. Extras.Txt Gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Infekcji tu już nie widzę. Zapuść tylko skrypt kosmetyczny: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-917128133-1351155886-2866853356-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O8 - Extra context menu item: Open with WordPerfect - c:\Program Files\Corel\WordPerfect Office X5\Programs\WPLauncher.hta File not found O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{1DC69E38-B76C-4246-8B15-80B3AA5A5429}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{1DC69E38-B76C-4246-8B15-80B3AA5A5429}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Po tych atakach postanowiłam zeskanować system, po godzinie otrzymałam informacje, że jest odmowa dostępu do dwóch plików: EtwRTdiagLog.etl, Katalog:C/Widnows/System32/LogFiles/WMI/RtBackup oraz MountPointManagerRemoteDatabase, Katalog:C/SystemVolumeInformation. Nie wiem, czy to o czymś świadczy, nigdy wcześniej po skanowaniu antywirus nie wyświetlał takich informacji. To normalne. Do tych obiektów nie ma uprawnień. . Odnośnik do komentarza
ona Opublikowano 23 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2013 Zanim wykonam log, bardzo proszę o jednoznaczną odpowiedź MODERATORA na 2 pytania: 1) jak prawidłowo należy pobrać GMER i OTL - przy "włączonym" czy "wyłączonym" antywirusie? 2) jak prawidłowo należy wykonać skanowanie (OTL i GMER) - przy "włączonym", czy "wyłączonym" antywirusie. Bardzo przepraszam za te pytania ale chciałam rozwiać wątpliowości. Kiedyś bez problemu pobrałam OTL i Gmer przy włączonym antywirusie, kiedy jednak, ostatnio chciałam pobrać Gmera z tego forum antywirus zablokował dostęp do strony i podał informacje że strona zawiera niebezpieczny kod: Trojan.Generic.8557653. Dziś chciałam użyć OTL (którego wcześniej pobrałam) przy włączonym antywirusie i Gdata zareagowała, że to "złośliwy plik uruchamialny, który został skompresowany, możliwe że w celu ukrycia złośliwego kodu". Mam już mętlik w głowie, dlatego proszę o jednoznaczną odpowiedź moderatora na powyższe pytania. Odnośnik do komentarza
diox Opublikowano 23 Stycznia 2013 Zgłoś Udostępnij Opublikowano 23 Stycznia 2013 OTL możesz pobrać przy włączonym antywirusie i skanować w trakcie jego działania. GMER możesz pobrać przy włączonym antywirusie,ale do uruchomienia jego trzeba wyłączyć antywirusa,aby nie zakłócał w skanowaniu komputera,cytat picasso z opisu GMER-a: Należy maksymalnie zredukować liczbę pracujących w tle procesów, w tym wyłączyć oprogramowanie zabezpieczające typu antywirus / firewall etc. Wprawdzie te akcje nie zdejmą określonych aktywności w sposób całkowity, ale w tym przypadku trudno jest namawiać użytkownika, by deinstalował wszystko z systemu. Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2013 Zgłoś Udostępnij Opublikowano 24 Stycznia 2013 ona, pobieranie narzędzi można wykonywać w obojętnym stanie, ale jeśli antywirus blokuje pobieranie, to należy go wyłączyć na czas operacji. To są fałszywe alarmy antywirusa. Być może nowe definicje się pojawiły, niekorzystne dla pobierania narzędzi, stąd problem notowany dopiero teraz. To nie jedyny antywirus, który wykrywa w OTL jakieś kurioza. . Odnośnik do komentarza
ona Opublikowano 2 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2013 Dziękuje za wyjaśnienie kwesti związanej z pobieraniem Gmer i OTL. Punkt pierwszy wykonałam. Dołączam nowy log OTL. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2013 Zgłoś Udostępnij Opublikowano 2 Lutego 2013 Poprzednie zalecenia wykonane i po prostu kończymy: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Ważne aktualizacje. Odinstaluj wszystkie stare wersje Adobe i Java oraz zaktualizuj Google Chrome: KLIK. Wg Twojego raportu w systemie obecnie są wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java 6 Update 37"{3248F0A8-6813-11D6-A77B-00B0D0150150}" = J2SE Runtime Environment 5.0 Update 15"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7"{32A3A4F4-B792-11D6-A78A-00B0D0150150}" = J2SE Development Kit 5.0 Update 15"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Google Chrome" = Google Chrome 22.0.1229.94 To m.in. nieszczelna Java jest przyczyną infekcji w rodzaju tu prezentowanego "wpbt0.dll.". Co dopiero wydano krytyczną poprawkę Java SE 7 update 13 (JRE) + Java SE 6 Update 39. . Odnośnik do komentarza
ona Opublikowano 14 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2013 Polecenia wykonałam. Dziękuje za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi