krollew Opublikowano 15 Listopada 2010 Zgłoś Udostępnij Opublikowano 15 Listopada 2010 Witam, mam problem z pewnym wirusem Win32/PSW.OnLineGames.PPQ koń trojański, dzisiaj ściągnąłem cosik, i kilka minut po tym wyskoczył komunikat, żebym zrestartował komputer, aby skutecznie wyleczyć wirusa, zrestartowałem komputer, odczekałem chwilę i znów się pokazał ten sam komunikat.... zrobiłem tak z 3-4 razy... komunikat nadal się pokazywał, nacisnąłem "nie" i po chwili wyskoczył mi dymek z ESET NOD32 Antivirus, że obiekt C:\et3ypes.exe został wyleczony przez usunięcie - poddany kwarantannie.... i cały czas wyskakiwał... tylko, mam go na każdym dysku... tak chociaż pisze w dymku, pokazuję sę cały czas nowy dymek o tym, że plik został wyleczony.... E:\et3ypes.exe, D:\et3ypes.exe, C:\et3ypes.exe... i tak bez końca... . Czy mógłby ktoś mi z tym pomóc? Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Ale nie podałeś żadnych raportów (KLIK), skąd mam wiedzieć co masz w systemie. Poproszę o logi z OTL + GMER, dorzuć także log z USBFix z opcji Listing. Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 A jak sprawdzić ilu biotowy mam system :S? Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Masz to przecież w ogłoszeniu! Vista i Windows 7 podają informację we Właściwościach systemu. Zaś stary poczciwy XP to w większości przypadków wersja 32-bit. Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Mam problem z usunięciem sptd, ściągnąłem TFC, i po reebocie komputera, w tym sptd miałem ten plik cfg i coś jeszcze, próbowałem znów usunąć, ale znów wyskoczyło : Nie można usunąć sptd: błąd przy usuwaniu klucza. Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Mam problem z usunięciem sptd, ściągnąłem TFC, i po reebocie komputera, w tym sptd miałem ten plik cfg i coś jeszcze, próbowałem znów usunąć, ale znów wyskoczyło : Nie można usunąć sptd: błąd przy usuwaniu klucza. TFC? Czy to jakieś przejęzyczenie? Jeśli rzecz o nieusuwalnym kluczu SPTD, jeśli na 100% użyłeś narzędzia SPTDinst z opcją Uninstall + restart komputera, to klucz jest już nieczynny (on zawsze pozostaje w rejestrze po tej operacji). 1. Zostaw to chwilowo i przejdź do wytworzenia logów, bo trzeba się śpieszyć z usuwaniem infekcji. Sprawdź ponownie temat z USBFix, bo wstawiłam nowy link pobierania (nie zauważyłam, że linki były nieczynne). 2. Pełne usunięcie klucza z rejestru już wykonasz po ukończeniu czyszczenia. Klucz wymaga resetu uprawnień, co jest opisane tu: KLIK. . Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 (edytowane) Tutaj logi, niestety programu GMER nie mogę włączyć;/ Extras.Txt OTL.Txt UsbFix-listing.txt UsbFix-research.txt a GMERa teraz spróbuję otworzyć w trybie awaryjnym EDIT. Niestety nie mogę zrobić pełnego skanu GMER'em, ponieważ zaraz po wciśnięciu "szukaj" (gdzieś 5-10sek) restartuje mi komputer... Edytowane 16 Listopada 2010 przez picasso Posty połączone. //picasso Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Ta infekcja jest czynna w systemie, ładuje się moduł mgking*. Wstępnie zadaję usuwanie tego co widzę. Przy okazji usunę także wpisy oznaczone jako "not found", które nie są jednak szkodliwe. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives et3ypes.exe /alldrives C:\WINDOWS\System32\mgking0.dll C:\WINDOWS\System32\mgking.exe :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\MADOWN] :OTL O33 - MountPoints2\{1158f33a-1707-11df-bc34-0019e06822f0}\Shell\AutoRun\command - "" = I:\et3ypes.exe -- File not found O33 - MountPoints2\{1158f33a-1707-11df-bc34-0019e06822f0}\Shell\open\Command - "" = I:\et3ypes.exe -- File not found O33 - MountPoints2\{5c8495fe-f3d6-11de-9feb-806d6172696f}\Shell\AutoRun\command - "" = et3ypes.exe O33 - MountPoints2\{5c8495fe-f3d6-11de-9feb-806d6172696f}\Shell\open\Command - "" = et3ypes.exe O33 - MountPoints2\{5c849603-f3d6-11de-9feb-806d6172696f}\Shell\AutoRun\command - "" = et3ypes.exe O33 - MountPoints2\{5c849603-f3d6-11de-9feb-806d6172696f}\Shell\open\Command - "" = et3ypes.exe O33 - MountPoints2\{5c849604-f3d6-11de-9feb-806d6172696f}\Shell\AutoRun\command - "" = et3ypes.exe O33 - MountPoints2\{5c849604-f3d6-11de-9feb-806d6172696f}\Shell\open\Command - "" = et3ypes.exe O4 - HKLM..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe (WhenU.com) O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [Windows] C:\WINDOWS\System32\window.exe () O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [sfKg6wIPuSp] C:\Documents and Settings\Mateusz\Dane aplikacji\Microsoft\Windows\jnipmo.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [GabPath] C:\Documents and Settings\Mateusz\Dane aplikacji\GabPath\gabpath.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [ares] C:\Program Files\Ares\Ares.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [iVONA ControlCenter] C:\Program Files\IVONA\IVONA ControlCenter\IVONA ControlCenter.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [iVONA Reader] C:\Program Files\IVONA\IVONA Reader\IVONA Reader.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [RGSC] E:\Gry\Rockstar Games Social Club\RGSCLauncher.exe File not found DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva369.sys -- (XDva369) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva367.sys -- (XDva367) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva362.sys -- (XDva362) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva359.sys -- (XDva359) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva358.sys -- (XDva358) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva352.sys -- (XDva352) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva349.sys -- (XDva349) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva344.sys -- (XDva344) DRV - File not found [Kernel | On_Demand | Stopped] -- F:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) :Commands [emptyflash] [emptytemp] Uruchom przez Wykonaj skrypt. Nastąpi restart komputera i otrzymasz log z działania. 2. Przejdź do Dodaj / Usuń programy i odinstaluj adware / śmieci sponsoringowe (sporo tego, jesteś nieuważny przy instalacjach): GabPath, Tango, ResultDNS, Brothersoft Toolbar, Conduit Engine, ToggleEN Toolbar, Babylon toolbar. W Firefox otwórz menedżer rozszerzeń i porównaj czy nie zostały obiekty od tych "aplikacji", a jeśli tak to wymontuj z Firefox. Opcjonalnie możesz się pozbyć także downloadera produktów Adobe (niepotrzebnie pracuje w tle cały czas): Akamai NetSession Interface. 3. Po wykonaniu wszystkich zadań generujesz nowy zestaw wszystkich logów. Dołącz także log powstały z usuwania OTL w punkcie 1. . Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Niestety punktu 1 nie mogę wykonać... wklejam to tam gdzie napisane, klikam Wykonaj Skrypt, za pierwszym razem zniknęło wszystko z ekranu, został tylko ten OTL i tapeta, myślałem, że trzeba jeszcze raz nacisnąć Wykonaj Skrypt, i pisało, brak odpowiedzi.... za drugim razem zrobiłem tak samo tylko pozostawiłem na 10+/- minut, no i znów nic... nadal nie było restartu komputera więc sam zrestartowałem.... Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Nie powinno tak być, owszem następuje zabicie powłoki explorer.exe, ale skrypt powinien się przetworzyć i wtedy następuje automatyczny restart. Skoro tu się najwyraźniej proces zawiesił, to pokaż ile zostało ewentualnie przetworzone. Czyli: od razu zrób punkt 2 (wszystkie deinstalacje adware) + a po tym nowe logi z OTL i USBFix (opcja Listing a nie Research). Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Dobra, tylko jeden jeszcze mały problem... ten Tango, nie mogę go usunąć, ponieważ trzeba ściągnąć plik który go usuwa, a NOD32 wykrywa mi go jako wirusa i usuwa... UsbFix.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Główna infekcja nie została usunięta. Zaś wpis Tango oraz wszystkie resztki po niekompletnych deinstalacjach adware załączę w skrypcie. Zmienimy środowisko wywołania skryptu + obetnę go o likwidację nieszkodliwych sterowników-odpadków XDva* i SPTD, bo nie wykluczone, że to może mieć znaczenie dla utrudnień w wykonywaniu skryptu. 1. Montuj nowy skrypt, tym razem wklej do Notatnika taką zawartość: :Files et3ypes.exe /alldrives autorun.inf /alldrives C:\WINDOWS\System32\mgking0.dll C:\WINDOWS\System32\mgking1.dll C:\WINDOWS\System32\mgking.exe C:\Program Files\VVSN C:\Documents and Settings\Mateusz\Dane aplikacji\BabylonToolbar C:\Documents and Settings\Mateusz\Dane aplikacji\GabPath C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\v2vncbtt.default\extensions\{038cb5c7-48ea-4af9-94e0-a1646542e62b} C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\v2vncbtt.default\extensions\{e8de9422-3b2c-4243-bf6f-235da84d8ef8} C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\v2vncbtt.default\extensions\{b12785f5-d8d0-4530-a3ea-5c4263b85bef} C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\v2vncbtt.default\extensions\{d3f4b70a-92e0-4393-a0f3-976d03b1ebf5} C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\v2vncbtt.default\extensions\engine@conduit.com C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\v2vncbtt.default\extensions\ffxtlbr@babylon.com C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\v2vncbtt.default\searchplugins\conduit.xml C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\v2vncbtt.default\searchplugins\daemon-search.xml C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml C:\Program Files\Mozilla Firefox\components\gpff.dll C:\Program Files\Mozilla Firefox\extensions\{1A615EA8-4C56-49EE-BE83-F9A264B79997} C:\Program Files\Surfbar :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{016EA142-53A1-4DC7-A1F2-4348F0E8E10C}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKU\S-1-5-21-1935655697-630328440-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://home.tangotoolbar.com/" IE - HKU\S-1-5-21-1935655697-630328440-1801674531-1003\..\URLSearchHook: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1935655697-630328440-1801674531-1003\..\URLSearchHook: {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - C:\Program Files\Brothersoft\tbBro1.dll File not found FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "ToggleEN Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14676" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: {1A615EA8-4C56-49EE-BE83-F9A264B79997}:1.0 FF - prefs.js..extensions.enabledItems: {e8de9422-3b2c-4243-bf6f-235da84d8ef8}:2.5.6.0 FF - prefs.js..extensions.enabledItems: {038cb5c7-48ea-4af9-94e0-a1646542e62b}:2.7.2.0 FF - prefs.js..extensions.enabledItems: {b12785f5-d8d0-4530-a3ea-5c4263b85bef}:2.5.6.0 FF - prefs.js..extensions.enabledItems: {d3f4b70a-92e0-4393-a0f3-976d03b1ebf5}:3.1.0.12 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.1.0.12 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.2 FF - prefs.js..keyword.URL: "http://utils.babylon.com/abt/index.php?url=" O2 - BHO: (Tango) - {016EA143-53A1-4DC7-A1F2-4348F0E8E10C} - C:\WINDOWS\system32\d778.dll () O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.15.13\bh\BabylonToolbar.dll File not found O3 - HKLM\..\Toolbar: (Tango) - {016EA142-53A1-4DC7-A1F2-4348F0E8E10C} - C:\WINDOWS\system32\d778.dll () O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.15.13\BabylonToolbarTlbr.dll File not found O3 - HKLM\..\Toolbar: (no name) - {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - No CLSID value found. O3 - HKLM\..\Toolbar: (Brothersoft Toolbar) - {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - C:\Program Files\Brothersoft\tbBro1.dll File not found O3 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003\..\Toolbar\WebBrowser: (Tango) - {016EA142-53A1-4DC7-A1F2-4348F0E8E10C} - C:\WINDOWS\system32\d778.dll () O4 - HKLM..\Run: [babylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.15.13\BabylonToolbarsrv.exe File not found O4 - HKLM..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe (WhenU.com) O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [GabPath] C:\Documents and Settings\Mateusz\Dane aplikacji\GabPath\gabpath.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [Windows] C:\WINDOWS\System32\window.exe () O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [sfKg6wIPuSp] C:\Documents and Settings\Mateusz\Dane aplikacji\Microsoft\Windows\jnipmo.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [ares] C:\Program Files\Ares\Ares.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [iVONA ControlCenter] C:\Program Files\IVONA\IVONA ControlCenter\IVONA ControlCenter.exe File not found O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [RGSC] E:\Gry\Rockstar Games Social Club\RGSCLauncher.exe File not found :Commands [emptyflash] [emptytemp] Zapisz plik pod nazwą FIX.TXT. 2. Zastartuj do Trybu awaryjnego. Uruchom OTL i kliknij w Wykonaj skrypt, a na pytanie o plik skryptu wskaż FIX.TXT. 3. Jeśli proces przejdzie pomyślnie, z poziomu Trybu normalnego dajesz nowy zestaw logów. . Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Zrobione, proszę, tutaj logi : OTL.Txt Extras.Txt EDIT. a co z tym GMER'em? może jest jakiś inny program? UsbFix.txt a z tym co mi wyskoczyło OTL po restarcie pisze mi: Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku a co do rootreapeal, to nie włącza się, może InCD Essentials blokuje albo NOD32(daje wyłącz ochronę antywirusową i antyspyware- czy to wystarcza?) ? Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 A gdzie log z usuwania OTL + z USBFix? Dorzuć wyżej, ja tu zedytuję treść własnego posta. EDIT. a co z tym GMER'em? może jest jakiś inny program? Masz napisane w temacie GMER, że jeśli zupełnie jest niemożliwe uruchomienie GMER, podaje się log z RootRepeal. EDIT: a co do rootreapeal, to nie włącza się Co to oznacza? Jest jakiś błąd? a z tym co mi wyskoczyło OTL po restarcie pisze mi: Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku Tu można wgrywać tylko pliki o rozszerzeniu *.TXT a nie *.LOG. Wystarczy zmienić nazwę pliku... Uzupełniłeś USBFix, w którym widać, że usuwanie trojanów niekompletne, została jeszcze jedna para na dysku I: [16/11/2010 - 18:36:50 | RSH | 177664] I:\et3ypes.exe[16/11/2010 - 19:59:26 | RSH | 61] I:\autorun.inf 1. Stwórz w Notatniku kolejny skrypt do OTL o zawartości: :Processes killallprocesses :Files I:\et3ypes.exe I:\autorun.inf :OTL [2010-09-26 18:17:14 | 000,001,761 | ---- | M] () -- C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\v2vncbtt.default\searchplugins\ask.uk.xml O3 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKU\S-1-5-21-1935655697-630328440-1801674531-1003..\Run: [iVONA Reader] C:\Program Files\IVONA\IVONA Reader\IVONA Reader.exe File not found Tak jak poprzednio: zapisz jako FIX.TXT i uruchom z poziomu Trybu awaryjnego jak opisane wyżej. 2. Przedstaw logi: z usuwania OTL oraz nowy OTL+USBFix. . Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 11162010_205528.txt rootreapeal po prostu nie włącza się, piszę Initializing...(coś tam dalej) czekałem z 5min i nic.... a dysk I: to jest Pendrive Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 rootreapeal po prostu nie włącza się, piszę Initializing...(coś tam dalej) czekałem z 5min i nic.... Zostaw to na razie. Wykonaj podane wyżej instrukcje. a dysk I: to jest Pendrive Wiem o tym, widzę przecież w spisie USBFix parametry wszystkich dysków. Ja tylko zaznaczam, z którego dysku nie poszło (z reszty tak, tylko z tego nie). . Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 OK zrobione 11162010_213704.txt Extras.Txt OTL.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Tym razem poszło, wszystkie pary szkodliwych plików są wyeliminowane. Jeszcze mnie intryguje ten plik: [29/10/2010 - 15:15:10 | A | 1748992] I:\LC.exe Nie wiem czy on na pewno jest szkodliwy (a sugestie USBFix z opcji Research należy dzielić przez dwa), bo nie jest ukryty i jeszcze jest jakby plik do pary (LC.ICO). Do przeprowadzenia te operacje: 1. Pozbądź się kwarantanny i odpadków po używanych narzędziach. W OTL wywołaj funkcję Sprzątanie. USBFix możesz odinstalować. 2. Zresetuj zawartość folderów Przywracania systemu: INSTRUKCJE 3. Start > Uruchom > firewall.cpl i w karcie Wyjątki skasuj wpisy po usuniętych aplikacjach. 4. Zaktualizuj wszystkie bazy i wykonaj porządne skany przez posiadane już Malwarebytes' Anti-Malware + NOD. Przedstaw wyniki skanu. . Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 1 - ZROBIONE 2 - ZROBIONE 3 - ZROBIONE 4 - W trakcie Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 2 - ZROBIONE (a o co chodzi z tym, że można znów włączyć - nie rozumiem ) Wyłączenie Przywracania zeruje cały folder i usuwa wszystkie punkty. To oczywiście znaczy, że nie będzie także tworzonych nowych punktów Przywracania w przyszłości, o ile nie włączysz ponownie monitoringu dla dysku systemowego. Przy włączaniu opcji jest generowany pierwszy punkt Przywracania z aktualnego stanu, już po czyszczeniu infekcji. Dlatego też włączysz to dopiero po wykonaniu punktów 3+4. 3 - Nie wiem dokładnie co mam usunąć Chodzi o usunięcie wpisów programów już odinstalowanych / przeniesionych etc. Dla porównania co mówi o tym miejscu OTL (zważ na wpisy "not found"): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\Program Files\Ares\Ares.exe" = C:\Program Files\Ares\Ares.exe:*:Enabled:Ares p2p for windows -- File not found"E:\Gry\worms 4\Worms 4 Mayhem\WORMS 4 MAYHEM.EXE" = E:\Gry\worms 4\Worms 4 Mayhem\WORMS 4 MAYHEM.EXE:*:Enabled:Worms 4 Mayhem -- File not found"C:\Program Files\Wolfenstein - Enemy Territory\ET.exe" = C:\Program Files\Wolfenstein - Enemy Territory\ET.exe:*:Enabled:ET -- File not found"E:\Gry\Rockstar Games Social Club\RGSCLauncher.exe" = E:\Gry\Rockstar Games Social Club\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club -- File not found"E:\Gry\Assasin Creed\Assassins.Creed.2.MULTi9.Cracked.EMU-SPiRE\DRM\server.exe" = E:\Gry\Assasin Creed\Assassins.Creed.2.MULTi9.Cracked.EMU-SPiRE\DRM\server.exe:*:Enabled:server -- File not found"F:\Installation\Setupx.exe" = F:\Installation\Setupx.exe:*:Enabled:Nero ProductSetup -- File not found"D:\filmy moje\pive\AirRivals_PL\Launcher.atm" = D:\filmy moje\pive\AirRivals_PL\Launcher.atm:Enabled:GameExe2 -- File not found"D:\filmy moje\pive\AirRivals_PL\Res-Voip\SCVoIP.exe" = D:\filmy moje\pive\AirRivals_PL\Res-Voip\SCVoIP.exe:Enabled:GameVoIP -- File not found"D:\filmy moje\strzelaj albo gini\mohpa.exe" = D:\filmy moje\strzelaj albo gini\mohpa.exe:*:Enabled:Medal of Honor Pacific Assault -- File not found"D:\filmy moje\strzelaj albo gini\mohpa_server.exe" = D:\filmy moje\strzelaj albo gini\mohpa_server.exe:*:Enabled:Medal of Honor Pacific Assault -- File not found"E:\Gry\Warcraft III\Warcraft III.exe" = E:\Gry\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III -- File not found"E:\Gry\Warcraft III\War3.exe" = E:\Gry\Warcraft III\War3.exe:*:Enabled:Warcraft III -- File not found . Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Tutaj log ze skanu NOD32 NOD32-skan.txt a tutaj z Malwarebytes' Anti-Malware mbam-log-2010-11-17 (00-19-17).txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Jest w porządku. W wynikach NOD nie ma nic (ale czy dysk mapowany jako I: skanowałeś?). Natomiast wszystko to co pokazał MBAM to są szczątki po infekcji i adware i po prostu usuń to za pomocą programu. Ostatnie instrukcje i sprawę uznamy za ukończoną: 1. Przy udziale Panda USBVaccine zabezpiecz przed tym typem infekcji system (Computer Vaccination) oraz każde urządzenie przenośne (USB Vaccination). 2. Aktualizacje oprogramowania: Wszystko co związane z przeglądarkami i ich wtyczkowaniem (Firefox / Adobe Reader 9.4). Wersja Google Chrome nieznana, jeśli to nie najnowszy browser, zaktualizuj go. Szczegóły w temacie: INSTRUKCJE. Gadu-Gadu 7.7 to męczenie samego siebie (brak obsługi nowego protokołu, brak szyfrowania i ogólnie niski poziom zabezpieczeń). W temacie Darmowe komunikatory są alternatywy (patrz na: WTW, Miranda, ewentualnie może jeszcze AQQ, choć te reklamy mnie odrzucają). ESET NOD32 Antivirus nie jest zbyt nowy (datowanie w logu na 2007/2008). Zastanów się nad wymianą.... 3. Po wykonaniu wszystkich kroków możesz włączyć Przywracanie systemu. Utworzy się pierwszy punkt aktualnego stanu. Jakieś pytania? . Odnośnik do komentarza
krollew Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 OK, 1 pytanie - te szczątki usunąć za pomocą Malwarebytes' ? a co do noda, to chyba zmienie na Avasta;) WIELKIE DZIĘKI za pomoc aa i jeszcze jedno(Nie chcę robić oddzielnego tematu, więc napiszę tutaj) Przymierzam się do formata, ale dopiero za tydzień i mam pewien problem... posiadam sterowniki do Visty/XP, a mam zamiar zainstalować Win 7 Ultimate 64, i jeśli byś mogła znaleźć parę sterowników do mojej płyty głównej ?(MSI MS-7528 - tyle wiem o tej płycie głównej, nic więcej nie pisze w Evereście, może przez to, że jest stary, nie wiem... może wystarczy) EDIT. Włączyłem ten program Panda USBVaccine i jak go włączyłem to przy Computer Vaccination pisze Computer vaccinated czyli już chyba tego robić nie muszę Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 te szczątki usunąć za pomocą Malwarebytes' ? Pewnie. EDIT. Włączyłem ten program Panda USBVaccine i jak go włączyłem to przy Computer Vaccination pisze Computer vaccinated czyli już chyba tego robić nie muszę To widocznie już kiedyś importowałeś taki zapis do rejestru, świadomie lub nieświadomie. Czyli OK. Ale zostaje jeszcze sprawa zabezpieczenia po kolei każdego z USB. posiadam sterowniki do Visty/XP, a mam zamiar zainstalować Win 7 Ultimate 64, i jeśli byś mogła znaleźć parę sterowników do mojej płyty głównej ?(MSI MS-7528 - tyle wiem o tej płycie głównej, nic więcej nie pisze w Evereście Na stronie MSI szukanie pobierań dla "MS-7528" zwraca dwa wyniki, czyli G31M3-F / G31M3-F (FSB 1600): KLIK. Strony tych produktów mają wszystkie sterowniki (Windows 7 x64 uwzględniony). . Odnośnik do komentarza
krollew Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Ok, dzięki , tylko jak wejdę w drivers, to trochę tego jest, wszystko jest mi potrzebne ? Odnośnik do komentarza
Rekomendowane odpowiedzi