Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Auto uruchamianie się małych programików z folderu Temp, blokowanie podglądu plików ukrytych i podejrzane procesy w menedżerze zadań.

Tomitech

Przez Tomitech
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Tomitech

Tomitech

Opublikowano
Opublikowano

Zainstalowałem czysty nowy system i było dobrze aż do momentu instalacji deamon tools lite. Miałem Comodo pokazywał mi błędy wiec go odinstalowałem, deamona też. nadal pojawiają się dziwne procesy. Jak zamknę jednego zaraz uruchamia się drugi. Każdy z nich ma przypadkowy ciąg znaków w nazwie.

Raz już z tym walczyłem lecz nie potrafiono mi pomóc. Teraz szukam tutaj pomocy.

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

checkup.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
jessica

jessica

Opublikowano
Opublikowano

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

 

1) Użyj >USBFix
Kliknij w nim na: DELETION.
Daj raport z tego usuwania.

 

2) Zrób nowe logi z FRST.

 

czy Tryb Awaryjny (F8 przed startem Systemu) da się u  ciebie uruchomić.

Pytam, bo zastanawia mnie ten wpis:

=================== Safe Mode (whitelisted) ===================

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""

nietypowy. gdyby po "AlternateShell" było : "cmd.exe", to w logu wcale by nie było tego wpisu (bo: whitelisted)

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

W czasie robienia logu z USBFix nie była podpięta przenośna pamięć (pendrive), z której infekcja przedostała się na dysk twardy.

Usuwamy więc tylko z dysku twardego, pen pozostanie zarażony.

 

Otwórz Notatnik i wklej w nim:

 

C:\Users\Adik1\AppData\Local\Temp\winsysl.exe
C:\xkntgk.pif
C:\tnmdj.exe
D:\sgtufo.pif
D:\autorun.inf
C:\autorun.inf
HKLM-x32\...\Runonce: [] -  [x]

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

 

Zrób nowe logi z USBFix i FRST.

 

[26/05/2013 - 17:46:52 | A | 9333536]     D:\a5u1t1.exe

Znasz ten plik (z maja br)?

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

Zrób log z OTL, ale na specjalnym ustawieniu:

Procesy - brak
Moduły - brak
Usługi - brak
Sterowniki - brak
Rejestr-skan dodatkowy - brak
zaznacz w okienku przy "Pomiń pliki Microsoftu"
zaznacz w okienku przy "Pomiń znane dobre pliki"
brak zaznaczenia przy "Infekcja LOP"
brak zaznaczenia przy "Infekcja Purity".

W pole Własne opcje skanowania/Scrypt wklej:

 


type C:\autorun.inf /C
type C:\autorun.inf /C

i dopiero wtedy kliknij Skanuj.

 

infekcja rozwija się dalej - zachodzi pytanie: skąd, skoro nie podpinasz pendrive'a?
 

C:\ouqqh.pif

D:\mrxdi.exe

 

jessi

Odnośnik do komentarza
Tomitech

Tomitech

Opublikowano
  • Autor
Opublikowano

Dobre pytanie nie mam pojęcia wydaje mi się ze mam jakiś błąd w rejestrze lub jakieś pół kodu i sam sie uzupełnia z sieci bo inaczej nie mam pojęcia. Dodatkowo nadal sa dziwne procesy w menadżerze zadań co go zamknę pojawia sie następny i wszystkjo ma siedzibe w temp dodatkowo ciagle mi sie kasuje ustawienie podgladu ukrytych plików.

OTL.Txt

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

Plik "autorun.inf"na pewno należy do infekcji.

Natomiast nie wiem, co znaczą te:

JOoXCcepabHrcpWuQYtoIj XWtQylgkGvyOkSqc

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:Files
C:\ouqqh.pif
C:\autorun.inf
D:\mrxdi.exe
D:\autorun.inf

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowy log z USBFix.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

W nowym logu USBFixa nie widzę już infekcji.

 

Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

 

w międzyczasie możesz zrobić nowe logi z FRST i OTL, by @Picasso, jak tu zajrzy, miała do wglądu aktualne logi.

 

jessi

Odnośnik do komentarza
Tomitech

Tomitech

Opublikowano
  • Autor
Opublikowano

No i mam takie coś ze wyskakuje mi ze jakas aplikacja zazwyczaj exe nie przekraczająca 150 kb chce sie połaczyć z internetem i czy zezwalam, jak ją wyłacze w menadżerze wyskakuje pochwili inna też około 150 kb o losowej nazwie i jak ją wyłacze to samo wyskoczy kolejna i kolejna tak do 4 razy potem chwila ciszy i od nowa.

UsbFix Listing 7 ADIK1-KOMPUTER.txt

Odnośnik do komentarza
Anonim8

Anonim8

Opublikowano
Opublikowano

Hm, dyski masz zabezpieczone Pandą. Są na nich ukryte pliki autorun.inf. Jedyne co widzę to

 

Uruchom OTL i w oknie Własne opcje skanowania/skrypt wklej:

 

:Files
C:\wgtoq.pif

:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt.

 

 

jest też ukryty plik C:\idem.exe

 

ale nie wiem co o nim sądzić instalowałeś takie coś?

http://pl.systemexplorer.net/file-database/file/idem-exe/16217871

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...