kitek Opublikowano 25 Lutego 2014 Zgłoś Udostępnij Opublikowano 25 Lutego 2014 Cześć wszystkim. Informację tej treści otrzymał mój znajomy sms-em z banku. Po tym zdarzeniu przeskanował kompa zainstalowaną w systemie Avirą, oto wynik: The file 'C:\ATI\Catalyst.exe'contained a virus or unwanted program 'TR/Crypt.Xpack.46811' [trojan]Action(s) taken:The file was deleted. Patrząc w zdarzenia Aviry widzę, że ten komunikat pojawił się już dwukrotnie tydzień wcześniej, w tym samym pliku. Chcielibyśmy mieć pewność, że nic w systemie nie siedzi, więc proszę o sprawdzenie logów. Niestety Gmer, tradycyjnie, wywala BSOD. Kaspersky TDS nic nie znajduje. Jest jeszcze jedno, być może drobiazg. Nie sposób zapisać ustawień w Firefoksie, np. strony startowej czy miejsca, gdzie mają być pobierane pliki. Nie pomaga zresetowanie przeglądarki. Z góry wielkie dzięki. --- Zrobiłem sam jeszcze skan Avirą, załączam wyniki OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... avira.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2014 Zgłoś Udostępnij Opublikowano 25 Lutego 2014 Tak, system jest zainfekowany. W starcie jest wpis "papi.exe" i procesy uruchamiane z Temp. Ten folder C:\ATI wykryty przez Avira wbrew nazwie (i zbieżności z zainstalowanym w systemie sterownikiem ATI) wygląda również na infekcję. Dodatkowo: na liście zainstalowanych stoi pozycja rogue "Antivirus Security Pro", prawdopodobnie jest to jakiś źle doczyszczony odpadek, bo na dysku brak innych śladów. Swoją drogą, to w systemie jest również adware Ask zainstalowane przez Avira pod przykrywką paska "Avira SearchFree Toolbar". Tego komponentu nie będę jednak ruszać. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Documents and Settings\Tadek\Ustawienia lokalne\Temp\tmp2793b4d1.exe HKU\S-1-5-21-796845957-2111687655-839522115-1003\...\Run: [papi.exe] - C:\Documents and Settings\Tadek\Dane aplikacji\Wuko\papi.exe [408576 2011-11-24] () C:\Documents and Settings\Tadek\Dane aplikacji\Ruriu C:\Documents and Settings\Tadek\Dane aplikacji\Wuko C:\Documents and Settings\All Users\Dane aplikacji\TEMP Folder: C:\ATI C:\ATI SearchScopes: HKLM - DefaultScope value is missing. DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll No File Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus Security Pro" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy log FRST (bez Addition i Shortcut). Spróbuj ponowić skan GMER w Trybie awaryjnym Windows. Dołącz plik fixlog.txt. . Odnośnik do komentarza
kitek Opublikowano 25 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2014 Gmer w awaryjnym nic nie znalazł Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2014 Zgłoś Udostępnij Opublikowano 26 Lutego 2014 Zadania wykonane, poprawki: 1. Ten folder C:\ATI jednak okazał się folderem sterowników ATI. Wyciągnij go z kwarantanny C:\FRST\Quarantine i wstaw na poprzednie miejsce. W kwarantannie folder ma zmienioną nazwę, tzn. doklejoną datę, co należy usunąć z nazwy. 2. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-796845957-2111687655-839522115-1003\...\Run: [papi.exe] - "C:\Documents and Settings\Tadek\Dane aplikacji\Wuko\papi.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
kitek Opublikowano 26 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2014 (edytowane) Zrobione Fixlog.txtPobieranie informacji ... Edytowane 12 Marca 2014 przez picasso 12.03.2014 - Temat zamknięty na prośbę. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi