Skocz do zawartości

Resetujący się komputer. Antywirus wykrył trojana


Rekomendowane odpowiedzi

Witam

Mam problem z komputerem mianowicie przed przywróceniem systemu ciągle się resetował, co prawda w trybie awaryjnym nie i dzięki niemu zrobiłem przywrócenie systemu. Poinformowano mnie że antywirus wcześniej znalazł też jakiegoś trojana.

Proszę o sprawdzenie logów i pomoc mi w wyleczeniu komputera.

 

frst

http://www.wklejto.pl/txt198832

additional

http://www.wklejto.pl/txt198833

 

otl

http://www.wklejto.pl/txt198834

extras

http://www.wklejto.pl/txt198835

 

security check

http://wklejto.pl/txt198831

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Na przyszłość: logi umieszczaj na innym serwisie wklejkowym (np. wklej.org) lub jako załączniki forum. Tu użyty jest badziewny (rozkodowane znaki).

 

Mam problem z komputerem mianowicie przed przywróceniem systemu ciągle się resetował, co prawda w trybie awaryjnym nie i dzięki niemu zrobiłem przywrócenie systemu.

Skoro Tryb awaryjny się ładował, wnioski są takie, iż jakiś ofensywny sterownik się uruchamiał w normalnym. Stan tu oglądany jest po Przywróceniu systemu, więc logi na nic. Na dysku są za to pliki Minidump:

 

2014-04-24 14:55 - 2014-04-24 14:54 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-05.dmp

2014-04-24 14:53 - 2014-04-24 14:53 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-04.dmp

2014-04-24 14:52 - 2014-04-24 14:52 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-03.dmp

2014-04-24 14:49 - 2014-04-24 14:49 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-02.dmp

2014-04-24 14:47 - 2014-04-24 14:47 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-01.dmp

 

Przepuść je przez debugger i podaj wyniki: KLIK (punkt 5).

 

 


Oznak infekcji tu nie widzę. Poważne zastrzeżenia budzi tu przede wszystkim stan "zabezpieczeń":

 

Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polish

Internet Explorer Version 6

 

... z dodatkową "ochroną" zdezelowanym ESET z roku 2009:

 

S3 EhttpSrv; C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe [20680 2009-10-07] (ESET)

R2 ekrn; C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [472280 2009-10-07] (ESET)

R2 eamon; C:\WINDOWS\System32\DRIVERS\eamon.sys [40824 2009-10-07] (ESET)

R1 easdrv; C:\WINDOWS\System32\DRIVERS\easdrv.sys [54184 2009-10-07] (ESET)

R1 epfwtdir; C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [35168 2009-10-07] ()

 

 

1. Kosmetyka wpisów odpadkowych, w tym szczątków po produktach G Data (sterowniki AFPAnsi i FO_PAnt). Otwórz Notatnik i wklej w nim:

 

R0 AFPAnsi; C:\WINDOWS\System32\Drivers\AFPAnsi.sys [43904 2002-10-09] (Alfa Corporation)
C:\WINDOWS\System32\Drivers\AFPAnsi.sys
HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k
S2 aksfridge; \??\C:\WINDOWS\system32\drivers\aksfridge.sys [X]
S0 FO_PAnt; System32\Drivers\FO_PAnt.sys [X]
S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X]
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\All Users\Dane aplikacji\Avg7
C:\Documents and Settings\All Users\Dane aplikacji\Google
C:\Documents and Settings\kasiarz\Ustawienia lokalne\Dane aplikacji\Google
C:\Program Files\Google
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. To wszystko do deinstalacji i zastąpienia najnowszymi wersjami:

 

==================== Installed Programs ======================

 

Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

ESET NOD32 Antivirus (HKLM\...\{35E7A746-03D5-4461-9D98-0326B889C81D}) (Version: 3.0.695.0 - Eset spol s r. o.)

Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.300 - Oracle)

McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.8.141.11 - McAfee, Inc.) ----> zbędny (instalacja sponsorowana)

OpenOffice.org 3.3 (HKLM\...\{EB87675F-5281-4767-A54B-31931794C23D}) (Version: 3.3.9567 - OpenOffice.org)

 

3. Uruchom TFC - Temp Cleaner.

 

4. Na dalszą metę: pełna aktualizacja systemu i zainstalowanie nowoczesnego antywirusa.

 

 

 

 

.

Odnośnik do komentarza

Jeśli chodzi o wyniki MBAM: HackTool.SnadBoy to nic złego = po prostu detekcja pobranego Snadboy Revelation (takie programy podglądające hasła zawsze będą wykrywane, niezależnie od celowości), PUM.Disabled.SecurityCenter to tylko wyłączone powiadomienia o aktualizacjach, reszta śmieci. Usuń to.

 

Następnie wdróż co było powiedziane wcześniej. Zadana kolejność była nieprzypadkowa. Najpierw wykonaj punkty 1 do 3, w punkcie 2 oszczędź tymczasowo ESET, skoro jeszcze coś tam działa, dopiero po tym aktualizacje Windows.

 

 

 

.

Odnośnik do komentarza

log frst
http://wklej.org/id/1342629/


tego nie robiłem:
2014-04-24 14:55 - 2014-04-24 14:54 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-05.dmp
2014-04-24 14:53 - 2014-04-24 14:53 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-04.dmp
2014-04-24 14:52 - 2014-04-24 14:52 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-03.dmp
2014-04-24 14:49 - 2014-04-24 14:49 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-02.dmp
2014-04-24 14:47 - 2014-04-24 14:47 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-01.dmp

Przepuść je przez debugger i podaj wyniki: KLIK (punkt 5).
Bo pracuje zdalnie przez VNC na tym kompie i nie wiem za bardzo jak to zrobić i co to ma na celu?

Czy muszę te rzeczy deinstalować
Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox
ESET NOD32 Antivirus (HKLM\...\{35E7A746-03D5-4461-9D98-0326B889C81D}) (Version: 3.0.695.0 - Eset spol s r. o.)
Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.300 - Oracle)
McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.8.141.11 - McAfee, Inc.) ----> zbędny (instalacja sponsorowana)
OpenOffice.org 3.3 (HKLM\...\{EB87675F-5281-4767-A54B-31931794C23D}) (Version: 3.3.9567 - OpenOffice.org)
Czy mogę po prostu je zaktualizować... chodzi mi o adobe, jave, openoffice, mcafee usunę

Jakiego antywirusa polecacie? Jakiego darmowego a jakiego płatnego?

jave usunąłem a nie moge zainstalować nowej
df4a798a1b92.jpg

udało mi się zainstalować wersję offline lecz na stronie javy nie mogę zweryfikować czy mam zainstalowaną... w dodaj usuń programy mam jave 7 update 55

 

afp 12 usunąłem zainstalowałem 13

eseta zostawiłem

java usunąłem zainstalowałem 7 update 55

mcafee usunąłem

openoffice zaktualizowałem 

Odnośnik do komentarza

ewenement, prosiłam już wcześniej, że gdy chcesz uzupełnić informacje w poście, a nikt jeszcze nie odpisał, to należy używać opcję Edytuj, a nie pisać post pod postem. Sklejam całą serię.

 

 

Skrypt FRST pomyślnie wykonany. Możesz usunąć używane narzędzia za pomocą DelFix i wyczyścić foldery Przywracania systemu: KLIK,

 

 

Czy muszę te rzeczy deinstalować

Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

ESET NOD32 Antivirus (HKLM\...\{35E7A746-03D5-4461-9D98-0326B889C81D}) (Version: 3.0.695.0 - Eset spol s r. o.)

Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.300 - Oracle)

McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.8.141.11 - McAfee, Inc.) ----> zbędny (instalacja sponsorowana)

OpenOffice.org 3.3 (HKLM\...\{EB87675F-5281-4767-A54B-31931794C23D}) (Version: 3.3.9567 - OpenOffice.org)

Czy mogę po prostu je zaktualizować... chodzi mi o adobe, jave, openoffice, mcafee usunę

W większości przypadków deinstalacja jest wymagana lub jest lepszym czystszym sposobem instalacji. Np.:

- nie da się zaktualizować bezpośrednio Java 6 do Java 7, wersje nie zostaną zastąpione i nowsza Java zostanie zainstalowana jako odrębny produkt, a w systemie będą aż dwie instalacje (stara się nie usunie).

- OpenOffice.org ponoć także się nie aktualizuje bezpośrednio. Ostatnio ktoś nawet coś takiego opowiadał o konieczności pełnej deinstalacji.

- archaiczny antywirus tym bardziej, ale to osobne zagadnienie.

 

 

Bo pracuje zdalnie przez VNC na tym kompie i nie wiem za bardzo jak to zrobić i co to ma na celu?

- Na dowolnym dostępnym komputerze zainstaluj debugger Microsoftu i otwórz w nim skopiowane z tego systemu wszystkie pasujące czasem do usterki pliki Minidump.

- Co to ma na celu: odczytanie jaka mogła być potencjalna przyczyna tych BSODów, o ile to Cię interesuje, bo przy podejściu "po co, skoro już działa wszystko" pasuję. Podane tu logi w ogóle się do tego nie nadają, bo nie mają takich informacji, a stan oglądany to już po Przywróceniu systemu.

 

 

Jakiego antywirusa polecacie? Jakiego darmowego a jakiego płatnego?

Trwam na stanowisku, że dowolność wyboru, pod warunkiem, iż program jest z czołówki, a nie jakieś niszowe rozwiązanie i pod warunkiem, że przy wyborze komercyjnej wersji nie zostanie ona scrackowana.

 

 

udało mi się zainstalować wersję offline lecz na stronie javy nie mogę zweryfikować czy mam zainstalowaną... w dodaj usuń programy mam jave 7 update 55

Czy Java w określonej przeglądarce jest włączona? Firefox od wersji 26 w ramach ochrony ustawia wtyczki Java w stanie "click to play" (i nie należy tego zmieniać). Instalacja nowej Java tylko wtedy potrzebna, gdy się jej używa: tu pakiet OpenOffice.org. Sprawdź czy on wykrywa poprawnie Java 7, jeśli tak to nie widzę problemu.

 

 

 

.

Odnośnik do komentarza

avast może być z darmowych? W firmie można go za darmo legalnie używać?

Nie, użytek w firmie wymaga komercyjnej wersji. Co dopiero wątek omawiany na forum: KLIK. Czyli to komputer firmowy? W takim przypadku liczba darmowych rozwiązań mocno limitowana.

 

 

Nie wiem jak sprawdzić czy open office wykrywa jave w każdym bądź razie open office uruchamia się normalnie bez problemu.

Nie pamiętam opcji, ale tam jest zestaw relatywny do Java, więc należy sprawdzić czy program te ścieżki wykrył i ustawił sobie w opcjach. Ponato, tu z Wiki jakie funkcje zależą od Java, czyli które można przetestować pod tym kątem: KLIK.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...