Adux Opublikowano 11 Czerwca 2014 Zgłoś Udostępnij Opublikowano 11 Czerwca 2014 Witam, Mój syn nieumyślnie pobrał plik (hxxp://www.speedyshare.com/JaGTS/BoL-Studio-Full-Deal.rar - znajduje się tutaj wirus),plik znajduje się na pulpicie w katalogu BoL Studio(Full Deal),podczas odpalenia aplikacji Bol Studio.exe wyskoczył komunikat z Windows Defender o trojanie,niestety nie posiadam ss z owego komunikatu,windows defender niby usunął owego wirusa ale nadal mam obawy,i tutaj moja prośba mógłbym prosić o sprawdzenie logów? Dodam że folder znajdujący się na pulpicie BoL studio jest czysty. Z pokazanej akcji Windows Defender zapamiętałem tyle: C:\Windows\SysWOW64\ITXWDS\OVD.exe process: pid:3736 Bardzo proszę o sprawdzenie logów,posiadam tutaj bardzo wiele ważnych dokumentów i nie chciałbym by ujrzały światło dzienne. Z góry dziękuje, Pozdrawiam EDIT: Jako iż podane przezemnie logi były z daty kiedy problem był i mogą być już nieaktualne,wrzucam wszystkie od nowa. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
Adux Opublikowano 14 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2014 Musze napisać nowy post.iż nie działa mi opcja Edytuj (Strona się nie włącza)Zapomiałem dodać iż od dłuższego czasu mam problem z internetem,i podejrzewam tutaj wirusa/rookita, internet działa dobrze(prędkość pobierania jest taka jak zazwyczaj,ping 30~40),lecz żadna strona się nie ładuje.. Odnośnik do komentarza
picasso Opublikowano 21 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 21 Sierpnia 2014 Cytat Z pokazanej akcji Windows Defender zapamiętałem tyle: C:\Windows\SysWOW64\ITXWDS\OVD.exe W raportach brak oznak czynnej infekcji, ale na dysku jest widoczny folder wskazywany przez Windows Defender: 2014-06-11 18:50 - 2014-06-11 17:55 - 00000000 __SHD () C:\Windows\SysWOW64\ITXWDS Dodatkowo: w Firefox masz zamontowane niepożądane rozszerzenie "Nervarien Stream", które pochodzi od wips.com - w rozszerzeniach tej marki jest skrypt typu "spyware". Więcej informacji: KLIK. 1. Pobierz najnowszy FRST. Otwórz Notatnik i wklej w nim: C:\Windows\SysWOW64\ITXWDS SearchScopes: HKLM-x32 - DefaultScope value is missing. FF Extension: Nervarien Stream - C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\k2d45yrp.default-1388411162753\Extensions\a2ed01@wips.com [2014-07-03] S1 fixsrzjn; \??\C:\Windows\system32\drivers\fixsrzjn.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót Internet Explorer został błędnie naprawiony (utrata specjalnego atrybutu), prawdopodobnie za pomocą AdwCleaner: Shortcut: C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi użytych narzędzi (C:\ComboFix.txt + z folderu C:\AdwCleaner). Ponadto GMER jest zaciemniony działaniem emulatora SPTD: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2013-07-13] (Duplex Secure Ltd.) Wdróż ogłoszenie (KLIK), zresetuj komputer i ponów skan. . Odnośnik do komentarza
Adux Opublikowano 21 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 21 Sierpnia 2014 @picasso 1. Wykonane 2. Wykonane 3. Wykonane,nie wiedziałem który log dodać z AdwCleaner (są 3) więc dodaje wszystkie. Mogłaby mi pani wytłumaczyć co dało odinstalowanie emulatora SPTD? Czy nie będzie w przyszłości problemów z brakiem 'tego' czegoś? Doszłem tylko do zrestartowania komputera,nie usuwałem żadnych wpisów z rejstru (jestem laikiem w sprawach komputera) Pozdrawiam ComboFix.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... AdwCleanerR0.txtPobieranie informacji ... AdwCleanerR1.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 Zadania wykonane. Oceniając logi z ComboFix i AdwCleaner - nic szczególnego nie było usuwane. W obecnych raportach FRST i GMER brak oznak infekcji. Uściślij czy są jeszcze jakieś problemy. I małe poprawki. Otwórz Notatnik i wklej w nim: AppInit_DLLs-x32: => "" File Not Found S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sptd DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Cytat nie wiedziałem który log dodać z AdwCleaner (są 3) więc dodaje wszystkie Chodziło tylko o plik z wynikami usuwania (w opisie na forum jest podany schemat nazwy: AdwCleanerSX.txt (gdzie X to numer uruchomienia). Cytat Mogłaby mi pani wytłumaczyć co dało odinstalowanie emulatora SPTD? Czy nie będzie w przyszłości problemów z brakiem 'tego' czegoś? Doszłem tylko do zrestartowania komputera,nie usuwałem żadnych wpisów z rejstru (jestem laikiem w sprawach komputera) Jak jest wyjaśnione w opisie GMER, sterownik emulacji może powodować określone problemy podczas skanu (m.in. zafałszowanie obrazu w kwestii wpisów typu "rootkit"). Jego usunięcie jest także wymagane, by poprawnie uruchomić ComboFix... Dodatkowo: wg Twoich raportów w systemie nie ma żadnego programu związanego z emulacją napędów wirtualnych, który montuje sterownik SPTD (Alcohol, DAEMON Tools), więc to i tak był odpadkowy zbędny sterownik. Nie będzie tu przywracany. Szczątek SPTD z rejestru usuwa skrypt FRST podany powyżej. . Odnośnik do komentarza
Adux Opublikowano 23 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 Problemów już raczej żadnych nie ma,dziękuje za profesjonalną pomoc.Log dołączam w załączniku,jeżeli wszystko przebiegło pomyślnie,proszę o zamknięcie tematu,Pozdrawiam! Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 Wpis AppInit_DLLs-x32 nie został przetworzony. Dla świętego spokoju pokaż mi czy on nadal zawiera jakieś dziwne znaki. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt. . Odnośnik do komentarza
Adux Opublikowano 25 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2014 Dołączam powstały log.Tak z czystej ciekawości,co miało oznaczać 'Dla świętego spokoju pokaż mi czy on nadal zawiera jakieś dziwne znaki'? W moim odczuciu zabrzmiało to dosyć chamsko.Pozdrawiam Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2014 Adux, nie za bardzo rozumiem dlaczego tak zinterpretowałeś moją wypowiedź. Chodziło mi o to, że FRST przetwarzając wpis AppInit oznaczył go jako "not found" (nie znaleziony), tak jakby wszystko było już z nim w porządku, więc w teorii powinnam skończyć. Ale "dla świętego spokoju" postanowiłam jednak sprawdzić jak ten wpis wygląda. Skan dostarczony mówi, że dziwny znak nadal w nim jest (FRST go nie przetworzył, bo przeklejanie znaku do Fixlog go wyzerowało) więc poprawka: Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przeddstaw fixlog.txt. . Odnośnik do komentarza
Adux Opublikowano 25 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2014 Pewnie poczułem się 'urażony',dlatego iż jestem dosyć wrażliwy na takie słówka i czasami bywa,iż widze chamstwo tam gdzie go nie ma,dlatego panią przepraszam za złe osądzenie!Dołączam powstały log.Pozdrawiam Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 1 Września 2014 Zgłoś Udostępnij Opublikowano 1 Września 2014 Skrypt pomyślnie wykonany. Na zakończenie: 1. Zastosuj DelFix. Co nie zostanie usunięte ręcznie dokończ. 2. Na Twojej liście zainstalowanych była stara Java 7 Update 55. O ile to nadal aktualne, usuń i zastąp najnowszą (o ile potrzebne): KLIK. . Odnośnik do komentarza
Adux Opublikowano 22 Października 2014 Autor Zgłoś Udostępnij Opublikowano 22 Października 2014 Przepraszam za odpowiedź po prawie dwóch miesiącach, ale zapomniałem kompletnie tutaj odpisać. Wszystko wykonane, dziękuje bardzo za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi