te0retyczne Opublikowano 9 Października 2014 Zgłoś Udostępnij Opublikowano 9 Października 2014 Witam, kilka dni temu kupilem nowy dysk, pierwsze co zrobiłem to z Hirensboot'a przywróciłem stary system ( Kopia była robiona od razu po zainstalowaniu systemu) Okazało sie że mam 3 trojany. 2 usunąłem został 3 którego nie moge usunąć a Avast wykrywa mi go tylko i wyłacznie podczas skanowania z poziomu skanu przed rozruchem windowsa. Dodam również że czasami wyskakuje mi okienko dialogowe " użytkownik lub program zażądał informacji od internet " wtedy mam do wyboru połaczenie szerokopasmowe ( czyli te którym sie ciagle łącze z internetem po starcie windowsa) Ta kwestia mnie niepokoi. przejdzmy do Trojana mam nadzieje że mi pomożecie : Oto logi oraz skan z Security Check Pokaż ukrytą zawartość Results of screen317's Security Check version 0.99.88 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 11 ``````````````Antivirus/Firewall Check:`````````````` avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Google Chrome 29.0.1547.66 Google Chrome 37.0.2062.124 ````````Process Check: objlist.exe by Laurent```````` AVAST Software Avast AvastSvc.exe AVAST Software Avast avastui.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Października 2014 Zgłoś Udostępnij Opublikowano 9 Października 2014 W Twoim systemie są dwa konta: ========================= Accounts: ========================== Patryk (S-1-5-21-2763555658-840812829-3868290360-1000 - Administrator - Enabled) => C:\Users\Patryk Patryk1 (S-1-5-21-2763555658-840812829-3868290360-1002 - Limited - Enabled) => C:\Users\Patryk1 Każde musi być sprawdzone z osobna. Dostarczone tu logi są z limitowanego konta Patryk1. Odładuj to konto kompletnie kompletnie poprzez restart systemu (a nie opcję "Przełącz..." czy "Wyloguj..." i powrót na ekran logowania), zaloguj się na konto administracyjne Patryk i zrób nowe logi FRST, pola Addition + Shortcut mają być zaznaczone. . Odnośnik do komentarza
te0retyczne Opublikowano 9 Października 2014 Autor Zgłoś Udostępnij Opublikowano 9 Października 2014 Dodaje z konta administratora Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Października 2014 Zgłoś Udostępnij Opublikowano 10 Października 2014 Nie podałeś gdzie Avast wykrywa "bprotect" (to adware nie trojan), ale podejrzewam, iż w lokalizacji typu Temp lub w Tasks. W Twoich logach brak tej infekcji w formie czynnej, ale są jej ślady odpadkowe (zadanie BitGuard oraz przekierowania delta-search.com w IE). To wszystko to pokłosie "downloaderów" portalowych: KLIK. Dodatkowo, "Delta Toolbar" z protectorem "BitGuard" to relatywnie stara infekcja, więc te odpadki to muszą siedzieć od dość dawna. Przeprowadź następujące kroki będąc zalogowanym po kolei na każdym koncie: PATRYK 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=2CB6001A9244CE02&affID=121565&tsp=5005 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2CB6001A9244CE02&affID=121565&tsp=5005 Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Task: {6C4FC328-6A83-4078-ACBC-C76B5D3C1744} - System32\Tasks\BitGuard => Sc.exe start BitGuard S3 cpuz136; \??\C:\Users\Patryk\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S1 jwvplezk; \??\C:\Windows\system32\drivers\jwvplezk.sys [X] C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Temp C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Patryk\AppData\Roaming\Babylon C:\Users\Patryk\AppData\Roaming\OpenCandy EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. PATRYK1 Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=2CB6001A9244CE02&affID=121565&tsp=5005 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2CB6001A9244CE02&affID=121565&tsp=5005 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST (nie stosuj opcji "Uruchom jako Administrator", gdyż zmieni ona kontekst uprawnień na Patryka) i kliknij w Fix. Od razu otworzy się fixlog.txt - przedstaw go. . Odnośnik do komentarza
te0retyczne Opublikowano 10 Października 2014 Autor Zgłoś Udostępnij Opublikowano 10 Października 2014 Pliki z Admina Bguarda znalazło mi mniej wiecej tutaj, zrobie jeszcze raz skan i przepisze dokładnie users\appdata\local\microsoft\windows\temporary internet files\content.ie5\gsouwrw\pack[1].7z FRST.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... AdwCleanerR0.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Października 2014 Zgłoś Udostępnij Opublikowano 10 Października 2014 Czyli w Temp. I Avast nic nie powinien już znajdować po wykonaniu pierwszego skryptu FRST - komenda EmptyTemp: dedykuje ten obszar. Zadania na koncie Patryk wykonane, jeszcze podaj fixlog.txt z konta Patryk1. Odnośnik do komentarza
te0retyczne Opublikowano 10 Października 2014 Autor Zgłoś Udostępnij Opublikowano 10 Października 2014 Oto i on Przeskanowałem również avastem przy uruchamianiu systemu - teraz wykrylo Win32:Pup-gen Nie zdążyłem zobaczyć gdzie Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Października 2014 Zgłoś Udostępnij Opublikowano 10 Października 2014 Cytat Przeskanowałem również avastem przy uruchamianiu systemu - teraz wykrylo Win32:Pup-gen Wejdź do dzienników Avast i wyszukaj ten wynik. Po samej nazwie nic nie można stwierdzić, poza tym że "PUP" ogólnie to "Potentially Unwanted Program". Odnośnik do komentarza
te0retyczne Opublikowano 11 Października 2014 Autor Zgłoś Udostępnij Opublikowano 11 Października 2014 Z Pupem poradziłem sobie, prawdopodobnie był to fałszywy alarm bo skanowalem 3 razy i nic nie wykryło. Dziękuje za pomoc Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 12 Października 2014 Zgłoś Udostępnij Opublikowano 12 Października 2014 Wszystko wykonane. Finalizacja tematu: 1. Z poziomu konta administracyjnego usuń folder D:\Logi\FRST. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To tyle. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się