adamss Opublikowano 17 Lutego 2011 Zgłoś Udostępnij Opublikowano 17 Lutego 2011 Witam po raz 2 na forum, nie zastosowałem się ostatnio co do końcowych porad w związku z czym wróciłem tu szybciej aniżeli nawet myślałem... Tym razem nie popełnie tego błedu. Objawy: - po podpięciu pendrive'a uruchamia avast natychmias krzyczał wyświetlając komunikat: " Obiekt: j:\suze\nebrises.exe Zarażenie: Win32:Morphex [Cryp] Proces: C:\Windows\system32\svchost.exe" svchost.exe - dopiero po wyłączeniu tego procesu mogłem sformatować pendrive. - podczas uruchomionej przeglądarki (firefox, chrome) otwierały się nowe karty od czasu do czasu. [ informanization . com oraz salesmentary . com] - w weekend gdy padł mi net avast zaczął świrować.. zabierał 99% CPU i dosłownie nie mogłem zrobić nic.. po dłuższych męczarniach odinstalowałem. - gdy ściągam coś przez uTorrent wyskakuje mi: "błąd torrenta Plik: Prison Break2 proces nie moze uzyskac dostepu do pliku poniewaz jest on używany przez inny proces" - wyłączałem wszystkie mozliwe procesy - nadal to sam To chyba tyle z objaw. Jeszcze tylko dodam,że odinstalowałem jakiś czas temu daemona ale ikona stacji dysków nadal jest więc nie wiem jak to tam sie ma jedno z drugim.. Z góry dziękuje i jestem naprawdę pełen podziwu, że to ogarniacie... pozdrawiam adamss Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... gamer.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 18 Lutego 2011 Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\Ask.com C:\Program Files\RelevantKnowledge C:\Documents and Settings\adamss\fswagz.exe C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job :OTL [2011-01-09 23:20:11 | 000,000,000 | ---D | M] (PandoraTV Toolbar) -- C:\Documents and Settings\adamss\Dane aplikacji\Mozilla\Firefox\Profiles\798c1s7g.default\extensions\toolbar@ask.com O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-823518204-602162358-725345543-1003\..\Toolbar\WebBrowser: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\RelevantKnowledge\rlvknlg.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
adamss Opublikowano 18 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Po restarcie otwarty był jakiś raport, zamieszczam go również OTL2.TxtPobieranie informacji ... 02182011_184733.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 18 Lutego 2011 Zgłoś Udostępnij Opublikowano 18 Lutego 2011 OTL nie poradził sobie z jednym istotnym obiektem infekcji. Zmiana metody usuwania. 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\adamss\fswagz.exe" DeleteRegValue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\TaskMan Klik w Execute Now. Zatwierdź restart komputera. 2. Wklejasz wynikowy log z BlitzBlank i nowy log z OTL (otl.txt) Odnośnik do komentarza
adamss Opublikowano 18 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Po kliknięciu w Execute Now wyskakuje błąd: "Syntax error in line 4, Too many parameters " Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2011 Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Jest spacja w ścieżce, dlatego trzeba ująć przez cudzysłów w 4 linii: DeleteFile: "C:\Documents and Settings\adamss\fswagz.exe" DeleteRegValue: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\TaskMan" Odnośnik do komentarza
adamss Opublikowano 18 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2011 BlitzBlank nie wyrzucił żadnego raportu.. po restarcie wszystko było zamknięte. Poniżej bieżący log z OTLa OTL3.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2011 Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Cytat BlitzBlank nie wyrzucił żadnego raportu.. po restarcie wszystko było zamknięte. To się zgadza, on nie otwiera raportu jak OTL, ale raport jest tworzony. W opisie BlitzBlank było napisane: picasso napisał(a): Narzędzie produkuje plik raportu C:\blitzblank.log BlitzBlank usunął plik infekcji, ale pozostał po niej jeszcze pusty wpis. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- Klik w Wykonaj skrypt. To będzie błyskawiczna akcja. 2. Zaprezentuj nowy (i zapewne już ostatni) log z OTL do oceny. . Odnośnik do komentarza
adamss Opublikowano 18 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Faktycznie jest tak jak napisałeś... Nie mogę wyjść z podziwu jak Wy to wszystko robicie. Szacunek ! blitzblank.txtPobieranie informacji ... OTL4.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 18 Lutego 2011 Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Infekcja pomyślnie usunięta. Przejdźmy do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Należy zainstalować SP3 i IE8: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK Odnośnik do komentarza
adamss Opublikowano 19 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Aktualizacja gotowa Dziękuje ogromnie ! Miłego dnia ! pozdrawiam adamss Odnośnik do komentarza
Rekomendowane odpowiedzi