Anonim Opublikowano 18 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2011 Dobry wieczór, Ściągnąłem dziś jednego keygena z internetu, i niestety w nim było coś szkodliwego. Ściągnąłem to z hxxp://www.mediafire.com/?e4m0efrzo5r7bx9 Po uruchomieniu tego pliku, pokazał się komunikat SpyShelter Premium, o próbie przechwycenia klawiszy (keylogger). Kliknąłem na Zezwól, bo to według mnie było normalne, w keygenach i crackach często są wykrywane wirusy. Za chwilkę Malwarebytes' Anti-Malware Pro, wykrył trojana agenta, nie pamiętam w jakiej lokalizacji. Jednak tutaj chyba naprawdę był wirus (a raczej keylogger), bo po chwili SpyShelter znowu wyświetlił komunikat o przechwyceniu klawiszy, tym razem kliknąłem Blokuj, bo lokalizacja pliku była taka: C:\Users\Adam\AppData\Roaming\kernel32.exe Od razu zeskanowałem komputer Hitmanem Pro, który wykrył Tracking Cookies, oraz Dokładnie nie pamiętam jakie to zagrożenie było, jednak pamiętam że to wykrył silnik IKARUS, a to był Backdoor (wiem że robi on fałszywe alarmy, ale w dziwnej lokalizacji był ten plik, Hitman w historii i kwarantannie nie pokazuje jakie zagrożenie było wykryte) Szkodliwy plik usunąłem nim, i zeskanowałem komputer programem Malwarebytes' Anti-Malware, który nic nie wykrył. Dlatego proszę o sprawdzenie logów, chcę wiedzieć czy infekcja nadal jest: OTL.txt: http://wklej.org/id/578815/ Extras.txt: http://wklej.org/id/578816/ (wpisy w pliku HOSTS zostały dodane przeze mnie) Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 19 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 19 Sierpnia 2011 Upiekło się, bo to na pewno był trojan oceniając po lokalizacji + nazwie: Jednak tutaj chyba naprawdę był wirus (a raczej keylogger), bo po chwili SpyShelter znowu wyświetlił komunikat o przechwyceniu klawiszy, tym razem kliknąłem Blokuj, bo lokalizacja pliku była taka: C:\Users\Adam\AppData\Roaming\kernel32.exe W logach nie widzę nic w stanie czynnym, ale jest tu ślad czegoś co wygląda na infekcję (tu Cię uratował Windows typu 64-bit, bo sterownik najwyraźniej nie może się uruchomić): DRV - [2011-08-14 10:10:08 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\odvilq.sys -- (pkrujoa) [2011-08-14 10:10:08 | 000,061,440 | ---- | M] () -- C:\Windows\SysWow64\drivers\odvilq.sys + błąd w Dzienniku zdarzeń: Error - 2011-08-18 02:39:21 | Computer Name = Adam-Komputer | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: pkrujoa 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2011-08-14 10:10:08 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\odvilq.sys -- (pkrujoa) :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. Wynikowy log z tego przetwarzania będziesz pokazywał. 2. Zrób nowy log z OTL na warunku dostosowanym, tzn. w polu Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj. . Odnośnik do komentarza
Anonim Opublikowano 19 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 19 Sierpnia 2011 Raport po wykonaniu skryptu: http://wklej.org/id/578988/ A "C:\Windows\SysWOW64\drivers\odvilq.sys" nie przeniósł się bo Immunet dodał go do kwarantanny w czasie wykonywania skryptu. File move failed. C:\Windows\SysWOW64\drivers\odvilq.sys scheduled to be moved on reboot. i dlatego też po restarcie nie przeniósł się. Files\Folders moved on Reboot...File\Folder C:\Windows\SysWOW64\drivers\odvilq.sys not found! Przypomniało mi się że Hitman Pro wykrył Backdoor.MSIL!IK Nowy log: http://wklej.org/id/578989/ (nie wiem czy dobrze zrobiłem, bo nie zaznaczałem pod rejestrem "Użyj filtrowania", oraz nie zaznaczyłem Infekcji LOP i PURITY) Jest czysto? Odnośnik do komentarza
picasso Opublikowano 20 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2011 Zadanie wykonane. W nowym logu nie widać nic nowego. Możesz użyć Sprzątanie w OTL oraz wyczyścić foldery Przywracania systemu (INSTRUKCJE). (nie wiem czy dobrze zrobiłem, bo nie zaznaczałem pod rejestrem "Użyj filtrowania", oraz nie zaznaczyłem Infekcji LOP i PURITY) Te dane po raz drugi nie są mi potrzebne. Usuwanie tu prowadzone nie zmieniło danych przedstawianych tą partią. . Odnośnik do komentarza
Anonim Opublikowano 21 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 21 Sierpnia 2011 Wyczyszczę później foldery przywracania systemu (chyba że teraz muszę to zrobić), bo mam inny problem, nie mogę instalować części programów, np. to się pokazuję przy instalacji VirtualBox Po kliknięciu OK Po ponownym kliknięciu OK: I gdy teraz kliknę OK okno znika Po kilku próbach czasami udaje się zainstalować. Poczytam trochę w Googlach na temat tego błędu 2869 Może mieć to jakiś związek z infekcją? Edit: Jednak będę reinstalował Windows, nie mam nic ważnego w komputerze, wystarczy że zapisze jakie mam programy zainstalowane i po formacie je zainstaluje. Dziękuję za sprawdzenie logów, można zamknąć Odnośnik do komentarza
picasso Opublikowano 21 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 21 Sierpnia 2011 Znane tu elementy infekcji nie powinny mieć związku z problemem instalacyjnym. Sprawdź czy ten sam błąd się pojawi, jeśli użyjesz komendy: msiexec /a "ścieżka do instalacyjnego pliku msi" EDIT: Nie widziałam edycji pisząc odpowiedź. . Odnośnik do komentarza
Anonim Opublikowano 21 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 21 Sierpnia 2011 Plik mam jest w EXE, ale dzieje się to w wielu programach Jeszcze nie reinstaluje, bo może jednak coś da się zrobić? Odnośnik do komentarza
picasso Opublikowano 21 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 21 Sierpnia 2011 Plik mam jest w EXE, ale dzieje się to w wielu programach Po błędzie widać, że chodzi o Instalator Windows. Rozszerzenie *.EXE czy *.MSI, ale nadal ten sam typ instalatora. Podając Ci do weryfikacji komendę sprawdzam ten scenariusz uprawnień: KLIK (przełącznik /a wywołuje instalację w trybie administracyjnym). Przy okazji: nie manipulowałeś nic na UAC? EDIT: inna myśl, a przypadkiem tu nie ma coś do rzeczy oprogramowanie zabezpieczające? . Odnośnik do komentarza
Anonim Opublikowano 21 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 21 Sierpnia 2011 Przy okazji: nie manipulowałeś nic na UAC? Jedynie zmieniałem aby nie przyciemniało mi ekranu, ale zawsze to robię po instalacji Windows i nic się nie dzieje, obecnie mam tak ustawione: Edit: a przypadkiem tu nie ma coś do rzeczy oprogramowanie zabezpieczające? Też nad tym myślę, odinstaluje na razie Immunet Edit 2: To samo jest niestety Nie pomoże czasem wyłączenie UAC? Edit 3: To samo, wyłączenie Malwarebytes Pro też nie pomaga, Odnośnik do komentarza
picasso Opublikowano 21 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 21 Sierpnia 2011 Też nad tym myślę, odinstaluje na razie Immunet(...) To samo jest niestety (...) To samo, wyłączenie Malwarebytes Pro też nie pomaga, Do sprawdzenia został jeszcze SpyShelter. PS. Ja teraz już oddalam się z forum, będę dopiero w nocy lub jutro rano. . Odnośnik do komentarza
Anonim Opublikowano 21 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 21 Sierpnia 2011 Problem rozwiązany , wystarczyło odinstalować Wise Disk Cleaner, i Wise Registry Cleaner. Dziękuję za sprawdzenie logów, można oczywiście zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi