Blokada programów

Challanger · 18 Listopada 2011

Witam posiadam Samsunga r580 z 7. Otóż mój problem polega na tym iż nie dawno cały internet padł w moim internacie i nie mogę się zalogować na WoT i Team speaka oraz wyskakują mi błędy przy odpalaniu opery. Na początku myślałem że to przez modernizację sieci w internacie ale gdy wróciłem do domu mam to samo. Nie znam się zbytnio, ale sprawdzałem i nie mam żadnych antywirusów co by mi to blokowały, ani firewalla. W portach też nic nie znalazłem. Może to być wina jakiegoś programu lub wirusa? Na poprzednim forum poradzili mi abym przeinstalował te programy oraz przywrócił domyślne ustawienia Firewalla. Tak zrobiłem też nic. Przeskanowałem kompa oto log ze skanu:

Wersja bazy: 8145

Windows 6.1.7601 Service Pack 1

Internet Explorer 8.0.7601.17514

2011-11-12 13:25:12

mbam-log-2011-11-12 (13-25-12).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|)

Przeskanowano obiektów: 482431

Upłynęło: 1 godzin(y), 17 minut(y), 57 sekund(y)

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 19

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

Zainfekowanych plików:

c:\Users\Lukasz\Desktop\Phoenix\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\Lukasz\Desktop\Phoenix\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\Lukasz\Desktop\Phoenix\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\Users\Lukasz\Desktop\Phoenix\Phx_data\Res\ss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\Users\Lukasz\Desktop\Różne\call of duty 4 [pc-dvd] [english]\serial generator.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

c:\Users\Lukasz\documents\vty-0229\ViTALiTY\install.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\Lukasz\downloads\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\Lukasz\downloads\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\Lukasz\downloads\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\Users\Lukasz\downloads\Phx_data\Res\ss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\Windows\System32\woanuuh.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Windows\System32\woanuuh.scr (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Windows\SysWOW64\woanuuh.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Windows\SysWOW64\woanuuh.scr (Trojan.Agent) -> Quarantined and deleted successfully.

d:\Gry\modern warfare 2\teknogods_mw2sp.exe (Backdoor.Agent.Gen) -> Quarantined and deleted successfully.

d:\Phoenix\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully.

d:\Phoenix\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.

d:\Phoenix\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

d:\Phoenix\Phx_data\Res\ss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

peter2012 · 18 Listopada 2011

Podaj logi z OTL.

Póki co, moja magiczna kula () mówi,że to może być infekcja.

picasso · 18 Listopada 2011

Za mało danych. Jest przecież ogłoszenie działu: KLIK. Skoro temat zakładasz w dziale Windows, przynajmniej jest obowiązkiem zaprezentować logi z OTL i Dzienniki zdarzeń.

EDIT: Pisałam nie widząc Twojej odpowiedzi peter2012.

Edytowane 18 Listopada 2011 przez picasso

Challanger · 18 Listopada 2011

Proszę

http://www.wklej.org/id/830776/txt/

http://www.wklej.org/id/830777/txt/

picasso · 21 Listopada 2011

Tu była infekcja skrótami LNK (przeniesiona przez urządzenie przenośne), choć wątpliwe by widzialne odpadki miały związek z problemami. W katalogu SysWOW64 jest masa skrótów LNK tego samego rozmiaru, próbka:

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\zh-TW.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\zh-HK.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\zh-CN.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\XPSViewer.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\xlive.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\winrm.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\WindowsPowerShell.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\wdi.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\WCN.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\wbem.lnk

[2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Wat.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\uk-UA.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\tr-TR.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\th-TH.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Tasks.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sysprep.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sv-SE.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sr-Latn-CS.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sppui.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\spp.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Speech.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sl-SI.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\slmgr.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sk-SK.lnk

[2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Setup.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ru-RU.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\RTCOM.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ro-RO.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\restore.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Recovery.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ras.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\pt-PT.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\pt-BR.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Printing_Admin_Scripts.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\pl-PL.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\pl.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\oobe.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\nl-NL.lnk

[2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\NetworkList.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\NDF.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\nb-NO.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\MUI.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Msdtc.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\migwiz.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\migration.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\manifeststore.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Macromed.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\lv-LV.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\lt-LT.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\LogFiles.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ko-KR.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ja-JP.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\it-IT.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\InstallShield.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\inetsrv.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\IME.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\icsxml.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\hu-HU.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\hr-HR.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\he-IL.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\GroupPolicyUsers.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\GroupPolicy.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\FxsTmp.lnk

[2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\fr-FR.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\fi-FI.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\et-EE.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\es-ES.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\en-US.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\en.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\el-GR.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\DriverStore.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\drivers.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Dism.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\directx.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\de-DE.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\da-DK.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\cs-CZ.lnk

[2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\config.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Video.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Pictures.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Passwords.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\New Folder.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Music.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Documents.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\com.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\catroot2.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\catroot.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\bg-BG.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ar-SA.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\AdvancedInstallers.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\0409.lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\..lnk

[2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\...lnk

[2011/01/12 16:00:31 | 000,000,136 | RHS- | C] () -- C:\windows\SysWow64\autorun.inf

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Windows\SysWow64\autorun.inf
C:\Windows\SysWow64\*.lnk
C:\Users\Lukasz\AppData\Local\Temp*.html
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i automatycznie powinien się otworzyć log z wynikami usuwania, który masz zaprezentować.

2. Przy okazji odinstaluj wtręty sponsoringowe, czyli DAEMON Tools Toolbar i Family Toolbar.

Otóż mój problem polega na tym iż nie dawno cały internet padł w moim internacie i nie mogę się zalogować na WoT i Team speaka oraz wyskakują mi błędy przy odpalaniu opery. Na początku myślałem że to przez modernizację sieci w internacie ale gdy wróciłem do domu mam to samo.

Jakie błędy widzisz podczas próby zalogowania oraz co się pokazuje w Operze? I czy mam rozumieć, że aktualnie system nie ma w ogóle sieci, czy też sieć działa w ograniczonym zakresie?

Z dostarczonych raportów nic konkretnego nie wynika, choć są obiekty budzące podejrzenia.

1. Są tu ślady anonimizerów (które manipulują IP / proxy).

----> W Dzienniku zdarzeń widać taki oto błąd:

Error - 11/11/2011 5:39:52 AM | Computer Name = Lukasz-Komputer | Source = Application Error | ID = 1000

Description = Nazwa aplikacji powodującej błąd: RiccoVPN.exe, wersja: 1.1.0.2, sygnatura

czasowa: 0x4e77a92c Nazwa modułu powodującego błąd: wodVPN.dll, wersja: 2.2.0.113,

sygnatura czasowa: 0x4b38bd51 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000222ba

Identyfikator procesu powodującego błąd: 0xcdc Godzina uruchomienia aplikacji powodującej błąd:

0x01cca042019e841f Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\RiccoVPN\RiccoVPN.exe

Ścieżka modułu powodującego błąd: C:\windows\SysWow64\wodVPN.dll Identyfikator raportu:

1a766e6b-0c49-11e1-82b4-b482fe3791a2

Na błędzie widnieje RiccoVPN. Na liście zainstalowanych nie widzę takiej pozycji (co nie jest dowodem na nieobecność aplikacji, gdyż program może mieć deinstalator nie zapisany w rejestrze) i wpis w starcie jakoby "not found" (także nie dowód, bo tam jest parametr po wykonywalnym i nie ma pewności czy OTL dobrze wykrywa obecność pliku na dysku), ale jednocześnie są aktywne sterowniki tego programu:

========== Driver Services (SafeList) ========== 
DRV:64bit: - [2011/09/27 14:45:31 | 000,030,496 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\PPFlt.sys -- (PrivacyProtectorMP)
DRV:64bit: - [2011/09/27 14:45:31 | 000,030,496 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\PPFlt.sys -- (Passthru)

Czy program jest rzekomo odinstalowany czy wręcz przeciwnie? Do sprawdzenia czy nie tworzy problemu, tzn, odkręcić wszystko i usunąć dla testu aplikację, a jeśli jest jakoby odinstalowana, podam instrukcje jak usunąć sterowniki.

----> Na liście zainstalowanych widzę także Proxifier, który ingeruje w Winsock:

O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Windows\SysWOW64\PrxerNsp.dll (Initex Software)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Windows\SysWOW64\PrxerDrv.dll (Initex Software)

O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Windows\SysWOW64\PrxerDrv.dll (Initex Software)

Kolejna aplikacja do przetestowania przez likwidację. W związku z tym, że są znaki pobytu anonimizerów, czy ustawienia proxy w Operze nie zostały zmanipulowane?

2. Jeśli pozbycie się anonimizerów nie wpłynie na poprawę sytuacji, spróbuj też wykonać ogólne resetowanie sieci. Otwórz Notatnik i wklej w nim:

ipconfig /flushdns

netsh advfirewall reset

netsh winsock reset

netsh int ip reset c:\resetlog.txt

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f

pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako RESET.BAT

Z prawokliku na plik BAT Uruchom jako Administrator. Po wykonaniu skryptu zresetuj system.

.

Challanger · 21 Listopada 2011

Nadal nie działa. RiccoVPN był wcześniej i Profixer były używane w celu ominięcia blokady założone przez burse na większosć stron, tak że nie dało się nawet filmu obejrzeć. Zostały usunięte gdyż myślałem że to coś pomoże. Nie mogę wysłać logu ponieważ " Nie masz uprawnień do wysyłania tego typu plików". Chyba pomoże reinstalacja windowsa.

picasso · 21 Listopada 2011

Nadal nie działa.

Challanger tylko, że "Nadal nie działa." = nie wiadomo o co Ci chodzi. Pytałam dokładnie: "Jakie błędy widzisz podczas próby zalogowania oraz co się pokazuje w Operze?"

Nie mogę wysłać logu ponieważ " Nie masz uprawnień do wysyłania tego typu plików".

Nie doczytana Pomoc forum, w Załącznikach można ładować tylko rozszerzenie *.TXT, a to co próbujesz wstawiać to *.LOG. Wystarczy zmienić tylko nazwę pliku. Ponadto, to tylko ma być dla mnie potwierdzenie wykonania pobocznego zadania i jak zaznaczałam "wątpliwe by widzialne odpadki miały związek z problemami".

.

Challanger · 22 Listopada 2011

W operze nie ale w WoT-cie pisze że nie można połączyć się z siecią.

Zaloguj się

Blokada programów

Rekomendowane odpowiedzi

Challanger

Odnośnik do komentarza

peter2012

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Challanger

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Challanger

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Challanger

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność