MariuszW Opublikowano 6 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Witam! Zauważyłem podejrzane zachowanie mego komputera. Otóż zdarzyło mi się, że nagle samoistnie zamknęła mi się całkowicie przeglądarka internetowa. Było to o tyle dziwne, że zazwyczaj zamknięcie całej przeglądarki z otwartymi kartami zajmuję pewną chwilę, a to zamknięcie było natychmiastowe. Była to jednarozowa sytuacja. Ale po ponownym uruchomieniu zaczął załączać mi się proces "C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00735B91000B375A0CDF10C2\F4D55F3E00735B91000B375A0CDF10C2.exe", który udaje jakiegoś antywirusa do takiego stopnia, że nawet w Starcie oraz na pulpicie utworzył skróty pn. "Smart Fortress 2012". Niestety uruchomionej aplikacji nie można zamknąć, w trakcie jej działania nie można także uruchomić menedżera zadań. Dlatego też zamykam tą aplikację najszybciej jak mogę zewnętrznym menedżerem procesów, wbudowanym w antywirusa ArcaVir 2012. Skaner antywirusowy ArcaVir 2012 nic nie wykrywa. Oprócz tego zauważyłem, że przy uruchamianiu systemu na krótko pojawia się kilka okienek (konsol) aplikacji winlogon.exe, co wcześniej mi się nie zdarzało, a także podejrzany proces crrss.exe. Logi poniżej, wykonane bez problemu zgodnie z zaleceniami. Jedynie przy uruchamianiu skanowania programem Security Check musiałem wyłączyć monitor antywirusa ArcaVir 2012, gdyż po uruchomieniu Security Check antywirus uznawał go za wirusa i blokował dostęp. Z wyrazami szacunku dla ekipy forum, Mariusz W. otl.txt ekstras.txt gmer.txt security check.txt Odnośnik do komentarza
Landuss Opublikowano 6 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Logi wklejaj jako załączniki a nie do posta. Przerabiam to za ciebie. 1. Przejdź w panel usuwania programów i odinstaluj Smart Fortress 2012 oraz Skaner on-line mks_vir ( firma MKS już nie istnieje) 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services gupdatem gupdate catchme :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_USERS\S-1-5-21-2191895835-1699143235-1803633641-1006\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_USERS\S-1-5-21-2191895835-1699143235-1803633641-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Fortress 2012] :OTL O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe () O4 - HKU\S-1-5-21-2191895835-1699143235-1803633641-1006..\Run: [winlogon] C:\Documents and Settings\Mariusz_W\winlogon.exe () O4 - HKU\S-1-5-21-2191895835-1699143235-1803633641-1006..\RunOnce: [F4D55F3E00735B91000B375A0CDF10C2] C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00735B91000B375A0CDF10C2\F4D55F3E00735B91000B375A0CDF10C2.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 22572 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.pif () [2012-04-06 19:54:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mariusz_W\Menu Start\Programy\Smart Fortress 2012 [2012-04-06 18:37:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00735B91000B375A0CDF10C2 [2012-04-06 19:54:32 | 000,001,214 | ---- | M] () -- C:\Documents and Settings\Mariusz_W\Pulpit\Smart Fortress 2012.lnk :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
MariuszW Opublikowano 6 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Niestety odistalowanie aplikacji Smart Fortress 2012 z panelu sterowania (dodawanie lub usuwanie programów) nie powiodło się. Po kliknięciu na przycisk "Zmień/Usuń" zamknęła mi się przeglądarka internetowa w ten sam sposób jak wcześniej opisany. Oprócz nic widocznego się nie stało. Odnośnik do komentarza
Landuss Opublikowano 6 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 W takim razie leć dalej i wykonuj kolejne czynności. Usunie się go skryptem na siłe, który wyżej nieco zmodyfikowałem. Odnośnik do komentarza
MariuszW Opublikowano 6 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Ponowne uruchomienie komputera przebiegło pomyślnie, żaden widoczny podejrzany program nie uruchomił się. W załączeniu nowe logi z OTL-a. 04072012_002147.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 6 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Jest w porządku, tylko ten folder jeszcze sobie usuń z dysku: C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00735B91000B375A0CDF10C2 Użyj opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK To wszystko. Odnośnik do komentarza
MariuszW Opublikowano 6 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 (edytowane) Wykonane. Przywracanie systemu mam cały czas wyłączone. Folderu przywracania systemy nie opróżnię, trzymam w nim pewne pliki których nie mogę trzymać w innych widzialnych folderach. Czy są jeszcze jakieś kwiatki, np. zbędne wpisy autouruchamiania? Chodzi mi oczywiście o te charakterystyczne tylko dla mojego systemu. Edytowane 7 Kwietnia 2012 przez Landuss Jest w porządku, temat zamykam //Landuss Odnośnik do komentarza
Rekomendowane odpowiedzi