Skocz do zawartości


Zdjęcie

Logi - Trojan "Twój komputer został zablokowany"

Rozpoczęty przez bipiw , 06 12 2012 15:03

  • Zamknięty Temat jest zamknięty
21 odpowiedzi w tym temacie

#1 bipiw

bipiw

    Zaawansowany użytkownik

  • 1 180 postów

Napisano 06 12 2012 - 17:55

Witam. Proszę o sprawdzenie logów:
Załączony plik  OTL.Txt   61,35 KB   260 Ilość pobrań
Załączony plik  Extras.Txt   40,95 KB   282 Ilość pobrań
PS ASK i Mccafe już odinstalowane.

Jeszcze zapomniałem wspomnieć, że OTL miał problem. Dokładniej to krzyczał, że data 2099 jest nieprawidłowa(i zwiecha), tymczasem w kalendarzu windy był dzień dzisiejszy. Dlatego też musiałem zrezygnować ze skanowania plików z 'ostatnich 30 dni' i przełączyłem te opcje na 'Żadne'.

  • 0

#2 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 06 12 2012 - 18:50

no Ok ale nie widzę plików na dysku, logi musisz zrobić nieopisanym tutaj programem DDS ( lub spróbować OTL'em w trybie awaryjnym )

P.S a używasz wersji OTL'a z tego forum ?

Użytkownik pawel315 edytował ten post 06 12 2012 - 19:38

  • 0

#3 bipiw

bipiw

    Zaawansowany użytkownik

  • 1 180 postów

Napisano 06 12 2012 - 20:38

Nie z tego forum, ale też powinno być ok bo z takiego co ma identyczny znaczek przy nazwie zakładki:) Właśnie sam też nie mogłem znaleść tych plików w logu(a to znajomemu wyskoczył ten wir, to się przygotowałem i byłem dzisiaj szukać, a tu zonk). Jutro wpadne do niego z tym DDS może się coś rozjaśni. A tak oprócz tego, że plików nie widać to może podpowiedź odnośnie usunięcia tego co widać(żeby nie było przypału:D?
Domyślam się, że te DRV z brakiem plików można spokojnie wyOTLować. Do tego te bez CLSID. I to:
O4 - HKLM..\Run: [] File not found

  • 0

#4 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 06 12 2012 - 20:43

To co napisałeś to pusty wpis w OTL'u a jak nie uda Ci się z OTL to pobierz jakiś skaner z tematu polecane skanery antyvirusowe i przeskanuj.
A i jeszcze mała podpowiedź usuń jutro wpis z Autostartu o nazwie: rt(coś tam) .lnk i nie powinno być wira
  • 1

#5 bipiw

bipiw

    Zaawansowany użytkownik

  • 1 180 postów

Napisano 07 12 2012 - 16:19

Był okropnie oporny na presfazje(awaryjny nie działał, taskmgr się wyłączał, z msconfiga nie dał się wyłączyć bo robił kopie siebie) ale jakoś się udało.
Załączony plik  dds.txt   12,8 KB   289 Ilość pobrań

Dodatkowo znalazłem jakies pozostałości po Antivirus XP 2008 i zastanawiam się czy gdzieś jakieś śmieci po tym nie zostały.
Nowy skan OTL(nadal bez ostatnio utworzonych-problem z datą)Załączony plik  OTL.Txt   57,32 KB   251 Ilość pobrań

Jest też jakiś problem z aktualizacjami windowsa. Wyskakuje tarcza, że dwie są gotowe do zainstalowania, ale jedna(SP do Offica) chce płyte, a druga(coś od XML'a) niby instaluje się ok ale poźniej i tak chce się instalować od nowa.

Czy te wpisy spokojnie usunąć czy lepiej nie?
SRV - File not found [Auto | Stopped] -- đ%€|x  srv -- (upnphostALG)
SRV - File not found [Auto | Stopped] -- đ%€|x  srv -- (SpoolerTrkWks)
SRV - File not found [Auto | Stopped] -- đ%€|x  srv -- (mnmsrvcsrservice)
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [Disabled | Unknown] -- C:\Program Files\Alwil Software\Avast5\afwServ.exe -- (avast! Firewall)
DRV - File not found [Adapter | On_Demand | Unknown] --  -- (Winsock - Google Desktop Search Backup Before Last Install)
DRV - File not found [Adapter | On_Demand | Unknown] --  -- (Winsock - Google Desktop Search Backup Before First Install)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\Winqu14.sys -- (Winqu14)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\Winjm58.sys -- (Winjm58)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\Winhk60.sys -- (Winhk60)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sony_ssm.sys -- (sony_ssm.sys)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\jfdcd.sys -- (jfdcd)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/mb119?a=6R8p0D5nCi&i=26
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D3A00341-30E9-408C-A6E7-8DFD74236E0D&apn_sauid=302736D9-364E-4D81-9E4F-3086A26B01DE
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6R8p0D5nCi&i=26
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..extensions.enabledItems: ffxtlbr@incredibar.com:1.5.0
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4f7dc1bd6f58f@4f7dc1bd6f591.info: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\extensions\4f7dc1bd6f58f@4f7dc1bd6f591.info [2012-04-03 18:59:28 | 000,000,000 | ---D | M]
[2012-04-03 18:59:28 | 000,000,000 | ---D | M] (TheBflix) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\extensions\4f7dc1bd6f58f@4f7dc1bd6f591.info
[2012-04-03 19:01:03 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\extensions\ffxtlbr@incredibar.com
CHR - Extension: TheBflix = C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ajhcekcffkpnaednoeoegnmnjdlnjjmg\5.1_0\
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKCU..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found

  • 0

#6 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 07 12 2012 - 17:34

nie koniecznie not found w OTL'u w rzeczywistości są "not found" wira widzę ale mam pytanie
dlaczego z konta administrator te logi są zrobione, maja być zrobione z konta, na którym problem występuje,
wejdź w tryb awaryjny odłącz neta i zrób logi z tego konta, co trzeba, chyba, ze nie masz takiej możliwości to mów ;)
  • 0

#7 bipiw

bipiw

    Zaawansowany użytkownik

  • 1 180 postów

Napisano 07 12 2012 - 17:40

Administrator to domyślny użytkownik, a awaryjnego nie dało się włączyć(przynajmniej przed usunięciem ukasha).
  • 0

#8 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 07 12 2012 - 17:41

dobra wywalamy ;)


Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej: 
:Services
upnphostALG
SpoolerTrkWks
mnmsrvcsrservice

:OTL
DRV - File not found [Adapter | On_Demand | Unknown] --  -- (Winsock - Google Desktop Search Backup Before Last Install)
DRV - File not found [Adapter | On_Demand | Unknown] --  -- (Winsock - Google Desktop Search Backup Before First Install)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\Winqu14.sys -- (Winqu14)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\Winjm58.sys -- (Winjm58)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\Winhk60.sys -- (Winhk60)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/mb119?a=6R8p0D5nCi&i=26
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D3A00341-30E9-408C-A6E7-8DFD74236E0D&apn_sauid=302736D9-364E-4D81-9E4F-3086A26B01DE
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6R8p0D5nCi&i=26
FF - prefs.js..browser.search.order.1: "Ask.com"
O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ZTE ZXDSL 852.lnk =  File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found

:Files
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe

:Commands
[emptytemp]
Kliknij Wykonaj skrypt daj log z usuwania.
Następnie:
  • Nowe logi z OTL'a i powiedz czy problem minął :D

Użytkownik pawel315 edytował ten post 07 12 2012 - 17:55

  • 0

#9 bipiw

bipiw

    Zaawansowany użytkownik

  • 1 180 postów

Napisano 07 12 2012 - 17:55

a tych trzech nie?
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

Użytkownik bipiw edytował ten post 07 12 2012 - 18:01

  • 0

#10 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 07 12 2012 - 17:57

no na górze napisałem Ci skrypt do usunięcia tego UKASH
  • 0

#11 bipiw

bipiw

    Zaawansowany użytkownik

  • 1 180 postów

Napisano 07 12 2012 - 18:08

no ja wszystko rozumiem tylko jak się edytuje posty to tak jest. To zostało usunięte zanim napisałem pierwszego posta dzisiaj
:Files
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe
Spójrz na mój wcześniejszy post.

Użytkownik bipiw edytował ten post 07 12 2012 - 18:09

  • 0

#12 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 07 12 2012 - 18:13

mam pytanie do Ciebie.
Masz tego UKASH'a czy nie?
A te wpisy, które mi pokazujesz usunąłbym potem, przecież po to chciałem nowe logi z OTL'a

  • 0

#13 bipiw

bipiw

    Zaawansowany użytkownik

  • 1 180 postów

Napisano 07 12 2012 - 18:18

miałem do 12 gdzieś czyli teraz już nie mam. Dlatego dopytuje się o resztę. Chciałbym załatwić to raz a dobrze bo nie chce mi się co chwila przekładać kabli od jednego komputera do drugiego.
  • 0

#14 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 07 12 2012 - 18:20

no to teraz to dokładnie przeczytaj,
jak mam Ci pomóc skoro ty sam coś usuwasz i ja tylko czas tracę na niepotrzebne pisanie.
Więc jak chcesz "doczyścić" kompa to daj nowe logi z OTL'a i czekaj na skrypt. ;)
  • 0

#15 bipiw

bipiw

    Zaawansowany użytkownik

  • 1 180 postów

Napisano 07 12 2012 - 21:09

No sorki może i za mało wyraźnie napisałem, że go wywaliłem. nowe logi
Załączony plik  OTL skrypt.txt   8,48 KB   249 Ilość pobrań log ze skryptu
Załączony plik  OTL.Txt   47,19 KB   272 Ilość pobrań Nowy skan

no to spróbuje sobie sam odpowiedzieć
FF - prefs.js..extensions.enabledItems: 4f7dc1bd6f58f@4f7dc1bd6f591.info:5.1
FF - prefs.js..extensions.enabledItems: ffxtlbr@incredibar.com:1.5.0
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4f7dc1bd6f58f@4f7dc1bd6f591.info: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\extensions\4f7dc1bd6f58f@4f7dc1bd6f591.info [2012-04-03 18:59:28 | 000,000,000 | ---D | M]
[2012-04-03 18:59:28 | 000,000,000 | ---D | M] (TheBflix) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\extensions\4f7dc1bd6f58f@4f7dc1bd6f591.info
[2012-04-03 19:01:03 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\extensions\ffxtlbr@incredibar.com
[2012-04-19 18:48:25 | 000,002,580 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\searchplugins\askcom.xml
[2012-04-03 19:00:41 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\searchplugins\MyStart Search.xml
CHR - Extension: TheBflix = C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ajhcekcffkpnaednoeoegnmnjdlnjjmg\5.1_0\
HKCU..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
i być może jeszcze cos z tego ale nie jestem pewny
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab (Java Plug-in 1.4.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O33 - MountPoints2\{32115228-8efb-11de-89bc-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{32115228-8efb-11de-89bc-0017315ca403}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{4e72fd22-3be2-11de-88d6-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{4e72fd22-3be2-11de-88d6-0017315ca403}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{79d38734-3be0-11de-88d5-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{79d38734-3be0-11de-88d5-0017315ca403}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{c371768c-8ef9-11de-89bb-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{c371768c-8ef9-11de-89bb-0017315ca403}\Shell\AutoRun\command - "" = F:\AutoRun.exe
Prosze o weryfikacje ;]

Użytkownik bipiw edytował ten post 07 12 2012 - 21:30

  • 0

#16 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 07 12 2012 - 22:26

No dobrze zanalizowałeś tego loga :D
Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej:
:OTL
O4 - HKCU..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.7529.1424\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
FF - prefs.js..extensions.enabledItems: 4f7dc1bd6f58f@4f7dc1bd6f591.info:5.1
FF - prefs.js..extensions.enabledItems: ffxtlbr@incredibar.com:1.5.0

:Commands
[emptytemp]
Kliknij Wykonaj skrypt
Następnie:
  • A wytłumacze dlaczego tamtych wpisów nie usuwałem:
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab (Java Plug-in 1.4.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O33 - MountPoints2\{32115228-8efb-11de-89bc-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{32115228-8efb-11de-89bc-0017315ca403}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{4e72fd22-3be2-11de-88d6-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{4e72fd22-3be2-11de-88d6-0017315ca403}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{79d38734-3be0-11de-88d5-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{79d38734-3be0-11de-88d5-0017315ca403}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{c371768c-8ef9-11de-89bb-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{c371768c-8ef9-11de-89bb-0017315ca403}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    Te pierwsze to są ścieżki do plug-inów, a tego drugiego nie usuniesz i tak bo nie masz pewnie podłączonych pendrivów.
  • A to na górze to wtyczki do przeglądarki
  • Potem w OTL'u kliknij "Sprzątanie"
  • I na koniec ->http://www.forum.twe...mat-t52069.html

Użytkownik pawel315 edytował ten post 07 12 2012 - 22:26

  • 0

#17 bipiw

bipiw

    Zaawansowany użytkownik

  • 1 180 postów

Napisano 08 12 2012 - 01:55

Ostatecznie użyłem takiego skryptu(jeszcze jednego śmiecia znalazłem w DRV):
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\jfdcd.sys -- (jfdcd)
FF - prefs.js..extensions.enabledItems: 4f7dc1bd6f58f@4f7dc1bd6f591.info:5.1
FF - prefs.js..extensions.enabledItems: ffxtlbr@incredibar.com:1.5.0
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4f7dc1bd6f58f@4f7dc1bd6f591.info: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\extensions\4f7dc1bd6f58f@4f7dc1bd6f591.info [2012-04-03 18:59:28 | 000,000,000 | ---D | M]
[2012-04-19 18:48:25 | 000,002,580 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\searchplugins\askcom.xml
[2012-04-03 19:00:41 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2dk4hvwd.default\searchplugins\MyStart Search.xml
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.7529.1424\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
O4 - HKCU..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O33 - MountPoints2\{32115228-8efb-11de-89bc-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{32115228-8efb-11de-89bc-0017315ca403}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{4e72fd22-3be2-11de-88d6-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{4e72fd22-3be2-11de-88d6-0017315ca403}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{79d38734-3be0-11de-88d5-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{79d38734-3be0-11de-88d5-0017315ca403}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{c371768c-8ef9-11de-89bb-0017315ca403}\Shell - "" = AutoRun
O33 - MountPoints2\{c371768c-8ef9-11de-89bb-0017315ca403}\Shell\AutoRun\command - "" = F:\AutoRun.exe
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32115228-8efb-11de-89bc-0017315ca403}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4e72fd22-3be2-11de-88d6-0017315ca403}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{79d38734-3be0-11de-88d5-0017315ca403}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c371768c-8ef9-11de-89bb-0017315ca403}]
:Commands
[emptytemp]
Przy czym te wpisy z rejestru OTL usunąłby automatycznie(taki z niego cwaniak), ale i tak ich już nie było.Te mountpoints2 to prawdopodobnie pozostałość po jakiejś wcześniejszej infekcji, która lubi zarażać z pendriva. Szczęśliwie skasowane:). Wynik działania:Załączony plik  OTL skrypt.txt   16,33 KB   234 Ilość pobrań

Następnie po krótkiej walce z kilkoma mało znaczącymi folderami i plikiem helpa, mającymi datę utworzenia 16825r., udało się zrobić skan OTL do końca:Załączony plik  OTL.Txt   55,89 KB   270 Ilość pobrań

Dodatkowo puściłem AdwCleanera i to jego logi:Załączony plik  AdwCleanerR1.txt   2,06 KB   233 Ilość pobrań,Załączony plik  AdwCleanerS1.txt   2,08 KB   255 Ilość pobrań

Odnośnie aktualizacji to najprawdopodobniej jakaś kolizja Sony z Micro Bila.

Użytkownik bipiw edytował ten post 08 12 2012 - 02:17

  • 0

#18 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 08 12 2012 - 15:19

No dobra to kończymy.
Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej: 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\5537BD61B4.sys

:Commands
[reboot]
Kliknij Wykonaj skrypt
Następnie:

  • 0

#19 laduchn

laduchn

    Początkujący

  • 10 postów

Napisano 08 12 2012 - 15:19

witam. proszę o sprawdzenie loga. użyłam combofixa, na razie jeszcze nic nie usuwałam, bo nie wiem, czy mogę. system wydaje się działać bez zarzutów po skanowaniu CF.

Załączone pliki


  • 0

#20 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 08 12 2012 - 15:22

laduchn po Combofixie twierdzę, że masz coś więcej ( nie martw się ) ale nie polecam używania combofix'a bez przyczyny
Daj logi z OTL'a -> Zasady zakładania tematów z logami - Logi - Forum Komputerowe Tweaks.pl
do działu Bezpieczeństwo->Logi i pomożemy :D ( załóż nowy temat )

Użytkownik pawel315 edytował ten post 08 12 2012 - 15:25

  • 0
Wróć do Bezpieczeństwo (wirusy i trojany)


Użytkownicy przeglądający ten temat: 1

0 użytkowników, 1 gości, 0 anonimowych

  1. Forum Komputerowe Tweaks.pl
  2. Oprogramowanie
  3. Bezpieczeństwo (wirusy i trojany)
  4. Polityka prywatności
  5. Szukaj
  6. Regulamin Forum ·