Skocz do zawartości

  2. Przeglądanie profilu: Reputacja: pawel315

pawel315

Rejestracja: 28 paź 2012
OFFLINE Ostatnio: wczoraj, 00:19
*****

#263778 Infekcje w plikach wykonywalnych - Ciężkie do usunięcia przypadki

Napisane przez pawel315 w 02 12 2012 - 13:47

Infekcje w plikach wykonywalnych





Dołączona grafika






Infekcje w plikach wykonywalnych są ciężkie do usunięcia, dlatego że atakują pliki z których zbudowany jest system, co często skutkuje różnego rodzaju błędami.
W każdym przypadku modyfikowany jest kod systemowej biblioteki NTDLL.dll można to zobaczyć w logu i będzie wyglądało tak:

detected NTDLL code modification:
ZwOpenFile
Poniżej przedstawię kilka najpopularniejszych a za razem najcięższych do usunięcia wirusów.






Win32:Sality
( może wystąpić również nazwa Win32.Sector.12 )



Charakterystyczne objawy:
  • Występowanie w logu usług parodiujących niejako usługi systemowe o losowym pliku ( na czerwono fałszywe na zielono prawidłowe )
  • abp480n5 ++> abp470n5
  • dac960nt ++> dac970nt
  • asc3550 oraz asc3350p ++> asc3360pr
  • Lub inne
Co w logu np. z OTL'a będzie wyglądać tak:

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ssmmom.sys -- (abp470n5)
lub
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\khkug.sys -- (amsint32)
lub inne
  • Występowanie pliku Keylogger'a pod losową nazwą z końcówka ******32.dll
  • Zablokowany Manager Zadań:



Dołączona grafika

  • Zablokowany Edytor rejestru:



Dołączona grafika

  • Niemożność wejścia do trybu awaryjnego ( choć nie zawsze )
  • Błędy aplikacji:


Dołączona grafika

Dołączona grafika



Infekowane pliki:
  • *.exe
  • *.dll
  • *.scr
  • *.zip
  • *.html

Leczenie:

  • Z poziomu działającego systemu ( nie zawsze skuteczne )
  • Dołączona grafika lub alternatywa gdyby ten był blokowany Dołączona grafika
  • Dołączona grafika
  • Dołączona grafika
2. Z poziomu niedziałającego systemu

Win32:Jeefo

( może wystąpić nazwa - Win32.Hidrag )

Charakterystyczne objawy:
  • Usługa PowerManager zamontowana na pliku C:\Windows\svchost.exe nie pomylić z systemowym C:\Windows\system32\svchost.exe, pierwszy jest kopią wirusa i należy go usunąć, natomiast drugi jest plikiem systemowym i nie wolno go usuwać ( bez niego nie startuje system )
  • Wgląd w logu z OTL'a:

PRC - [2001-08-24 20:00:00 | 000,036,352 | --S- | M] (Microsoft Corporation) -- C:\Windows\svchost.exe
SRV - File not found [Disabled | Stopped] -- C:\Windows\svchost.exe -- (PowerManager)

Infekowane pliki:
  • *.exe

Leczenie:

  • Z poziomu działającego systemu ( nie zawsze skuteczne )
  • Dołączona grafika
  • Dołączona grafika
2. Z poziomu niedziałającego systemu

Win32:Virut

( mogą wystąpić nazwy: Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen )




Charakterystyczne objawy:
  • W logu z OTL mogą pojawić się wpisy:
========== Standard Registry (SafeList) ==========
O4 - HKCU..\Run: [reader_s] C:\Documents and Settings\user\reader_s.exe (Microsoft Corporation)
O4 - HKLM..\Run: [reader_s] C:\WINDOWS\system32\reader_s.exe(Microsoft Corporation)
O4 - HKLM..\Run: [services] C:\WINDOWS\services.exe ()


I tu od razu uwaga niech nie zmyli was sygnatura (Microsoft Corporation). Plik reader_s.exe jest parodią prawidłowego pliku, który pochodzi od Adobe - reader_sl.exe. Ten oznaczony na czerwono jest kopią wirusa i należy go usunąć, natomiast drugi jest prawidłowym plikiem Adobe.
Natomiast plik C:\WINDOWS\services.exe parodiuje plik systemowy C:\Windows\system32\services.exe.Podobnie jak w pierwszym przypadku plik zaznaczony na czerwono usuwamy, natomiast ten na zielono jest plikiem systemowy i jeśli go usuniemy to system może nie wystartować.
  • Liczne hooki biblioteki ntdll.dll co w logu z GMER może być widoczne jako:
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FF927E1
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FF92835
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FF92842
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FF9282E
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FFA27E1
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FFA2835
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FFA2842
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FFA282E
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FF927E1
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FF92835
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FF92842
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FF9282E
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FFA27E1
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FFA2835
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FFA2842
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FFA282E

  • Dodanie do autostartu pliku szkodnika, co w OTL'u może wyglądać tak:
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 190 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msftiivw.scr ()

  • Na dysku mogą tworzyć się pliki tego typu:
C:\WINDOWS\system32\temp*.exe
* - to dowolna liczba

C:\WINDOWS\FONTS\*.com

*-dowolna nazwa pliku

  • Również takie pliki mogą się pojawić:
C:\WINDOWS\WINDOWS.exe
C:\Program Files\Program Files.exe
  • Dodatkowo któryś sterowników mógł zostać zarażony:
ndis.sys
atapi.sys
ntfs.sys
beep.sys
null.sys
agp440.sys

Infekowane pliki:
  • *.jpg
  • *.pdf
  • *.doc
  • *.exe
  • *.dll
  • *.scr

Leczenie:

  • Z poziomu działającego systemu ( nie zawsze skuteczne )
  • Dołączona grafika
  • Dołączona grafika
2. Z poziomu niedziałającego systemu

Win32:Parite

( może być wykrywany jako: W32.Pinfi / W32.Pate / PE_PARITE/Win32:BackDoor-Servu )



Charakterystyczne objawy:,
  • Niestabilność powłoki explorer.exe ( zawieszanie się restarty itp.) ponieważ to ona jest odpowiedzialna za roznoszenie wirusa.
  • ​Błędy programów i integralności instalatora NSIS


Dołączona grafika

  • W OTL'u może się pojawić załadowany moduł:

========== Modules (No Company Name) ==========
MOD - [2012-06-25 19:21:06 | 000,176,128 | ---- | M] () -- C:\Windows\Temp\qsaABA0.tmp
  • Utworzenie wpisu szkodnika w rejestrze:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]
  • Ciągłe pojawianie się plików *.tmp w katalogu C:\Windows\Temp
Infekowane pliki:
  • *.exe
  • *.scr

Leczenie:

  • Z poziomu działającego systemu ( nie zawsze skuteczne )
  • Dołączona grafika
  • Dołączona grafika
2. Z poziomu niedziałającego systemu

Win32:Tenga

( może być wykrywany jako: W32.Licum / W32.Gael / W32.Stanit )



Charakterystyczne objawy:
  • Pojawiający się na ekranie komunikat

16-bitowy podsystem MS-DOS
dl.exe
NTVDM CPU: napotkano niedozwoloną instrukcję.
CS:06bd IP:0206 OP:63 61 74 69 6f Wybierz przycisk "Zamknij". aby zakończyć działanie aplikacji.
  • Występowanie tych plików na dysku

dl.exe
cback.exe
gaelicum.exe

Infekowane pliki:
  • *.exe
  • *.dll
  • *.scr

Leczenie:

  • Z poziomu działającego systemu ( nie zawsze skuteczne )
  • Dołączona grafika
  • Dołączona grafika
2. Z poziomu niedziałającego systemu


Win32:Neshta.a

Charakterystyczne objawy:
  • Pojawienie się pliku svchost.com w katalogu C:\Windows\svchost.com
  • Dodanie do rejestru takiego klucza

[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*"

Infekowane pliki:
  • *.exe

Leczenie:

  • Z poziomu działającego systemu ( nie zawsze skuteczne )
  • Dołączona grafika
2. Z poziomu niedziałającego systemu

Win32:Mabezat


Charakterystyczne objawy:
  • Pojawienie się takich plików

%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dll
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\zPharaoh.dat
C:\zPharaoh.exe
C:\autorun.inf

Infekowane pliki:
  • *.exe
  • *.dll
  • *.scr

Leczenie:

  • Z poziomu działającego systemu ( nie zawsze skuteczne )
  • Dołączona grafika
2. Z poziomu niedziałającego systemu

Win32:Alman


Charakterystyczne objawy:
  • Sterownik nwmini.sysparodiujący sterownik firmy NIVIDIA, co w OTL'u wygląda tak:
DRV - [2012-07-05 07:00:53 | 000,017,152 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\nvmini.sys -- (nvmini)

Infekowane pliki:
  • *.exe

Leczenie:

  • Z poziomu działającego systemu ( nie zawsze skuteczne )
  • Dołączona grafika
2. Z poziomu niedziałającego systemu

Win32:Ramnit

( może być wykrywany jako HTML/Drop.Agent.AB, Win32.Nimnul, Win32.Rmnet )



Charakterystyczne objawy:
  • ​ Utworzenie shela, co w OTL'u może być widoczne jako
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Uzytkownik\Dane aplikacji\C8255\B58A5.exe) - C:\Documents and Settings\Uzytkownik\Dane aplikacji\C8255\B58A5.exe ()
O20 - HKCU Winlogon: Userinit - ((C:\Program Files\advcusdm\ignofvma.exe)- C:\Program Files\advcusdm\ignofvma.exe ()


Infekowane pliki:
  • *.exe
  • *.dll
  • *.html
  • *.scr

Leczenie:

  • Z poziomu działającego systemu ( nie zawsze skuteczne )
  • Dołączona grafika
2. Z poziomu niedziałającego systemu ->Kaspersky Rescue Disk 10
  • 1


#263757 Logi - Liczne keyloggery w systemie

Napisane przez pawel315 w 01 12 2012 - 23:08

Super :)
To co znalazł Mbam do usunięcia ( Przeskanuj jeszcze raz i daj akcję usuń )

Jeszcze byłabym bardzo wdzięczna o wskazówkę jak dostać się do tego panelu administracyjnego routera żeby zmienić hasło :rolleyes:


Za chwilę może uda mi się Quake'a podesłać to powinien to wytłumaczyć :D
  • 1


#263747 Logi - Liczne keyloggery w systemie

Napisane przez pawel315 w 01 12 2012 - 21:41

Witaj.
Faktycznie jest coś na rzeczy.Cwaniaczek z niego masz keylogger'a ;)
Odinstaluj:

Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej: 
:OTL
O4 - HKU\S-1-5-21-1760864935-444826671-870795889-1001..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-1760864935-444826671-870795889-1001..\Run: [rundll32] C:\Users\Aga\AppData\Local\Temp\MSDCSC\msdcsc.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1760864935-444826671-870795889-1001..\Run: [WinDefender] C:\Users\Aga\AppData\Local\Temp\scoped_dir48064\WinDefender.Exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Aga\AppData\Local\Temp\MSDCSC\msdcsc.exe) - C:\Users\Aga\AppData\Local\Temp\MSDCSC\msdcsc.exe (Microsoft Corporation)

:Files
C:\Users\Aga\AppData\Local\Temp\MSDCSC
C:\Users\Aga\AppData\Local\Temp\scoped_dir48064
C:\Windows\KJ.exe

:Commands
[emptytemp]
Kliknij Wykonaj skrypt daj log z usuwania.
Następnie:
  • Sprawdź co jest w tym folderze ->C:\Windows\SysWow64\SYSTEM32
  • Nowe logi z OTL'a i powiedz czy coś się poprawiło

  • 2


#263641 Logi - Poważny Wirus na PC z win xP

Napisane przez pawel315 w 29 11 2012 - 00:27

Witaj.
Nie tylko jeden wirusik tu jest :)
Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej: 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=Maxtor_6Y080L0_Y2M83NAE&ts=1353109429
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=Maxtor_6Y080L0_Y2M83NAE&ts=1353109429
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=Maxtor_6Y080L0_Y2M83NAE&ts=1353109429
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=Maxtor_6Y080L0_Y2M83NAE&ts=1353109429
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
CHR - default_search_provider: v9 (Enabled)
CHR - default_search_provider: search_url = http://search.v9.com/web/?q={searchTerms}
CHR - default_search_provider: suggest_url = ,
CHR - homepage: http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=Maxtor_6Y080L0_Y2M83NAE&ts=1353109429
O4 - HKCU..\Run: [5705f043c965501cae6a2f2b5a658cb1] C:\Documents and Settings\Windows XP\Dane aplikacji\SYSiz.exe ()
O4 - Startup: C:\Documents and Settings\Windows XP\Menu Start\Programy\Autostart\5705f043c965501cae6a2f2b5a658cb1.exe ()

:Commands
[emptytemp]
Kliknij Wykonaj skrypt daj log z usuwania.
1. Następnie:
  • Przedstaw nowe logi z OTL'a ( opcja skanuj )

  • 2


#263417 Dziwne znaki w trakcie instalowania programow a takze podczas otwierania nota...

Napisane przez pawel315 w 23 11 2012 - 22:23

I jest skrypcik ale najpierw:
Odinstaluj:
BabylonObjectInstaller
AVG Security Toolbar
Babylon toolbar on IE
Pazera Toolbar
uTorrentControl2 Toolbar
Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej: 
:OTL
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
IE - HKU\S-1-5-21-362878115-2744670044-11565926-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=113480&tt=010712_2&babsrc=SP_ss&mntrId=de40e3f5000000000000889ffa86c033
IE - HKU\S-1-5-21-362878115-2744670044-11565926-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKU\S-1-5-21-362878115-2744670044-11565926-1000\..\SearchScopes\{52FA8A27-61BB-4DFB-AF22-1A6614432186}: "URL" = http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63263&p={searchTerms}
IE - HKU\S-1-5-21-362878115-2744670044-11565926-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={75A4C347-EDB4-4992-AD96-A4FA446266D0}&mid=d1407a45f80f47d0902e4902a774169b-5230ef35dda1d1618c06dd87c6e3ca6afd326c58&lang=pl&ds=cv011&pr=sa&d=2012-07-17 16:51:59&v=12.2.5.32&sap=dsp&q={searchTerms}
O4 - HKLM..\Run: [ROC_ROC_JULY_P1] C:\Program Files (x86)\AVG Secure Search\ROC_ROC_JULY_P1.exe ()
O4 - HKLM..\Run: [vProt] C:\Program Files (x86)\AVG Secure Search\vprot.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\dmax\AppData\Roaming\Babylon
C:\Users\dmax\AppData\Roaming\BabylonToolbar
C:\Users\dmax\AppData\Roaming\Stykz

:Commands
[emptytemp]
Kliknij Wykonaj skrypt daj log z usuwania.
Następnie:

  • 1


#263398 OTL Prosba o sprawdzenie ....

Napisane przez pawel315 w 23 11 2012 - 18:47

Na moje oko to jest OK. :)
W Otl'u kliknij "Sprzątanie"
a jeśli gry dalej się Tobie minimalizują to już nie ten dział i nie ten temat :)
  • 1


#263347 OTL Prosba o sprawdzenie ....

Napisane przez pawel315 w 22 11 2012 - 21:16

Witaj.
Nic tu podejrzanego nie widzę :)
Odinstaluj:
 uTorrentControl2 Toolbar
Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej: 
:OTL
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Commands
[emptytemp]
Kliknij Wykonaj skrypt daj log z usuwania.
Następnie:

  • 1


#263321 Internet - problemy

Napisane przez pawel315 w 21 11 2012 - 21:52

musisz nowy temat w odpowiednim dziale założyć odnośnie tej pamięci ;D
  • 1


#263318 Internet - problemy

Napisane przez pawel315 w 21 11 2012 - 21:45

co do tego okna to nie jest czasem reklama, której adobe flash nie może wyświetlić, na początek zainstaluj adblocka do firefox'a
  • 1


#263307 Logi - Koń trojański w pamięci operacyjnej.

Napisane przez pawel315 w 21 11 2012 - 19:20

Witaj.

Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej:
:OTL
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={187BBEF5-E52E-423C-A067-A8D33AA11085}&mid=8cdb6eca5ffa47d18f8cd129f5780c54-ebda45a112fabac7ce3ff4092e31b2ab76ce7bf4&lang=pl&ds=is015&pr=sa&d=2012-03-09 13:56:57&v=10.0.0.7&sap=dsp&q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
O4 - HKCU..\Run: [Raadopdaby] "C:\Documents and Settings\house\Dane aplikacji\Etry\lyutu.exe" File not found

:Files
C:\Documents and Settings\house\Dane aplikacji\Roreod
C:\Documents and Settings\house\Dane aplikacji\Neucu
C:\Documents and Settings\house\Dane aplikacji\Etry
C:\378b0b43ff6fd20b9c31427910ce19c1

:Commands
[emptytemp]
Kliknij Wykonaj skrypt daj log z usuwania.
Następnie:
  • Powiedz czy minął problem :)

  • 1


#263304 Internet - problemy

Napisane przez pawel315 w 21 11 2012 - 18:42

Witaj ponownie :).
Odinstaluj:
AVG Security Toolbar
Imikimi Plugin
W logach widać dużą aktowność adware i z tąd problemy z netem.
Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST380215A_9RX9ZPJF____9RX9ZPJF&ts=1353230318
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST380215A_9RX9ZPJF____9RX9ZPJF&ts=1353230318
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?q={searchTerms}
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST380215A_9RX9ZPJF____9RX9ZPJF&ts=1353230318
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={D15E183F-2018-41D3-8E5B-4A4ED4965629}&mid=076bd1c8d42647d0a575d1422cfc72c6-06ce4fc639803a2e3563922518183d8e94088cb9&lang=pl&ds=xn011&pr=sa&d=2012-11-14 09:34:47&v=13.2.0.5&sap=hp
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={D15E183F-2018-41D3-8E5B-4A4ED4965629}&mid=076bd1c8d42647d0a575d1422cfc72c6-06ce4fc639803a2e3563922518183d8e94088cb9&lang=pl&ds=xn011&pr=sa&d=2012-11-14 09:34:47&v=13.2.0.4&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{98B1665F-425A-4AB4-AFEE-9CDA5AFEB3D9}: "URL" = http://www3.iamwired.net/websearch.php?src=tops&search={SearchTerms}
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "v9"
FF - prefs.js..browser.search.defaultthis.engineName: " "
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "v9"
FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST380215A_9RX9ZPJF____9RX9ZPJF&ts=1353230318"
FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid={D15E183F-2018-41D3-8E5B-4A4ED4965629}&mid=076bd1c8d42647d0a575d1422cfc72c6-06ce4fc639803a2e3563922518183d8e94088cb9&lang=pl&ds=xn011&pr=sa&d=2012-11-14 09:34:47&v=13.2.0.4&sap=ku&q="
O4 - HKLM..\Run: [ROC_roc_ssl_v12] C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe ()
O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()

:Commands
[emptytemp]
Kliknij Wykonaj skrypt
Następnie:
  • 2


#262800 Logi - Wolno działający komp

Napisane przez pawel315 w 14 11 2012 - 14:14

Dobra wykonaj kroki końcowe ->/Czynnosci-ktore-finalizuja-temat-t52069/
  • 1


#262758 Czynności, które finalizują temat

Napisane przez pawel315 w 13 11 2012 - 20:53

Czyszczenie punktów przywracania systemu


Windows 7

  • Uruchamiamy "Mój komputer" nstępnie klikamy zakładkę właściwości.






    Dołączona grafika

  • Przechodzimy w zakładkę "Ochrona systemu" następnie klikamy przycisk "Konfiguruj" i potem klikamy na klawisz "Usuń"





    Dołączona grafika


Windows Vista

  • Uruchamiamy "Mój komputer" nstępnie klikamy zakładkę "Właściwości".
  • Przechodzimy w zakładkę "Ochrona systemu", odhaczamy a następnie zaznaczamy ( tak jak na obrazku ).


Dołączona grafika





Windows XP

  • Otwieramy "Mój komputer" klikamy prawym przyciskiem, wciskamy zakładkę "Właściwości"i i wchodzimy w zakładkę "Przywracanie systemu"


  • Dołączona grafika

  • Zaznaczamy opcję Wyłącz przywracanie systemu/Wyłącz przywracanie systemu na wszystkich dyskach" a następnie ją odznaczamy.


Aktualizowanie oprogramowania na komputerze

  • Pobieramy program Security Check
  • Uruchamiamy pobraną aplikację, klikamy jakiś klawisz i cierpliwie czekamy ( w systemach Windows 7/Vista klikamy prawym przyciskiem myszy i "Uruchom jako administrator" )






    Dołączona grafika

  • Po zakończonym skanowaniu otworzy sie log w notatniku i aktualizujemy wszystkie programy zaznaczone jako "Out of date". ( w przypadku problemów wrzucamy log na forum )


Dołączona grafika





Czyszczenie lokalizacji tymczasowych i usuwanie zbędnych wpisów w rejestrze

  • Pobieramy program CCleaner
  • Uruchamiamy aplikacje i:
  • Przechodzimy w zakładkę "Cleaner"
  • Klikamy klawisz "Analiza"
  • Po zakończonej analizie klikamy klawisz "Uruchom Cleaner"


Dołączona grafika

  • Przechodzimy zakładkę "1. Rejestr " i:
2 Klikamy klawisz "Skanuj aby znaleść problemy"
3. Po zakończonym skanowaniu klikamy klawisz "Napraw zaznaczone problemy..."


Dołączona grafika


  • 4


#262691 Lista polecanych skanerów antywirusowych

Napisane przez pawel315 w 12 11 2012 - 20:02

Skanery antyvirusowe przeskanują system pod kątem obecności złośliwego oprogramowania w naszym systemie.
 


Skanery uruchamiane z systemu Windows



1. Kaspersky Virus Removal Tool ( KVRT ).Link do pobrania KVRT -> KVRT [ 136 MB ]


pre_1352741910__screenshot-kaspersky-vir
Główne okno programu z wynikami skanowania



2. MalwareBytes Anti-Malware. Link do pobrania Mbam -> Pobierz Mbam [ 11 MB ]


pre_1352742162__mbam.png
Główne okno programu MalwareBytes Anti-Malware



3. DrWeb CureIt. Link do pobrania DrWeb -> Pobierz DrWeb Na stronie należy zaznaczyć opcję "I accept Dr.Web License Agreement." i kliknąć "Continue" [ 130 MB ]
 


pre_1352742720__doctor_web.jpg
Główne okno programu




Skanery On-line

Skanery skanujące "przez przeglądarkę".
Skanowanie całego systemu.

1. ESET
2. Symantec
3. Emsisoft
4. Comodo
5. F-Secure

 


Skanowanie pojedyńczych plików i adresów URL


1. Virustotal
2. Virusscan.jotti
  • 2


#262623 brak obrazu po złożeniu komputera

Napisane przez pawel315 w 11 11 2012 - 23:44

edytuj nazwę tematu bi n pewno nie jest zgodna z zasadami na forum - tytuł ma odzwierciedlać nazwę problemu, a co do samego problemu to poczekaj chwilę ktoś Ci pomoże
  • 1




  1. Forum Komputerowe Tweaks.pl
  2. Przeglądanie profilu: Reputacja: pawel315
  3. Polityka prywatności
  4. Szukaj
  5. Regulamin Forum ·