Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Dziwne wysyłanie wiadomości na FB
19 Sie 2011, 13:26
Witam.
Od wczoraj kiedy zaloguję się na facebooka komputer sam wysyła wiadomości do znajomych dostępnych na czacie z linkiem, który zawiera wirusa
log z combofix: http://www.wklej.eu/index.php?id=477eeeba11
log z otl: http://www.wklej.eu/index.php?id=a65cdc7789
log z ptl extras: http://www.wklej.eu/index.php?id=31045913a8
Od wczoraj kiedy zaloguję się na facebooka komputer sam wysyła wiadomości do znajomych dostępnych na czacie z linkiem, który zawiera wirusa
log z combofix: http://www.wklej.eu/index.php?id=477eeeba11
log z otl: http://www.wklej.eu/index.php?id=a65cdc7789
log z ptl extras: http://www.wklej.eu/index.php?id=31045913a8
Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n
19 Sie 2011, 13:37
ComboFixa używamy tylko wtedy, gdy padnie taka prośba na forum.
Poza tym widzę dwa antywirusy: Kaspersky i AVG, co jest niedopuszczalne. Pozbądź się jak najszybciej jednego z nich.
Odinstaluj Winamp Toolbar
Następnie uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Poza tym widzę dwa antywirusy: Kaspersky i AVG, co jest niedopuszczalne. Pozbądź się jak najszybciej jednego z nich.
Odinstaluj Winamp Toolbar
Następnie uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej:- Kod:
:OTL
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
IE - HKU\S-1-5-21-757109552-409895395-3633954361-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/406
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-757109552-409895395-3633954361-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [SearchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
:Files
C:\Program Files (x86)\Common Files\Spigot\Search Settings
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=-
"SwitchBoard"=-
"Adobe Acrobat Speed Launcher"=-
"Acrobat Assistant 8.0"=-
"SunJavaUpdateSched"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n
19 Sie 2011, 14:14
Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n
19 Sie 2011, 14:26
Usunięte.
W OTL kliknij Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
W OTL kliknij Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n
19 Sie 2011, 15:37
Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n
19 Sie 2011, 15:49
OK, możesz jeszcze opróżnić kwarantannę Malwarebytes.
Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n
19 Sie 2011, 16:01
ok dzięki;)
Możesz mi jeszcze sprawdzić logi z 2 kompów boje się, że też są zainfekowane....
komp1
otl: http://wklej.eu/index.php?id=9270382659
extras: http://wklej.eu/index.php?id=7d10f18a0d
komp2
otl: http://wklej.eu/index.php?id=fea5206061
extras: http://wklej.eu/index.php?id=1862b72b3e
Możesz mi jeszcze sprawdzić logi z 2 kompów boje się, że też są zainfekowane....
komp1
otl: http://wklej.eu/index.php?id=9270382659
extras: http://wklej.eu/index.php?id=7d10f18a0d
komp2
otl: http://wklej.eu/index.php?id=fea5206061
extras: http://wklej.eu/index.php?id=1862b72b3e
Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n
19 Sie 2011, 16:57
komp1:
1. Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt.
2. Odinstaluj toolbary: BearShare MediaBar, Crawler Toolbar, DAEMON Tools Toolbar, HyperCam Toolbar, Mario Forever Toolbar, Winamp Toolbar, Softonic-Polska Toolbar oraz zbędny Norton Security Scan
3. Usuń resztki po zdezelowanych AVG i Esecie. Tu masz specjalne narzędzia:
AVG http://download.avg.com/filedir/util/su ... 1_1322.exe
ESET http://kb.eset.com/esetkb/index?page=co ... d=SOLN2289
4. Podaj nowe logi z OTL robione opcją Skanuj + log z Gmer http://forum.instalki.pl/viewtopic.php? ... 967#p88736
Kolejność jak podałem.
_________________________________________________________________________________________________________
Komp2:
1. Odinstaluj PDFCreator Toolbar
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL + log z Gmer.
1. Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej:- Kod:
:Processes
killallprocesses
:OTL
MOD - [2011-08-19 13:09:45 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
MOD - [2011-08-19 12:14:59 | 000,632,832 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
MOD - [2011-07-26 09:29:00 | 000,348,672 | ---- | M] () -- C:\WINDOWS\update.5.0\svchost.exe
MOD - [2011-07-25 17:52:33 | 000,114,176 | ---- | M] () -- C:\WINDOWS\systemup.exe
MOD - [2011-07-25 17:49:53 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
MOD - [2011-07-25 17:44:57 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
MOD - [2011-07-25 17:18:58 | 001,185,280 | -H-- | M] () -- C:\WINDOWS\update.tray-2-0\svchost.exe
MOD - [2011-07-25 17:18:58 | 001,185,280 | -H-- | M] () -- C:\WINDOWS\update.tray-12-0\svchost.exe
MOD - [2011-07-25 17:18:58 | 001,185,280 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe
SRV - File not found [Auto | Stopped] -- -- (ekrn)
SRV - File not found [On_Demand | Stopped] -- -- (EhttpSrv)
SRV - File not found [Auto | Stopped] -- -- (avg8wd)
SRV - File not found [On_Demand | Stopped] -- -- (AVG Security Toolbar Service)
SRV - [2011-08-19 13:09:45 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-08-19 12:14:59 | 000,632,832 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-07-26 09:29:00 | 000,348,672 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-07-25 17:44:57 | 000,256,000 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-07-25 17:18:58 | 001,185,280 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found
IE - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/
IE - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.search.defaultthis.engineName: "Hunt TB Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1434207&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Crawler Search"
FF - prefs.js..browser.startup.homepage: "http://google.atcomet.com/b/"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1434207&q="
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: D:\Picasa3\npPicasa3.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\avg@igeared: C:\Program Files\AVG\AVG8\Toolbar\Firefox\avg@igeared
[2010-04-16 17:21:21 | 000,000,000 | ---D | M] (Softonic-Polska Toolbar) -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
[2010-06-18 18:35:23 | 000,000,000 | ---D | M] (Hunt TB Toolbar) -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\extensions\{d3f4b70a-92e0-4393-a0f3-976d03b1ebf5}
[2010-05-21 16:22:22 | 000,000,000 | ---D | M] (HyperCam Toolbar) -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC}
[2010-05-21 16:22:34 | 000,002,331 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\bigseekpro.xml
[2010-06-08 11:37:24 | 000,000,917 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\conduit.xml
[2009-06-06 13:54:28 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\daemon-search.xml
[2009-05-16 09:24:13 | 000,009,889 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\mywebsearch.xml
[2010-07-02 08:16:04 | 000,001,589 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\web-search.xml
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found
O2 - BHO: (AVG Security Toolbar BHO) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - File not found
O4 - HKLM..\Run: [12018109-loader2.exe] C:\WINDOWS\TEMP\12018109-loader2.exe ()
O4 - HKLM..\Run: [1588605.exe] C:\WINDOWS\TEMP\1588605.exe ()
O4 - HKLM..\Run: [296423.exe] C:\WINDOWS\TEMP\296423.exe ()
O4 - HKLM..\Run: [4901822.exe] C:\WINDOWS\TEMP\4901822.exe ()
O4 - HKLM..\Run: [AVG8_TRAY] File not found
O4 - HKLM..\Run: [egui] File not found
O4 - HKLM..\Run: [ISUSPM Startup] File not found
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-12-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] C:\WINDOWS\update.tray-2-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()
O4 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003..\Run: [ares] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: csrcs = C:\WINDOWS\system32\csrcs.exe
O18 - Protocol\Handler\avgsecuritytoolbar {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - File not found
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - File not found
O33 - MountPoints2\{596b52d8-b8d4-11df-86a0-001fc6a831b6}\Shell\AUtoplAY\cOmmand - "" = J:\sgkio.pif
O33 - MountPoints2\{596b52d8-b8d4-11df-86a0-001fc6a831b6}\Shell\AutoRun\command - "" = J:\sgkio.pif
O33 - MountPoints2\{596b52d8-b8d4-11df-86a0-001fc6a831b6}\Shell\explore\coMmAnD - "" = J:\sgkio.pif
O33 - MountPoints2\{596b52d8-b8d4-11df-86a0-001fc6a831b6}\Shell\oPeN\ComMand - "" = J:\sgkio.pif
O31 - SafeBoot: AlternateShell - services32.exe
[2011-07-25 18:16:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-07-25 18:16:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-07-25 18:16:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-07-25 18:12:26 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0-lnk
[2011-07-25 18:12:26 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0
[2011-07-25 17:50:52 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-07-25 17:47:41 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-07-25 17:44:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-07-25 17:33:24 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-07-25 17:32:58 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-12-0-lnk
[2011-07-25 17:32:58 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-12-0
[2011-07-25 18:16:25 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-07-25 18:16:25 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-07-25 18:16:24 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-07-25 18:16:24 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-07-25 17:52:33 | 000,114,176 | ---- | M] () -- C:\WINDOWS\systemup.exe
[2011-07-25 17:49:53 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
[2011-07-25 17:47:16 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-07-25 17:45:29 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-07-25 17:44:57 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
[2011-07-25 17:44:57 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011-07-25 17:18:58 | 001,185,280 | ---- | M] () -- C:\WINDOWS\services32.exe
:Files
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Przyspieszenie uruchomienia programu AutoCAD.lnk
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
"Gadu-Gadu 10"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt.
2. Odinstaluj toolbary: BearShare MediaBar, Crawler Toolbar, DAEMON Tools Toolbar, HyperCam Toolbar, Mario Forever Toolbar, Winamp Toolbar, Softonic-Polska Toolbar oraz zbędny Norton Security Scan
3. Usuń resztki po zdezelowanych AVG i Esecie. Tu masz specjalne narzędzia:
AVG
http://download.avg.com/filedir/util/su ... 1_1322.exeESET
http://kb.eset.com/esetkb/index?page=co ... d=SOLN22894. Podaj nowe logi z OTL robione opcją Skanuj + log z Gmer
http://forum.instalki.pl/viewtopic.php? ... 967#p88736Kolejność jak podałem.
_________________________________________________________________________________________________________
Komp2:
1. Odinstaluj PDFCreator Toolbar
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej:- Kod:
:OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2010-11-29 23:05:12 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\esterka\Dane aplikacji\Mozilla\Firefox\Profiles\4k0lbpar.default\extensions\vshare@toolbar
[2010-11-29 23:05:22 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\esterka\Dane aplikacji\Mozilla\Firefox\Profiles\4k0lbpar.default\searchplugins\web-search.xml
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found
[2011-08-16 10:13:00 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011-08-10 02:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-ESTERA-esterka.job
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeAAMUpdater-1.0"=-
"AdobeCS5ServiceManager"=-
"SwitchBoard"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
"Driver Updater"=-
:Commands
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL + log z Gmer.
Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n
19 Sie 2011, 17:54
Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n
19 Sie 2011, 17:55
za chwilę wrzuce z gmera
Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n
19 Sie 2011, 18:12
Komputer 1.
Odinstaluj zbędny zbędny Norton Security Scan. Co jest w folderze C:\trojan19896t? Użyj ponownie deinstalatora ESET`a, ale tym razem w trybie awaryjnym, bo nie dokładnie się usunęło. Dam tu do usuwania z autostartu składniki NVidia`i, ale one automatycznie powrócą. Aby tak się nie stało wejdź w START URCUHOM Msconfig zakładka Usługi odznacz NVIDIA Display Driver Service.
Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.
Komputer 2.
Dam tu do usuwania z autostartu składniki NVidia`i, ale one automatycznie powrócą. Aby tak się nie stało wejdź w START URCUHOM Msconfig zakładka Usługi odznacz NVIDIA Display Driver Service.
Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL Sprzątanie.
Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html.
Zaktualizuj IE do najnowszej wersji http://www.instalki.pl/programy/downloa ... _8_XP.html.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję programu do odczytu .PDF Adobe Reader 7.0.5 - Polish i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html.
Odinstaluj starą wersję Java`y Java 2 Runtime Environment, SE v1.4.2_04, Java(TM) 6 Update 3 i Java(TM) 6 Update 17 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.
Odinstaluj zbędny zbędny Norton Security Scan. Co jest w folderze
C:\trojan19896t? Użyj ponownie deinstalatora ESET`a, ale tym razem w trybie awaryjnym, bo nie dokładnie się usunęło. Dam tu do usuwania z autostartu składniki NVidia`i, ale one automatycznie powrócą. Aby tak się nie stało wejdź w START URCUHOM Msconfig zakładka Usługi odznacz NVIDIA Display Driver Service.Następnie uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
[2009-09-21 13:24:16 | 000,001,329 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\ShellBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\ShellBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {463DF6D5-BEC1-4D67-B217-59DB692DFC53} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
@Alternate Data Stream - 134 bytes
@Alternate Data Stream - 104 bytes
:Files
C:\WINDOWS\update.7.1
C:\WINDOWS\info1
C:\WINDOWS\geoiplist
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\BYRTUS\Moje dokumenty\Downloads\Flash-Player.exe"=-
:Commands
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.
Komputer 2.
Dam tu do usuwania z autostartu składniki NVidia`i, ale one automatycznie powrócą. Aby tak się nie stało wejdź w START
URCUHOM Msconfig zakładka Usługi odznacz NVIDIA Display Driver Service.Następnie uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
[2011-08-19 17:49:36 | 000,000,972 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2011-08-19 17:49:32 | 000,001,032 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
@Alternate Data Stream - 104 bytes
:Files
C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
:Commands
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL
Sprzątanie.Zainstaluj SP3
http://www.instalki.pl/programy/downloa ... ack_3.html.Zaktualizuj IE do najnowszej wersji
http://www.instalki.pl/programy/downloa ... _8_XP.html.Przeczyść dysk i rejestr CCleaner`em
https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware
https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.Odinstaluj starą wersję programu do odczytu .PDF
Adobe Reader 7.0.5 - Polish i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html. Odinstaluj starą wersję Java`y
Java 2 Runtime Environment, SE v1.4.2_04, Java(TM) 6 Update 3 i Java(TM) 6 Update 17 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.
Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n
19 Sie 2011, 20:09
komp1
nortona nie można usunac, ten trojan to nie mam pojecia co to jest jak kliknelam to weszlo mi w moj komputer wiec usunelam to
logi
usuwanie: http://wklej.eu/index.php?id=91f45e9349
otl: http://wklej.eu/index.php?id=d32858a37f
extras: http://wklej.eu/index.php?id=60363447d6
komp2
usuwanie: http://wklej.eu/index.php?id=fb2c121414
otl: http://wklej.eu/index.php?id=2af391d4f2
extras: http://wklej.eu/index.php?id=2b4c514c4c
nortona nie można usunac, ten trojan to nie mam pojecia co to jest jak kliknelam to weszlo mi w moj komputer wiec usunelam to
logi
usuwanie: http://wklej.eu/index.php?id=91f45e9349
otl: http://wklej.eu/index.php?id=d32858a37f
extras: http://wklej.eu/index.php?id=60363447d6
komp2
usuwanie: http://wklej.eu/index.php?id=fb2c121414
otl: http://wklej.eu/index.php?id=2af391d4f2
extras: http://wklej.eu/index.php?id=2b4c514c4c
Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n
19 Sie 2011, 20:30
Czekamy jeszcze na logi z GMER`a z obu komputerów.
Z wykonaniem instrukcji z komputera 2 (tych w cytacie) wstrzymaj się narazie. Napiszemy ci, kiedy masz je wykonać.
Następnie w OTL
Zainstaluj SP3
Zaktualizuj IE do najnowszej wersji
Przeczyść dysk i rejestr CCleaner`em
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware
Odinstaluj starą wersję programu do odczytu .PDF
Odinstaluj starą wersję Java`y
Z wykonaniem instrukcji z komputera 2 (tych w cytacie) wstrzymaj się narazie. Napiszemy ci, kiedy masz je wykonać.
Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n
19 Sie 2011, 20:43
kurcze wybacz zapomniałam o tych logach z gmera
komp1:
jak włączam gmera to się mi od razu resetuje i wyskakuje błąd: http://www.otofotki.pl/img2/obrazki/hl89_blad.jpg
na 2 kompie włączyłam pośle jak się zrobi
komp1:
jak włączam gmera to się mi od razu resetuje i wyskakuje błąd: http://www.otofotki.pl/img2/obrazki/hl89_blad.jpg
na 2 kompie włączyłam pośle jak się zrobi
Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n
19 Sie 2011, 21:04
Komputer 1.
GMER`a w takim razie sobie odpuść. Następujący skrypt wykonaj w trybie awaryjnym. Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania (ten, który wyświetli Ci się po wykonaniu skryptu). Nie podajesz już nowych logów. Następnie w OTL Sprzątanie.
Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html.
Zaktualizuj IE do najnowszej wersji http://www.instalki.pl/programy/downloa ... _8_XP.html.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji..).
Sprawa z Komputerem numer 1 zakończona (chyba, że znajdzie coś Malwarebytes, w co nie wątpię). Został tylko już komputer numer 2, ale czekamy na log z GMER`a..
GMER`a w takim razie sobie odpuść. Następujący skrypt wykonaj w trybie awaryjnym. Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::Processes
killallprocesses
:OTL
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found
O4 - HKLM..\Run: [8633303.exe] File not found
O4 - HKLM..\Run: [sysdriver32.exe] File not found
O4 - HKLM..\Run: [sysdriver32_.exe] File not found
O20 - HKLM Winlogon: Shell - (csrcs.exe) - File not found
O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll - File not found
O31 - SafeBoot: AlternateShell - services32.exe
@Alternate Data Stream - 134 bytes
@Alternate Data Stream - 104 bytes
:Files
C:\WINDOWS\loader2.exe_ok
:Reg
HKEY_USERS\S-1-5-21-1606980848-1085031214-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"AutoStartNPSAgent"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania (ten, który wyświetli Ci się po wykonaniu skryptu). Nie podajesz już nowych logów. Następnie w OTL
Sprzątanie.Zainstaluj SP3
http://www.instalki.pl/programy/downloa ... ack_3.html.Zaktualizuj IE do najnowszej wersji
http://www.instalki.pl/programy/downloa ... _8_XP.html.Przeczyść dysk i rejestr CCleaner`em
https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware
https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.Zaktualizuj Firefoksa do najnowszej wersji (Firefox
Pomoc Sprawdź dostępność aktualizacji..).Sprawa z Komputerem numer 1 zakończona (chyba, że znajdzie coś Malwarebytes, w co nie wątpię). Został tylko już komputer numer 2, ale czekamy na log z GMER`a..