Infekcja dll.dll, logi

[jkazan]

Witam

Proszę o sprawdzenie logów:

log OTL

log OTL


Jak uruchamiam komputer to mi wyskakuje:

WYKRYTO ZAGROZENIE
NAZWA PLIKU: c\WINDOWS\system32\dll.dll
ZAgrozenie - nazwa KOń trojański Delf.XAF
Wykryto przy otwieraniu
NAzwa procesoru C:\Program Files\Java\jre6\bin\jqs.exe
ID PROCESORU: 776

Proszę o pomoc? Co zrobić aby pozbyć się wirusów?

[kominekl]

Dorzuć jeszcze log z GMER.

GMER viewtopic.php?f=22&t=13967#p88736.

[mateo8898]

Poza tym ten drugi log wcale nie jest z OTL, tylko ze starocia HijackThis, więc oprócz logu z Gmer podaj jeszcze ten drugi z OTL (Extras.txt).

[jkazan]

Przepraszam za te logi. Już troszkę naprawiłem kompa i logi wyglądaja tak:



LOG OTL


LOG GMER

Jest już czysto? Czy jeszcze jest coś nie tak?
Jaki jest lepszy antywirus: AVAST czy AVG?

Pozdrawiam

[mateo8898]

Nadal nie podałeś drugiego logu z OTL, czyli Extras.txt, bo podałeś znów ten sam, czyli OTL.txt. Pewnie źle ustawiasz OTL. Instrukcję masz tu viewtopic.php?f=22&t=13967#p107754

Piszesz, że już coś "naprawiałeś", w logu widać, iż coś usuwałeś przez OTL. Podaj zastosowany skrypt, widać zniknęły toolbary, mam nadzieję, że je odinstalowałeś a nie wywaliłeś przez OTL (bo tak się nie robi).

[jkazan]

Hej

Odinstaowałem: XfireXO Toolbar, Softonic-Polska Toolbar + ESET

PLIK OTL.TXT

PLIK EXTRAS.TXT

LOG Z GMER

skrypt, który zrobiłem w OTL

Czy już jest wszystko OK ??

[mateo8898]

Mała uwaga do tego co usuwałeś:

O4 - Startup: C:\Documents and Settings\MAJKEL\Menu Start\Programy\Autostart\Deer Hunter 2005 Registration.lnk = E:\!!ZAINSTALOWANE GRY!!\Deer Hunter 2005\ATR1.EXE (Leader Technologies/Atari)
O4 - Startup: C:\Documents and Settings\MAJKEL\Menu Start\Programy\Autostart\MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe ()

Jeśli chcesz usunąć tylko z autostartu wpisy jakichś programów (oczywiście tych prawidłowych), to usuwasz tylko skróty, czyli:

:Files
C:\Documents and Settings\MAJKEL\Menu Start\Programy\Autostart\Deer Hunter 2005 Registration.lnk
C:\Documents and Settings\MAJKEL\Menu Start\Programy\Autostart\MRU-Blaster Silent Clean.lnk

gdyż akurat Twój skrypt usuwa także składniki programu, bo wtedy lecą po dwa obiekty, np.: Deer Hunter 2005 Registration.lnk oraz ATR1.EXE, zamiast tylko tego pierwszego, który jest skrótem wsadzonym w autostart. To tak na przyszłość.

Wracając do tematu, jeszcze klika wpisów do wywalenia, uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV - [2009-09-29 14:05:54 | 000,096,408 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
FF - HKLM\software\mozilla\Thunderbird\Extensions\\[email protected]: E:\różne pliki\eset nod32 od westfala\Mozilla Thunderbird
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-

:Commands
[clearallrestorepoints]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[jkazan]

wykonanie skryptu

OTL

EXTRAS

Ok, dzieki za uwage.

Teraz jest wszystko OK ??

[mateo8898]

Jeszcze w OTL wklej:

:OTL
DRV - File not found [Kernel | Unknown | Running] -- -- (epfwtdir)
DRV - File not found [File_System | Unknown | Running] -- -- (DwProt)

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji...)

Odinstaluj starą wersję AVG:

AVG Free 9.0

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... ition.html

Przydałoby się także zmienić Jetico Personal Firewall na coś nowszego, bo to już próchno jest.

[jkazan]

Cos z tym skryptem jest nie tak. Log po wykoaniu skryptu:

LOG po wykonaniu skryptu

W OTL - robic SPRZATNIE ?? co to sprzata? bezpieczne to jest ??


Dysk i rejestr przeczyscilem CLEANEREM + jv16 power tools

zamiast avg dalem AVAST. FF i IE zaaktualizuje dzis w nocy.

A co dac zamiast JETICO ? Jaki bedzie dobry, prosty firewall - taki zeby duzo nie ustawiac ale zeby dobrze dzialal i malo obciazal procesor?

[mateo8898]

Cos z tym skryptem jest nie tak. Log po wykoaniu skryptu:

LOG po wykonaniu skryptu

Wrzuć w takim razie nowe logi z OTL.

Opcja Sprzątanie usuwa OTL wraz z kwarantanną oraz inne tego typu narzędzia. Ale to zrób jak już definitywnie zakończymy sprawę logów.

Co do firewalla, proponuję COMODO http://www.instalki.pl/programy/downloa ... ewall.html

[jkazan]

To bez sensu jest ta opcja sprzatania ...jak usuwa OTL i inne tego typu narzedzia.

Zainstalowalem COMODO 3.0.25.xxx - bo taka wersje mialem na dysku, bedzie OK ??
Czy robic update do nowej?


LOGI z OTL wrzuca....

[mateo8898]

To bez sensu jest ta opcja sprzatania ...jak usuwa OTL i inne tego typu narzędzia.

Nie jest bez sensu, ponieważ po pierwsze tego typu narzędzia są często aktualizowane i trzeba zawsze korzystać z najnowszej wersji, więc po co trzymać stare. A po drugie usuwa także swoją kwarantannę, a także innych narzędzi, a tam jak wiadomo jest wszystko to co usuwamy. Podsumowując jak by była "bez sensu" to nikt by nie zalecał jej na końcu używać i pewnie w ogóle ta opcja nie byłaby dostępna.

Zainstalowalem COMODO 3.0.25.xxx - bo taka wersje mialem na dysku, bedzie OK ??
Czy robic update do nowej?

Podałem wcześniej link do najnowszej, po co instalować starą??? Powinno się mieć zawsze najnowszą wersję, bo to jest najważniejsze jeśli chodzi o programy zabezpieczające.