Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Komp odpala sie długo i znajduje podejrzane procesy
01 Gru 2010, 21:49
Czy ktoś mógłby sprawdzić Loga z HiJack this ostatnio komp mi sie odpala strasznie długo i coraz częściej znajduje podejrzane procesy w menedżerze zadań.
http://wklej.eu/index.php?id=c3f0f53969
http://wklej.eu/index.php?id=c3f0f53969
Re: Sprawdzenie loga
01 Gru 2010, 21:52
Re: Sprawdzenie loga
01 Gru 2010, 22:46
http://wklej.eu/index.php?id=6e08eeb4a6 -log OTL
http://www.wklej.eu/index.php?id=ca28f82113 -extra OTL
Poza tym po restarcie , zanim wykonałem logi , wywaliłem z procesów w menedżerze TMonitor.
http://www.wklej.eu/index.php?id=ca28f82113 -extra OTL
Poza tym po restarcie , zanim wykonałem logi , wywaliłem z procesów w menedżerze TMonitor.
Re: Sprawdzenie loga
01 Gru 2010, 23:00
A gdzie log z Gmer??? Proszę to uzupełnić.
No to źle zrobiłeś, bo teraz nie widać tego w logach. Nawet nie wiem teraz, w jakiej lokalizacji znajduje się ten plik...(a od tego w dużej mierze zależy, czy ten plik jest szkodliwy, czy nie). W takim razie zrestartuj komputer i wykonaj nowe logi, tylko nie wyłączaj żadnych procesów itp. bo to tylko utrudnia sprawę.
Poza tym po restarcie , zanim wykonałem logi , wywaliłem z procesów w menedżerze TMonitor.
No to źle zrobiłeś, bo teraz nie widać tego w logach. Nawet nie wiem teraz, w jakiej lokalizacji znajduje się ten plik...(a od tego w dużej mierze zależy, czy ten plik jest szkodliwy, czy nie). W takim razie zrestartuj komputer i wykonaj nowe logi, tylko nie wyłączaj żadnych procesów itp. bo to tylko utrudnia sprawę.
Re: Sprawdzenie loga
01 Gru 2010, 23:08
komputerek ma trochę lat więc to potrwa
Re: Sprawdzenie loga
01 Gru 2010, 23:16
http://wklej.eu/index.php?id=281b95a389 OTL
http://wklej.eu/index.php?id=b166c310ed OTL extra
Gmer robi sie jeszcze
http://wklej.eu/index.php?id=b166c310ed OTL extra
Gmer robi sie jeszcze
Re: Sprawdzenie loga
01 Gru 2010, 23:38
No i się okazuje, że właśnie ten plik TMonitor.exe jest prawidłowy, gdyż pochodzi od oprogramowania Sony Ericsson:
Poza tym w logach z OTL nic szkodliwego nie widać, tylko "kosmetyka", ale czekam jeszcze na ten log z Gmer.
Odinstaluj toolbary: YouTube Downloader Toolbar, Ask Toolbar, Crawler Toolbar, DAEMON Tools Toolbar, Winamp Toolbar, Yahoo! Toolbar. Radziłbym odinstalować także ten wynalazek Free Ram Optimizer, bo tego typu programy to pic na wodę.
Następnie uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Sprawdź jeszcze jedną rzecz:
Wejdź w Menedżer Urządzeń Kontrolery IDE ATA/ATAPI Podstawowy kanał IDE Ustawienia zaawansowane Sprawdź, jak jest ustawiony Bieżący tryb transferu
To samo robisz dla Pomocniczego kanału IDE
PRC - [2010-10-04 11:35:40 | 000,071,680 | ---- | M] () -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\TMonitor.exe
Poza tym w logach z OTL nic szkodliwego nie widać, tylko "kosmetyka", ale czekam jeszcze na ten log z Gmer.
Odinstaluj toolbary: YouTube Downloader Toolbar, Ask Toolbar, Crawler Toolbar, DAEMON Tools Toolbar, Winamp Toolbar, Yahoo! Toolbar. Radziłbym odinstalować także ten wynalazek Free Ram Optimizer, bo tego typu programy to pic na wodę.
Następnie uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
SRV - [2010-12-01 14:42:13 | 003,020,376 | ---- | M] () [Auto | Running] -- c:\Program Files\Common Files\Akamai\netsession_win_5632d69.dll -- (Akamai)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\usbVM303.sys -- (ZSMC303)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\UltraStar Deluxe\zlportio.sys -- (zlportio)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\vmfilter303.sys -- (vmfilter303)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\SBREdrv.sys -- (SBRE)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-527237240-308236825-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = kino-on-line.my1.ru
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=937811"
FF - prefs.js..browser.search.selectedEngine: "Yahoo"
FF - prefs.js..extensions.enabledItems: [email protected]:3.3.1.313
FF - prefs.js..extensions.enabledItems: [email protected]:1.1.2.0185
FF - prefs.js..extensions.enabledItems: [email protected]:1.2.3
FF - prefs.js..extensions.enabledItems: [email protected]:1.0
FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=937811&p="
[2010-09-26 12:25:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\My\Dane aplikacji\Mozilla\Firefox\Profiles\ajzo4gww.default\extensions\[email protected]
[2010-05-16 09:27:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\My\Dane aplikacji\Mozilla\Firefox\Profiles\ajzo4gww.default\extensions\[email protected]
[2010-09-26 12:25:12 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\My\Dane aplikacji\Mozilla\Firefox\Profiles\ajzo4gww.default\searchplugins\daemon-search.xml
[2009-09-21 11:24:16 | 000,001,329 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
:Files
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
C:\WINDOWS\tasks\*.job
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"=-
"NeroFilterCheck"=-
"SecurDisc"=-
"InCD"=-
"NvCplDaemon"=-
"nwiz"=-
"SearchSettings"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
"Google Update"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Nowe Gadu-Gadu\gg.exe"=-
"C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=-
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=-
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=-
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=-
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=-
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=-
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=-
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=-
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=-
"D:\Program Files\ITTerritory\DragonsPl\DwarClientPl.exe"=-
"C:\Program Files\NMG\The Aztec\Aztec.exe"=-
"D:\Worms 4\Worms 4.exe"=-
"D:\Age\age2_x1\age2_x1.exe"=-
"D:\Age\empires2.exe"=-
"D:\Program Files\TmNationsForever\TmForever.exe"=-
"D:\Program Files\SopCast\adv\SopAdver.exe"=-
"D:\Prometheus\Binaries\Win32\UDK.exe"=-
"C:\Program Files\FlashGet\flashget.exe"=-
"C:\Program Files\Tremulous\tremulous.exe"=-
"D:\Program Files\TrackMania Sunrise\TmSunrise.exe"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Sprawdź jeszcze jedną rzecz:
Wejdź w Menedżer Urządzeń
Kontrolery IDE ATA/ATAPI Podstawowy kanał IDE Ustawienia zaawansowane Sprawdź, jak jest ustawiony Bieżący tryb transferuTo samo robisz dla Pomocniczego kanału IDE
Re: Sprawdzenie loga
01 Gru 2010, 23:41
gmer zawsze tak dlugo logi robi?
Re: Sprawdzenie loga
01 Gru 2010, 23:44
W podstawowym Ultra Dma tryb 5, w pomocniczym Nie dotyczy
Re: Sprawdzenie loga
02 Gru 2010, 00:50
http://wklej.eu/index.php?id=e907b89cf3 - OTL usunięcie
http://wklej.eu/index.php?id=cc4dd270da - nowy z OTL
http://wklej.eu/index.php?id=7e4a72173e -ekstra z OTL
a co do gmera jakos 3 godziny i nie daje wyniku
http://wklej.eu/index.php?id=cc4dd270da - nowy z OTL
http://wklej.eu/index.php?id=7e4a72173e -ekstra z OTL
a co do gmera jakos 3 godziny i nie daje wyniku
Re: Sprawdzenie loga
02 Gru 2010, 14:23
W takim razie Gmera sobie darujmy.
W OTL wklej:
Klikasz Wykonaj skrypt, później Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Odinstaluj stare wersje Javy:
i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html
Odinstaluj starą wersję czytnika PDF:
i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... der_X.html
W OTL wklej:
:OTL
FF - HKLM\software\mozilla\Firefox\extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Program Files\RelevantKnowledge
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-308236825-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-308236825-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-308236825-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-308236825-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {CB789373-04D5-4EF4-9C16-871463FD0830} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-308236825-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-308236825-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
[2010-12-01 23:37:20 | 000,000,972 | ---- | C] () -- C:\WINDOWS\tasks\Google Software Updater.job
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"8461:TCP"=-
"8462:TCP"=-
"1036:TCP"=-
"5000:UDP"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Haemimont Games\Rising Kingdoms\RK.exe"=-
"C:\Program Files\Games\Q.U.B.E. v1.2\Binaries\Win32\UDK.exe"=-
Klikasz Wykonaj skrypt, później Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach
InstrukcjaWykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Odinstaluj stare wersje Javy:
Java(TM) 6 Update 17
Java 2 Runtime Environment, SE v1.4.0_03
i zainstaluj najnowszą
http://www.instalki.pl/programy/downloa ... %29_6.htmlOdinstaluj starą wersję czytnika PDF:
Adobe Reader 7.0 - Polish
i zainstaluj najnowszą
http://www.instalki.pl/programy/downloa ... der_X.html
Re: Komp odpala sie długo i znajduje podejrzane procesy
02 Gru 2010, 16:04
http://wklej.eu/index.php?id=6591c29797 mój z malware
Re: Komp odpala sie długo i znajduje podejrzane procesy
02 Gru 2010, 18:36
Typ skanowania: Szybkie skanowanie
Miałeś wykonać pełne skanowanie.
Re: Komp odpala sie długo i znajduje podejrzane procesy
02 Gru 2010, 21:43
Re: Komp odpala sie długo i znajduje podejrzane procesy
02 Gru 2010, 21:47
Ok, możesz opróżnić jeszcze kwarantannę Malwarebytes.