Forum.instalki.pl

Witam Społeczności!

Jestem nowicjuszem tutaj, więc z góry proszę o wyrozumiałość!
Pierwszy raz w życiu mam sytuację, której nie mogę rozwiązać z pomocą swoich umiejętności i wujka Google, dlatego zwracam się do Was!

Nie jetem do końca, pewien, co jest powodem infekcji - może to, że próbowałem z dobrego serce pomoc koledze z niedziałającą aplikacją, a może to, że do tego - niestety firmowego - komputera podłączane jest setki pendrivów

Ale po kolei: nie wiem czy to zbieg okoliczności, ale kolega prosił o pomoc z niedziałającą aplikacją - zeskanowałem pliki, AVG nic nie wykrył więc spróbowałem zainstalować. Aplikacja dała monit o błędnej próbie instalacji i tyle. Chwilę później zaczęły wychodzić monity AVG o kolejnych trojanach. Próbowałem najpierw ESETA online, później Spybot - Search & Destroy - niestety dalej problem pozostał i za każdym razem miałem po restarcie vel włączeniu kompa monit o wirusie: Znaleziono zagrożenie Obiekt: C:\ProgramData\Microsoft\Secure\Icons
\IconsCacheHeiper.dll Zagrożenie: odmiana zagrożenia Win64/Sathurbot.A koń trojański (tu pojawiały się różne nazwy) Informacje: wyleczony przez usunięcie - poddany kwarantannie. Mimo usunięcie pliku, monity dalej zostały, a w trakcie dalszej pracy kompa, co pewien czas NOD32 wywala powiadomienia, iż zablokował dostęp do adresy url - i tu różne nazwy. Sytuacja powtarza się po każdym restarcie lub włączeniu kompa.

Jak już nie miałem pomysłów poszedłem na całość i spróbowałem ComboFixa - log pod adresem http://www.wklej.eu/index.php?id=3ad71053a6 - niestety nie przyniosło to rozwiązania problemu więc szukam dalej.

Mając podejrzenia, że to może być jakiś rootkit, zeskanowałem sprzęt Gmerem - logi http://www.wklej.eu/index.php?id=891459a70d.

Jeśli ktoś ma jakiś pomysł błagam o pomoc, bo z każdym dniem mam coraz większe problemy z kompem, z którego korzystam co dziennie - bez wyjątku! i coraz częściej są to problemu coraz większe - dziś np. pakiet office odmówił mi posłuszeństwa

Dzięki WIELKIE za wszelką pomoc!

pozdrv,
PŚ

ComboFix`a nie stosujemy na własną rękę.

Podaj wymagane logi z FRST

otl-gmer-i-inne-poradnik-t13967-15.html#p164179

Log z FRST http://www.wklej.eu/index.php?id=6d57916b75 - dzięki za zainteresowanie!

Chyba nie czytałeś instrukcji z podanego przeze mnie linku. Powinny być 3 logi.

Wczoraj już niestety nie zdążyłem - dziś już 3 prawidłowe logi, o które prosiłeś:

FRST_01 http://www.wklej.eu/index.php?id=cb0400a3d9

FRST_02 http://www.wklej.eu/index.php?id=d377d0552d

FRST_03 http://www.wklej.eu/index.php?id=e24983ccdf

Z góry dzięki!

Odinstaluj Spybot - Search & Destroy (słabizna). Następnie wklej do notatnika:

Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-3374051690-2922766382-867853538-1000\...\Policies\Explorer: [Run] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\IEUpdate\taskeng.exe"
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\IEUpdate
HKU\S-1-5-21-3374051690-2922766382-867853538-1002\...\Run: [LightScribe Control Panel] => C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe [2363392 2008-06-09] (Hewlett-Packard Company)
ShellIconOverlayIdentifiers: [00avast] {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers: [1SecureIconsProvider] {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
C:\ProgramData\Microsoft\Secure
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3374051690-2922766382-867853538-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3374051690-2922766382-867853538-1000 {10BA48B7-8C24-4815-B121-4C707FBB5D52} URL = http://www.ant.com/search?s=browser&q={searchTerms}
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
U3 uwldipob; \??\C:\Users\Admin\AppData\Local\Temp\uwldipob.sys [X]
Task: {07401519-E6E3-4FD0-83F5-B1F3C6513CA3} - System32\Tasks\avast! Emergency Update => C:\Program Files\Alwil Software\Avast5\AvastEmUpdate.exe
Task: {0F6BB639-E835-4169-8130-93DB2F673742} - System32\Tasks\{D69EFB11-D346-4673-B225-9E6EA5845F05} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {11346971-2E0F-4A87-A4E2-80A746BCB7DF} - System32\Tasks\AVG_SYS_TASK_1114av => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe [2014-10-08] ()
Task: {1CFFB346-2E12-491B-A958-7F66DAD85299} - System32\Tasks\{B1574091-AF12-403F-97B4-997EF5927CDB} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {23061F58-6776-4490-AA02-6B2EC9A87628} - System32\Tasks\{59875859-C3FD-4749-B7E5-4896EFC62208} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {258E26FB-3D74-4D3A-8E63-708D14C3761D} - System32\Tasks\Update Service YourFileDownloader => C:\Program Files (x86)\YourFileDownloaderUpdater\YourFileDownloaderUpdater.exe <==== ATTENTION
C:\Program Files (x86)\YourFileDownloaderUpdater
Task: {7FC21BC7-B7D1-4FAB-A4C8-3CBAFD15B9DB} - System32\Tasks\{5C133666-0944-4B7C-B620-668889998D54} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {82BEEDEA-206D-4477-BC1D-7FCEBB8128E5} - System32\Tasks\{18796BB0-E202-4B5C-ACDD-C51BA35641F2} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {8D5EB117-563C-41FD-ACEF-E196CAF30F97} - System32\Tasks\AVG_SYS_TASK_1114av_DELETE => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe [2014-10-08] ()
Task: {E75B0E15-5791-48E0-8A39-360C28F6A974} - \Program aktualizacji online firmy Adobe. No Task File <==== ATTENTION
Task: {EDC97562-8714-4075-81A6-E0A58D2438F7} - System32\Tasks\{480F100B-FCDB-4135-8BBA-3ED0C1820365} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: C:\Windows\Tasks\AVG_SYS_TASK_1114av.job => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe
Task: C:\Windows\Tasks\AVG_SYS_TASK_1114av_DELETE.job => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe
C:\ProgramData\Avg_Update_1114av
C:\Users\Admin\AppData\Roaming\newnext.me
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

fixlog:
http://www.wklej.eu/index.php?id=31d2bdcd8f

nowe logi loading //////////////////68%

nowe logi:
FRST_01 http://www.wklej.eu/index.php?id=deccc1423d
FRST_02 http://www.wklej.eu/index.php?id=27a523fbe2
FRST_03 http://www.wklej.eu/index.php?id=ed5c09d1d4

nie zapeszając nod32 milczy

Kroki końcowe:
Wklej do notatnika:

DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Done!
Rozumiem, że teraz to jest ten czas kiedy należy się cieszyć i uważać, że problem rozwiązany w stopniu, że mogę śmiało się logować na konto bankowe?!?
Jeśli tak to WIEEELLLKKIEE dzięki!!!

PS.
Pytanie nowicjusza: teraz jak to się odbywa - wystarczy pochwała? flaszka na adres domowy? przelew na wskazane konto? *

* nie potrzebne skreślić

Tak to tyle, system jest czysty.

Nie mam uprawnień niestety do dawania pochwał, więc apel do tych co mogą:

Jak na avatarze - gasi w mgnieniu okna wszelkie pożary, nawet te największe! WIELKI szacun za prędkość, skuteczność i bezinteresowną pomoc - coś co jest na wyginięciu w dzisiejszym świecie. 3. postami załatwił sprawę, z którą 2 tygodnie męczył się mgr inż. informatyk z 20-letnim stażem. Ufff... kamień z serca i sam się dziwie, że to piszę - do roboty! bo w końcu jest na czym! Dzięki raz jeszcze!!!

ZASYPAĆ POCHWAŁAMI PO USZY!!!

... a temat do zamknięcia!

Nie chce wyjść na panikarza, ale od tego przypadku wolę dmuchać na zimne.

Co tym całym zajściu, 1-2 dzienni nod32 monituje u blokowaniu url--> http://img31.otofotki.pl/ak640_url.jpg.html zawsze z tego samego adresu theoads . com

Wiem, że może to tylko jakiś syfek z reklam na stronie albo tym podobne, ale wole zasięgnąć opinii eksperta!

z góry WIELKIE dzięki ! ! !

Czy te komunikaty pojawiają się po wejściu na konkretne strony, czy jest to losowe?

Sorki, że dopiero teraz ale nie będę ukrywał myślałem, że mnie zlałeś kiedy pod dwóch dniach nie było odpowiedzi

Wiem, że są sprawy ważne i ważniejsze...

Ciężko jednoznacznie twierdzić, bo codziennie korzystam praktycznie z tego samego "pakietu" ale nigdy nie wyskakiwał konkretnie na tej samej stronie - na screenie specjalnie dałem 3 zrzuty z trzech różnych stron. Co gorsze ciężko twierdzić dokładnie, z której po pech chciał, że zawsze miałem kilka kart

Na szczęście teraz to się już uspokoiło i już kilka dni z rzędu mam spokój - a wciąż przeglądam raczej te same strony... więc sam nie wiem co o tym myśleć

pozdrv.

Forum.instalki.pl

Błagam o pomoc - log z gmer i combofix

Błagam o pomoc - log z gmer i combofix

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!

Re: Błagam o pomoc - log z gmer i combofix

Re: Błagam o pomoc - log z gmer i combofix

Re: Błagam o pomoc - log z gmer i combofix