Dzień dobry,
proszę o pomoc w następującej kwestii:
Miałem problemy z logowaniem się do poczty na Onecie - musiałem próbować minimum dwa razy, zanim się zalogowałem. Z kolei platforma demonstracyjna TMSConnect, jaką mam zainstalowaną na komputerze, w ogóle przestała się łączyć z Internetem (połączenie jest szyfrowane).
Combofix wykrył zainfekowanie pliku C:\Windows\SysWow64\imm32.dll
Załączam link do logu: http://www.wklej.eu/index.php?id=a95a1093c3
Po kolejnym przeskanowaniu Combofixem wyglądało to, jak na kolejnym załączonym linku: http://www.wklej.eu/index.php?id=0978f7d26b
I tu moje pytania informatycznego ignoranta:
1. Czy oznacza to, że za pierwszym razem Combofix skutecznie usunął szkodnika, skoro w drugim logu nie ma o nim wzmianki?
2. Czy reszta opisu z logów świadczy o tym, że z komputerem jest już wszystko OK?
3. Czy na podstawie logów można określić, jaki to właściwie był szkodnik?
Dziękuję za pomoc,
Mariusz
Zainfekowany plik C:\Windows\SysWow64\imm32.dll
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
9 posty(ów)
• Strona 1 z 1
Zainfekowany plik C:\Windows\SysWow64\imm32.dll
przez Mario4 » 14 Kwi 2013, 11:37
UA: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MAAU)
- Mario4
- Forumowicz
- Posty: 32
- Dołączenie: 14 Kwi 2013, 11:08
Re: Problem z otwarciem plików pakietu Office
przez mateo8898 » 14 Kwi 2013, 12:14
UA: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0
Zapoznaj się z regulaminem działu (czerwona ramka na górze), szczególnie pkt. 2 oraz z tym 
otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 odnośnie ComboFix.
otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 odnośnie ComboFix.-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Zainfekowany plik C:\Windows\SysWow64\imm32.dll
przez Mario4 » 14 Kwi 2013, 18:51
UA: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MAAU)
Zapoznałem się. Wklejam linki do logów po skanowaniu OTL (i link doExtras OTL) oraz Gmer:
http://www.wklej.eu/index.php?id=fb94cca48a
http://www.wklej.eu/index.php?id=0579054ce3
http://www.wklej.eu/index.php?id=85bde68318
Co do tego, że zacząłem skanowanie od Combofixa - zrobiłem to zanim zapisałem się na tym forum.
M.
http://www.wklej.eu/index.php?id=fb94cca48a
http://www.wklej.eu/index.php?id=0579054ce3
http://www.wklej.eu/index.php?id=85bde68318
Co do tego, że zacząłem skanowanie od Combofixa - zrobiłem to zanim zapisałem się na tym forum.
M.
- Mario4
- Forumowicz
- Posty: 32
- Dołączenie: 14 Kwi 2013, 11:08
Re: Zainfekowany plik C:\Windows\SysWow64\imm32.dll
przez mateo8898 » 14 Kwi 2013, 21:13
UA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0
W logach infekcji brak, trudno powiedzieć czy ten plik był w ogóle zainfekowany.
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt i podajesz log z usuwania.
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKCU\..\SearchScopes\{63D30044-611F-4203-92E2-8DFB945D87E2}: "URL" = http://search.avg.com/route/?d=4cb36d50&v=6.10.6.4&i=26&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2011-04-16 23:22:16 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.)
:Commands
[emptytemp]
Klikasz Wykonaj skrypt i podajesz log z usuwania.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Zainfekowany plik C:\Windows\SysWow64\imm32.dll
przez Mario4 » 14 Kwi 2013, 21:41
UA: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MAAU)
Dzięki. Zrobiłem to. Poniżej link do logu z usuwania:
http://www.wklej.eu/index.php?id=2a2aed24cd
Ale tak się zastanawiam - OTL'em i Gmer'em skanowałem po Combofixie. A to właśnie Combofix w pierwszym swoim skanowaniu wykrył zainfekowanie pliku. W drugim skanowaniu Combofix już nie wspominał o infekcji - zrozumiałem to w ten sposób, że być może w pierwszym skanowaniu wykrył i usunął. Czy to znaczy, że nawet z logu z pierwszego skanowania wynika, że nie było żadnej infekcji?
A tak a propos - co ja właściwie usunąłem teraz OTL'em?
M.
http://www.wklej.eu/index.php?id=2a2aed24cd
Ale tak się zastanawiam - OTL'em i Gmer'em skanowałem po Combofixie. A to właśnie Combofix w pierwszym swoim skanowaniu wykrył zainfekowanie pliku. W drugim skanowaniu Combofix już nie wspominał o infekcji - zrozumiałem to w ten sposób, że być może w pierwszym skanowaniu wykrył i usunął. Czy to znaczy, że nawet z logu z pierwszego skanowania wynika, że nie było żadnej infekcji?
A tak a propos - co ja właściwie usunąłem teraz OTL'em?
M.
- Mario4
- Forumowicz
- Posty: 32
- Dołączenie: 14 Kwi 2013, 11:08
Re: Zainfekowany plik C:\Windows\SysWow64\imm32.dll
przez mateo8898 » 14 Kwi 2013, 22:48
UA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0
Ja właśnie przychylałbym się do tego, że tu żadnej infekcji nie było.
Strony startowe - pozostałości po toolbar`ach, puste wpisy, pliki tymczasowe.
W OTL Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Odinstaluj starą wersję Javy:
i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... /Java.html
A tak a propos - co ja właściwie usunąłem teraz OTL'em?
Strony startowe - pozostałości po toolbar`ach, puste wpisy, pliki tymczasowe.
W OTL
SprzątaniePrzeczyść dysk oraz rejestr CCleaner
Odinstaluj starą wersję Javy:
Java 7 Update 9
i zainstaluj najnowszą
http://www.instalki.pl/programy/downloa ... /Java.html-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Zainfekowany plik C:\Windows\SysWow64\imm32.dll
przez Mario4 » 15 Kwi 2013, 06:43
UA: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MAAU)
Dziękuję.
Odinstalowalem Javę Ccleanerem - z zakładki Narzędzia - Odinstaluj programy. Ale zauważyłem, że w folderze C:Pliki programów (x86) pozostał folder Javy. Czy jeśli go po prostu usunę, to będzie OK i będę mógł zainstalować nową wersję, czy też jednak należy ten folder usunąć w jakiś inny sposób?
Mariusz
Odinstalowalem Javę Ccleanerem - z zakładki Narzędzia - Odinstaluj programy. Ale zauważyłem, że w folderze C:Pliki programów (x86) pozostał folder Javy. Czy jeśli go po prostu usunę, to będzie OK i będę mógł zainstalować nową wersję, czy też jednak należy ten folder usunąć w jakiś inny sposób?
Mariusz
- Mario4
- Forumowicz
- Posty: 32
- Dołączenie: 14 Kwi 2013, 11:08
Re: Zainfekowany plik C:\Windows\SysWow64\imm32.dll
przez mateo8898 » 15 Kwi 2013, 09:42
UA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0
Zostaw ten folder, w niczym nie przeszkadza. Nowa Java się tam zainstaluje.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Zainfekowany plik C:\Windows\SysWow64\imm32.dll
przez Mario4 » 15 Kwi 2013, 20:57
UA: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MAAU)
Dziękuję,
komputer z powrotem działa normalnie.
Pozdrawiam,
Mariusz
komputer z powrotem działa normalnie.
Pozdrawiam,
Mariusz
- Mario4
- Forumowicz
- Posty: 32
- Dołączenie: 14 Kwi 2013, 11:08
9 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników