Pierwszy raz od początku zabawy z komputerem (a już trochę minęło ) poniosło mnie i zainstalowałem sobie jakieś świństwo - byłem po prostu nieostrożny.
oto mój log
Cytat:
file of Trend Micro HijackThis v2.0.4
Scan saved at 11:05:05, on 2011-12-21
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal
z analizatora na jakiejś stronie i z mojej próby walki z tym bo sam wyłapałem, że ten proces jakiś podejrzany wynika że to co pogrubione jest nie potrzebne. Jednak opcja fix nie załatwia sprawy. to coś dalej siedzi. Kłopot w tym,że nie widać tego pliku w ogóle w eksploratorze.
Da się coś z tym zrobić
To coś zainstalowało jakiś program vermacina
teraz przy uruchamianiu komputera wyskakuje monit,że program przestał działać.
plik wiindows.exe zobaczyłem dopiero przy użyciu Tc, jednak próba jego usuwania kończy się tym, że za chwilę znowu się pojawia.
Witaj na forum.PCTown!
Jestem crooleeck i spróbuje Ci pomóc.
Bardzo dobre typy, to są główni podejrzani. Jednakże HiJack This nie zapewnia wsparcia dla Windows7 i ogólnie lata świetności ma już za sobą.
Wszystkie narzędzia uruchamiaj z prawokliku Uruchom jako administrator. Przed uruchomieniem wyłącz (jeżeli masz) aktywnego antywirusa.
Proszę o log z OTL, ustaw jak poniżej:
Czyli zaznaczasz:
Wszyscy użytkownicy.
Rejestr - skan dodatkowy - użyj filtrowania.
Infekcja LOP - sprawdzanie.
Infekcja Purity - sprawdzanie.
Ewentualnie Skanuj część 64-bit w przypadku systemu operacyjnego 64-bit.
Wykonaj log Przycisk Skanuj.
Log wrzuć na forum. Zawartość Extras wklej na http://wklej.org i podaj linki na forum.
Witaj ponownie!
Masz głęboko siedzącą w systemie infekcje, oraz co najmniej jedną lżejszą.
W tej chwili jeszcze analizuję log z OTL, dokładne instrukcje podsunę jak najprędzej.
Niestety log z GMER nic nie jest wart. Masz w systemie zainstalowany DeamonTools. Na czas skanowania odinstaluj go lub użyj Defoggera http://forum.instalki.pl/...t=13967#p111852
Proszę zatem o nowy log z GMERA wykonany, gdy nie będzie w systemie czynnego sterownika wirtualnego napędu:
DRV:64bit: - [2010-12-10 00:25:54 | 000,834,544 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)
Pamiętaj, aby wszystkie narzędzia uruchamiać za pomocą prawokliku Uruchom jako Administrator oraz przy wyłączonym Avaście.
OTL sobie daruj - Avast nie zaciemnia go. Zrób co poniżej:
Log przeanalizowany.
Infekcja jest ciężka. OTL może sobie z nią nie poradzić. Sprawdźmy.
W pierwszej kolejności utwórzy punkt przywracania systemu: http://windows.microsoft.com/pl-PL/windows7/Create-a-restore-point
Zrób także kopię rejestru, kliknij:
1. Menu Start Uruchom wpsiz regedit Zaznacz Mój komputer" kliknij Plik Eksportuj wybierz miejsce i nazwę, najlepiej C:\kopiareg20111222, upewnij się, że jest zaznaczone w sekcji Zakres eksportu Wszystko Zapisz.
OK. Czas na czyszczenie. Uruchom OTL i wklej w Własne opcje skanowania/skrypt:
Kliknij Wykonaj skrypt. W kolejnym poście zaprezentuj log z usuwania (pojawi się po zakończeniu pracy OTL, lub restarcie który może być wymagany - jeżeli zapyta, odpowiedz Tak) oraz nowy log z OTL z opcji Skanuj.
W następnym poście oczekuję na:
1. Log z usuwania OTL.
2. Nowy OTL.
3. Poprawny GMER.
4. Informację jakie masz odczucia z pracy systemu.
Podejrzewam, że coś jednak dobrego się zrobiło. Bo nie wyskakuje komunikat o tym, ze program vermacina przestał działać, w menedżerze zadań proces wiindows.exe też się nie uruchomił wiec chyba go usunęło.
4. generalnie nie miałem jakichś oznak złej pracy systemu tylko w momencie jak kliknąłem w ściągnięty plik z instancją tego czegoś i przez jakiś czas się nic nie działo, to wiedziałem, że sam sobie jakieś g.... zainstalowałem więc zacząłem szukać jakich dziwnych procesów i znalazłem to. Kiedy wyłączyłem i próbowałem usunąć plik z lokalizacji jedna bezskutecznie wiedza moja na ten temat się wyczerpała
za chwilę resztę logów (oczywiście dłuższą ) - czy GMER ma skanować pliki??
Jeszcze jedna obserwacja
c:\Users\Ania\AppData\Roaming\ w tej lokalizacji tworzył się plik Anialog.dat - mimo kasowania tworzył się ponownie.
usunąłem ręcznie - juz się nie tworzy.
GMER zostawiasz na domyślnych ustawieniach. Znowu działał sterownik od wirtualnego napędu, który blokuje GMERA. Proponuje całkowite usunięcie DEAMON Tools - po czyszczeniu zainstalujesz ponownie z opcji zaawansowane, dzięki czemu nie zainstalujesz niepotrzebnych Toolbarów.
Przeanalizuję nowe logi w wolnej chwili...
A Ty w międzyczasie wrzuć plik:
c:\Users\Ania\AppData\Roaming\Anialog.dat
Na Virustotal www.virustotal.com i zaprezentuj raport tutaj.
Nie wiem co to jest, a malware ma zazwyczaj bardziej losowe nazwy. Choć taka zbitka może być niezłym kamuflażem....
Zrób restart kompa i sprawdź czy plik się nie odrodził. Jeżeli tak, sprawdź go na Virustotal.
W OTL w sekcji Własne opcje skanowania / skrypt wklej:
Kod:
dir /a /s C:\Users\Ania\AppData\Roaming\install /C
Klik w Skanuj - nie Wykonaj skrypt. Log zapodaj.
Zamiast GMERA, pobierz TDSSKiller http://support.kaspersky..../tdsskiller.exe
Uruchom jako Administrator Start scan Jeżeli coś znajdzie wybieraj akcję Skip - a znajdzie zapewne stdp, co będzie fałszywym alarmem. Reboot Computer. Po ponowym uruchomieniu zaprezentuj log - wygeneruje się na dysku TDSSKiller.wersja_data_czas_log.txt
OTL by OldTimer - Version 3.2.31.0 log created on 12232011_000433
Files\Folders moved on Reboot...
C:\Users\Ania\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Ania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V31HAGPS\background_banner_green_50_v9[1].jpg moved successfully.
C:\Users\Ania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V31HAGPS\list-item-plus[1].png moved successfully.
C:\Users\Ania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TTFV2YY8\background-banner-middle-v9[1].jpg moved successfully.
C:\Users\Ania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PCXL52B1\background-banner-right-v9[1].jpg moved successfully.
C:\Users\Ania\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I087QCYR\background_button_green_full[1].png moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
Resztę wykończy MBAM:
W MBAM jeżeli je znasz i masz zaufanie (to raczej cracki i generatory cd-key) zostaw, jeżeli nie - usuń:
Kod:
c:\Users\Ania\downloads\usbm10\multi_content\wintools\othertools\ProduKey.exe (PUP.PSWTool.ProductKey) No action taken.
f:\kopia starego dysku\guitar pro 6.0.1 r7840\Crack\guitarpro6-patch-fixed.exe (Malware.Packer.Gen) No action taken.
f:\nawigacje\igo wszystko\igo 8.3.5183522\mioautorun\Programs\ce agenda\mfcce300.dll (Malware.Packer.Gen) No action taken.
f:\nawigacje\igo wszystko\igo 8.3.5183522\mioautorun\Programs\ce agenda\olece300.dll (Malware.Packer.Gen) No action taken.
f:\nawigacje\igo wszystko\igo 8.3.5183522\mioautorun\Programs\microsoft reader\Dmgr.dll (Malware.Packer.Gen) No action taken.
f:\nawigacje\igo wszystko\igo 8.3.5183522\mioautorun\Programs\NetCFCfg\NetCFCfg.exe (Malware.Packer.Gen) No action taken.
f:\nawigacje\igo wszystko\igo 8.3.5183522\mioautorun\Programs\NetCFCfg\rtf3_5.dll (Malware.Packer.Gen) No action taken.
f:\nawigacje\igo wszystko\igo 8.3.5183522\mioautorun\Programs\Office\RICHED20.DLL (Malware.Packer.Gen) No action taken.
Poniższe:
Kod:
c:\program files (x86)\GetData\recover my files v4\armaccess.dll (Malware.Packer) No action taken.
c:\program files\windows defender\setup\alkare.fok (Trojan.Agent) No action taken.
c:\program files\windows defender\setup\windows desing.exe (Trojan.Agent) No action taken.
Koniecznie do usunięcia. Wybacz za przeoczenie, mogłem napisać aby podejrzanych przesunąć do kwarantanny - wystarczyło by z niej przywrócić fałszywe alarmy i opróżnić w celu utylizacji reszty.
Starość nie radość, przeoczyłem podstawę do zaktualizowania:
Internet Explorer do wersji 9 - nawet jeżeli z niego nie korzystasz http://www.microsoft.com/...Explorer-9.aspx
Możesz pisać nowe tematy Możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Możesz ściągać załączniki na tym forum
FAQ
Szukaj
Użytkownicy
Grupy
Rejestracja
Zaloguj
) poniosło mnie i zainstalowałem sobie jakieś świństwo - byłem po prostu nieostrożny.
Uruchom jako administrator. Przed uruchomieniem wyłącz (jeżeli masz) aktywnego antywirusa.
