DzikuXXX Napisano Grudzień 8, 2010 Zgłoś Share Napisano Grudzień 8, 2010 Otoz mam cos takiego - gram sobie i nagle dostaje okienko od Norton Security... (nie mam Nortona). Res kompa i na pulpicie mam ikonke a na C: pliki. Usunalem, nic nie mowil. Co to bylo? Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Grudzień 8, 2010 Zgłoś Share Napisano Grudzień 8, 2010 Daj log z Malwarebytes' Anti-Malware po przeprowadzeniu pełnego skanowania oraz obydwa logi z OTL. Link do komentarza Udostępnij na innych stronach More sharing options...
DzikuXXX Napisano Grudzień 8, 2010 Autor Zgłoś Share Napisano Grudzień 8, 2010 Skana z mbam'a zrobie rano jak bede wychodzil do szkoly. Co do OTL - moze jestem slepy ale nie widze na pulpicie 2 loga OTL.Txt Link do komentarza Udostępnij na innych stronach More sharing options...
DzikuXXX Napisano Grudzień 9, 2010 Autor Zgłoś Share Napisano Grudzień 9, 2010 Log z Malwarebytes Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Wersja bazy: 5278 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 6.0.2900.5512 2010-12-09 13:33:16 mbam-log-2010-12-09 (13-33-16).txt Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|) Przeskanowano obiektów: 252950 Upłynęło: 48 minut(y), 45 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 0 Zainfekowanych wartości rejestru: 0 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 0 Zainfekowanych plików: 5 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: (Nie znaleziono zagrożeń) Zainfekowanych wartości rejestru: (Nie znaleziono zagrożeń) Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: c:\Recycled\Recycled\ctfmon.exe (Trojan.VB) -> Quarantined and deleted successfully. c:\system volume information\_restore{347e6012-a91a-4421-b6ef-3ff231c23dfc}\RP199\A0224362.exe (Trojan.Bancos) -> Quarantined and deleted successfully. d:\Recycled\ctfmon.exe (Trojan.VB) -> Quarantined and deleted successfully. e:\Recycled\ctfmon.exe (Trojan.VB) -> Quarantined and deleted successfully. f:\Recycled\ctfmon.exe (Trojan.VB) -> Quarantined and deleted successfully. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Grudzień 9, 2010 Zgłoś Share Napisano Grudzień 9, 2010 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files RECYCLER /alldrives autorun.inf /alldrives :OTL O33 - MountPoints2\{59c0e496-521b-11df-9bf1-00508db61a2b}\Shell\Open(&0)\command - "" = Recycled\ctfmon.exe O33 - MountPoints2\J\Shell - "" = AutoRun O33 - MountPoints2\J\Shell\AutoRun\command - "" = J:\Launcher.exe -- File not found :Commands [emptyflash] [emptytemp] i kliknij Uruchom skrypt. Po restarcie otrzymasz log, zapisz go. 2. W OTL pozaznaczaj opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników oraz we wszystkich sekcjach wybierz opcję Użyj filtrowania i kliknij skanuj. 3. Ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów. 4. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku. Logi z kroków 1, 2 (obydwa) oraz 4 wrzuć na forum. Link do komentarza Udostępnij na innych stronach More sharing options...
DzikuXXX Napisano Grudzień 9, 2010 Autor Zgłoś Share Napisano Grudzień 9, 2010 A GMER'a nie moge odpalic bo od razu BSOD. Chcialem zrobic to co pisza tu. Ale zapomnialem ze DEAMONa i sptd.sys usuwalem przy okazji z problemami z Falloutem 3... ps. nazwe logu po pkt 1 zmienilem na fix bo inaczej nie chcialo wejsc.OTL.TxtExtras.Txtfix.txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Grudzień 9, 2010 Zgłoś Share Napisano Grudzień 9, 2010 Defogger wyłącza sptd, więc to nie tu jest problem. GMER tak czasem ma, spróbuj odpalić go w trybie awaryjnym. Jeśli nie pójdzie, to użyj RootRepeal: 1. Ściągnij program RootRepeal. 2. Uruchom go. Przejdź do karty Report i kliknij opcję Scan. 3. W oknie, które się pojawi zaznacz wszystkie opcje. 4. W następnym oknie zaznacz tylko dysk systemowy. 5. Program będzie przechodził przez kolejne karty i będzie odnotowywał to co znajdzie. 6. Po zakończeniu skanowania pojawi się raport w oknie programu i równocześnie zostanie otwarty notatnik, w którym będziesz miał log. Link do komentarza Udostępnij na innych stronach More sharing options...
DzikuXXX Napisano Grudzień 9, 2010 Autor Zgłoś Share Napisano Grudzień 9, 2010 W awaryjnym poszlo, nie zmienialem ustawien : skanowal tylko C: GMER 1.0.15.15530 - http://www.gmer.net Rootkit scan 2010-12-09 20:40:07 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-f ST3160815AS rev.3.AAD Running: o4nvkj0j.exe; Driver: C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pxtdapoc.sys ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x00 0x3D 0xA9 0x3D ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x00 0x3D 0xA9 0x3D ... ---- EOF - GMER 1.0.15 ---- Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Grudzień 9, 2010 Zgłoś Share Napisano Grudzień 9, 2010 No tak, użyłeś fixa w starej wersji OTL, a więc niewiele zrobił. Ściągnij najnowszą wersję OTL i ją uruchom. W sekcji Własne opcje skanowania / skrypt wklej: :Files RECYCLER /alldrives autorun.inf /alldrives :OTL @Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D74B6CF5 :Commands [emptyflash] [emptytemp] i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Wrzuć go na forum. Poza tym wrzuć na forum nowe logi z OTL wygenerowane w taki sam sposób, jak poprzednim razem. Link do komentarza Udostępnij na innych stronach More sharing options...
DzikuXXX Napisano Grudzień 9, 2010 Autor Zgłoś Share Napisano Grudzień 9, 2010 Dziwna sprawa... po wykonaniu tego, restarcie, OTL zniknal... Sciagnalem i pojawilo sie tylko to All processes killed ========== FILES ========== C:\RECYCLER\S-1-5-21-1606980848-1085031214-839522115-500 folder moved successfully. C:\RECYCLER folder moved successfully. D:\RECYCLER\S-1-5-21-1606980848-1085031214-839522115-500 folder moved successfully. D:\RECYCLER folder moved successfully. E:\RECYCLER\S-1-5-21-1606980848-1085031214-839522115-500 folder moved successfully. E:\RECYCLER folder moved successfully. F:\RECYCLER\S-1-5-21-1606980848-1085031214-839522115-500 folder moved successfully. F:\RECYCLER folder moved successfully. RECYCLER not found in H:\ autorun.inf not found in C:\ Folder move failed. D:\autorun.inf scheduled to be moved on reboot. Folder move failed. E:\autorun.inf scheduled to be moved on reboot. Folder move failed. F:\autorun.inf scheduled to be moved on reboot. File move failed. H:\autorun.inf scheduled to be moved on reboot. ========== OTL ========== Unable to delete ADS C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D74B6CF5 . ========== COMMANDS ========== [EMPTYFLASH] User: Administrator ->Flash cache emptied: 456 bytes User: All Users User: Default User User: LocalService User: Miszczu ->Flash cache emptied: 0 bytes User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 587324 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 4181023 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Miszczu ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 5,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 12092010_213625 Files\Folders moved on Reboot... Registry entries deleted on Reboot...OTL.TxtExtras.Txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Grudzień 9, 2010 Zgłoś Share Napisano Grudzień 9, 2010 Rzeczywiście dziwne. Spróbuj tak. Wyłącz antywirusa, następnie w sekcji Własne opcje skanowania / skrypt wklej: :Files RECYCLER /alldrives autorun.inf /alldrives i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Wrzuć go na forum. Poza tym wrzuć na forum nowe logi z OTL wygenerowane w taki sam sposób, jak poprzednim razem. Jeśli znowu OTL zniknie, to będzie trzeba inaczej to naprawić. Link do komentarza Udostępnij na innych stronach More sharing options...
DzikuXXX Napisano Grudzień 10, 2010 Autor Zgłoś Share Napisano Grudzień 10, 2010 Nowe logi po wylaczeniu Comodo fix.txtExtras.TxtOTL.Txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Grudzień 11, 2010 Zgłoś Share Napisano Grudzień 11, 2010 No dobra, to pozostała jedna rzecz. Wyłącz antywirusa, następnie w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\tasks\Norton Security Scan for Administrator.job i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Wrzuć go na forum. Poza tym wrzuć na forum nowe logi z OTL wygenerowane w taki sam sposób, jak poprzednim razem i napisz, czy problem ustąpił (z tego co widzę w necie to nie jest wirus, tylko dziwne praktyki Symanteca). Link do komentarza Udostępnij na innych stronach More sharing options...
DzikuXXX Napisano Grudzień 11, 2010 Autor Zgłoś Share Napisano Grudzień 11, 2010 Nawet nie bylo restartu ========== FILES ========== C:\WINDOWS\tasks\Norton Security Scan for Administrator.job moved successfully. OTL by OldTimer - Version 3.2.17.3 log created on 12112010_163650 Nowe logi :OTL.TxtExtras.Txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Grudzień 11, 2010 Zgłoś Share Napisano Grudzień 11, 2010 To jeszcze odpowiedz na pytanie, czy problem ustąpił. I czy są jeszcze jakieś problemy z systemem? Link do komentarza Udostępnij na innych stronach More sharing options...
DzikuXXX Napisano Grudzień 11, 2010 Autor Zgłoś Share Napisano Grudzień 11, 2010 No w sumie problemu nie ma. Po prostu zastanawialem sie co to bylo i czy moj komputer jest czysty. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Grudzień 11, 2010 Zgłoś Share Napisano Grudzień 11, 2010 Tak z tego co widzę, to gdzieś jednak zainstalowałeś jakieś oprogramowanie od Symanteca (być może przez przypadek, bo ponoć działa jak trojan). Poza tym było widać jakieś śmieci, które też zostały usunięte (nic groźnego nie było). Uruchom OTL i kliknij opcję sprzątanie. To pousuwa śmieci. Poza tym zaktualizuj co się da. IE6 jest bardzo dużą dziurą w Twoim systemie, nawet jeśli nie używasz tej przeglądarki. Java również jest nieaktualna. Ponownie włącz emulację napędów programem Defogger. Po tych zabiegach napisz, czy wszystko jest w porządku. Link do komentarza Udostępnij na innych stronach More sharing options...
DzikuXXX Napisano Grudzień 11, 2010 Autor Zgłoś Share Napisano Grudzień 11, 2010 Nie mialem dzis za bardzo czasu : z tego co zdazylem zrobic to dalem "sprzataj" OTLowi. Po resecie ten znowu zniknął z pulpitu. IE i Java zajme sie jutro. Link do komentarza Udostępnij na innych stronach More sharing options...