Zaloguj się

Kadarka · 28.05.2013, 20:46

Objawy zainfekowania:
Wirus i możliwe że coś więcej. Spowolniony komputer i dziki Wink

Wykonywane działania:
Komputer skanowany był Malwarebytes ochrona komputera to Avast
Logi:

Tutaj umieść linki do logów z OTL i RSIT

[Aby zobaczyć linki, zarejestruj się tutaj]

Malwarebytes

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

RSIT log

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras
Też mam wkleić INFO z RSIT?

**tachion** · 28.05.2013, 23:14

W OTLzaznacz dodatkowo Rejestr - skan dodatkowyi daj skanuj,po wszystkim utworzy się raport dodatkowy extras

Dodano: 29 maja 2013, 0:14

Odinstaluj:

SUPERAntiSpyware

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=Maxtor_6K040L0_K10XENGG&ts=1369655352

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=Maxtor_6K040L0_K10XENGG&ts=1369655352

IE - HKU\S-1-5-21-436374069-1592454029-1606980848-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=Maxtor_6K040L0_K10XENGG&ts=1369655352

IE - HKU\S-1-5-21-436374069-1592454029-1606980848-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=Maxtor_6K040L0_K10XENGG&ts=1369655352

IE - HKU\S-1-5-21-436374069-1592454029-1606980848-500\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}

IE - HKU\S-1-5-21-436374069-1592454029-1606980848-500\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}

FF - HKLM\Software\MozillaPlugins\@ganymede/MAHJONG,version=1.0: C:\Program Files\Ganymede\Plugins\MAHJONG\NPMAHJONG.dll File not found

FF - HKLM\Software\MozillaPlugins\@ganymede/MAKAOV2,version=1.0: C:\Program Files\Ganymede\Plugins\MAKAOV2\NPMAKAOV2.dll File not found

FF - HKLM\Software\MozillaPlugins\@ganymede/MARBLES,version=1.0: C:\Program Files\Ganymede\Plugins\MARBLES\NPMARBLES.dll File not found

FF - HKLM\Software\MozillaPlugins\@nexon.net/NxGame: C:\Documents and Settings\All Users\Dane aplikacji\NexonUS\NGM\npNxGameUS.dll File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1

O7 - HKU\S-1-5-21-436374069-1592454029-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found

O15 - HKU\S-1-5-21-436374069-1592454029-1606980848-500\..Trusted Domains: mks.com.pl ([www] https in Zaufane witryny)

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

:Commands

[EMPTYTEMP]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

W google chrom w ustawieniach zobacz czy domyślna wyszukiwarka jest google jeśli nie to zmień.

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z Adwcleaner .

Kadarka · 29.05.2013, 12:47

Odinstalowałam SuperAntiSpyware.
Zeskanowałam.
Ściągnełam AdwCleaner i opcja usuń/Delete.
W google chrome dwa dni temu przestawiłam wyszukiwarkę.

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCelaner

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras
No i jeszcze lepiej Wall

Avast wykryłDriveinfo.exe Win32:Spyware-Gen[Spy]w Pendrive i w drugim to samo..
I co ja mam tera zrobić,na pendrive nic nie mam z internetu tylko to co robiłam własnoręcznie czyli same slajdy i slajdy od nauczycieli.. None

to ja już nie wiem ani go teraz użyć ani nic?
Ogólnie teraz ten spyware mam w kwarantannie w avascie..
Włożyłam drugi raz Pendrive i się normalnie uruchomił jest w nim Drives plik systemowy,nie mam pojęcia skąd się wziął..
Przeskanowałam avastem wszystkie pliki które są w tym E i nic nie wykryło ?! czy przez to że w kwarantannie umieściło? Ciekawa jestem..

**tachion** · 29.05.2013, 15:01

Driveinfo.exe myślę że to jest FP,wyłącz na chwile obecna osłony z avasta i przywróć ten plik z kwarantanny i jak możesz to przeskanuj go na

[Aby zobaczyć linki, zarejestruj się tutaj]

i podaj wynik.

Kadarka · 29.05.2013, 15:14

[Aby zobaczyć linki, zarejestruj się tutaj]

Wyłączyłam ochrone pełną przywróciłam do zrobionego folderu i przeskanowałam. Wynik w linku a dalej? z tymi logami ?

**tachion** · 29.05.2013, 15:21

Wygląda już dobrze przejdź do sprzątania w OTL,a ten plik zapodaj na jakiś serwis i prześlij go mi.

Kadarka · 29.05.2013, 15:26

tachion napisał(a):A ten plik zapodaj na jakiś serwis i prześlij go mi.

Chodzi Ci o ten zawirusowany plik ? a jeśli ja wyśle a Ci wirus wejdzie do komputera >.<?

**tachion** · 29.05.2013, 15:43

Ty się nie masz co martwić wysyłając mi ten plik bo jest w postaci wykonywalnej .exe,a ja tym bardziej się tym nie przejmuje,do puki go nie uruchomisz to nic nie stanie Smile

Dodano: 29 maja 2013, 16:43

Dobra ogólnie namierzyłem ten plik już z innych źródeł tak więc nie musisz przesyłać

Kadarka · 29.05.2013, 15:52

Mhm tyle że tou mnie nie jest exe przybrał postać img
typ pliku:aplikacja
opis:test
Czyli mam już dobrze z komputerem? a tera co ja mam z tym plikiem co go zostawiłam..usunąć pewnie całkowicie z komputera.

**tachion** · 29.05.2013, 15:55

Usuń to,jest to malware otwiera port dany i komunikuje się z danym adresem w sieci

Kadarka · 29.05.2013, 15:57

Tak jak myślałam.
To już wszystko? już mam czysty komputer?

**tachion** · 29.05.2013, 15:59

Tak

Kadarka · 29.05.2013, 16:05

To ja antywirusem go przeskanuje i zobaczę bo to nie tylko było coś, ale też były wirusy.. -.- ale i tak się spowalnia tak jak było przed usuwaniem..

**tachion** · 29.05.2013, 16:17

Jeśli avast komunikuje np.to srvany.exe -- (KMService) no to wiesz co to jest Smile

Wejdź w tą lokalizacje i usuń pozostałość ArcaBitC:\Documents and Settings\All Users\Dane aplikacji\ArcaBit

Kadarka · 29.05.2013, 16:52

Usunęłampozostałość Smile

Co ja mam tera zrobić bo kurcze miałam zapisany slajd na parę stron i nagle nie ma? znikł szukałam po całym komputerze a tu nic.
Czy mam go tera programem przywracającym przywrócić czy jak ?

**tachion** · 29.05.2013, 17:08

No to ja już nic nie poradzę na to że się gdzieś slajd podział,możesz skorzystać z jakiegoś programu do przywracania usuniętych plików np.EASEUS Data Recovery

Kadarka · 29.05.2013, 19:25

Tak wiem,ale i tak dziękuje za wszystko Smile

o tego nie znam programu używam undelete360.
Czemu po włączeniu komputera,wychodzi że mam podłączone nieznane urządzenie,skoro ja nie mam nic podłączonego.W menedżerze urządzeń żółty znak zapytania-inne urządzenia-nieznane wyłączyłam żeby mi nie pokazywało nadal..ale chyba usunę ten znak żółty.

[Aby zobaczyć linki, zarejestruj się tutaj]

Dwa oddzielne wirusy.
Dziwne ale mysz jest niekontrolowana tzn. strzałka ucieka gdzie chce włącza nie wiadomo co np. leci na start i włączy jakiś folder..albo się zatnie że trzeba reset bo mysz działa tyle że strzałka nie chodzi.

**tachion** · 29.05.2013, 20:28

To nie są żadne oddzielne wirusy tylko jeden i ten sam.
Żółty znak to pewnie brak jakiegoś sterownika.
Przeskanuj komputer jeszcze programem Malwarebytes Anti-Rootkit

[Aby zobaczyć linki, zarejestruj się tutaj]

Kadarka · 29.05.2013, 20:44

A hmm no niby jeden ale w dwóch plikach siedzi Sad

**tachion** · 29.05.2013, 21:10

Podłącz PenDrive do komputera,ściągnij program USBFix

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom prawym przyciskiem myszki jako administrator,kliknij Research poczekaj aż zakończy skanowanie prześlij log na jakiś serwis np. tu

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie