Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
Objawy zainfekowania:
Wirus i możliwe że coś więcej. Spowolniony komputer i dziki
Wykonywane działania:
Komputer skanowany był Malwarebytes ochrona komputera to Avast
Logi:
Tutaj umieść linki do logów z OTL i RSIT
[Aby zobaczyć linki, zarejestruj się tutaj] Malwarebytes
[Aby zobaczyć linki, zarejestruj się tutaj] OTL
[Aby zobaczyć linki, zarejestruj się tutaj] RSIT log
[Aby zobaczyć linki, zarejestruj się tutaj] Extras
Też mam wkleić INFO z RSIT?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W OTLzaznacz dodatkowo Rejestr - skan dodatkowyi daj skanuj,po wszystkim utworzy się raport dodatkowy extras
Dodano: 29 maja 2013, 0:14
Odinstaluj:
SUPERAntiSpyware
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod: :OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=Maxtor_6K040L0_K10XENGG&ts=1369655352
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=Maxtor_6K040L0_K10XENGG&ts=1369655352
IE - HKU\S-1-5-21-436374069-1592454029-1606980848-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=Maxtor_6K040L0_K10XENGG&ts=1369655352
IE - HKU\S-1-5-21-436374069-1592454029-1606980848-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=Maxtor_6K040L0_K10XENGG&ts=1369655352
IE - HKU\S-1-5-21-436374069-1592454029-1606980848-500\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKU\S-1-5-21-436374069-1592454029-1606980848-500\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
FF - HKLM\Software\MozillaPlugins\@ganymede/MAHJONG,version=1.0: C:\Program Files\Ganymede\Plugins\MAHJONG\NPMAHJONG.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/MAKAOV2,version=1.0: C:\Program Files\Ganymede\Plugins\MAKAOV2\NPMAKAOV2.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/MARBLES,version=1.0: C:\Program Files\Ganymede\Plugins\MARBLES\NPMARBLES.dll File not found
FF - HKLM\Software\MozillaPlugins\@nexon.net/NxGame: C:\Documents and Settings\All Users\Dane aplikacji\NexonUS\NGM\npNxGameUS.dll File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption =
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext =
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1
O7 - HKU\S-1-5-21-436374069-1592454029-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O15 - HKU\S-1-5-21-436374069-1592454029-1606980848-500\..Trusted Domains: mks.com.pl ([www] https in Zaufane witryny)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
:Commands
[EMPTYTEMP]
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] i uruchom AdwCleanerz opcji Delete .
W google chrom w ustawieniach zobacz czy domyślna wyszukiwarka jest google jeśli nie to zmień.
Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z Adwcleaner .
Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
Odinstalowałam SuperAntiSpyware.
Zeskanowałam.
Ściągnełam AdwCleaner i opcja usuń/Delete.
W google chrome dwa dni temu przestawiłam wyszukiwarkę.
[Aby zobaczyć linki, zarejestruj się tutaj] AdwCelaner
[Aby zobaczyć linki, zarejestruj się tutaj] OTL
[Aby zobaczyć linki, zarejestruj się tutaj] Extras
No i jeszcze lepiej Avast wykryłDriveinfo.exe Win32:Spyware-Gen[Spy]w Pendrive i w drugim to samo..
I co ja mam tera zrobić,na pendrive nic nie mam z internetu tylko to co robiłam własnoręcznie czyli same slajdy i slajdy od nauczycieli.. to ja już nie wiem ani go teraz użyć ani nic?
Ogólnie teraz ten spyware mam w kwarantannie w avascie..
Włożyłam drugi raz Pendrive i się normalnie uruchomił jest w nim Drives plik systemowy,nie mam pojęcia skąd się wziął..
Przeskanowałam avastem wszystkie pliki które są w tym E i nic nie wykryło ?! czy przez to że w kwarantannie umieściło? Ciekawa jestem..
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Driveinfo.exe myślę że to jest FP,wyłącz na chwile obecna osłony z avasta i przywróć ten plik z kwarantanny i jak możesz to przeskanuj go na [Aby zobaczyć linki, zarejestruj się tutaj] i podaj wynik.
Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj] Wyłączyłam ochrone pełną przywróciłam do zrobionego folderu i przeskanowałam. Wynik w linku a dalej? z tymi logami ?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Wygląda już dobrze przejdź do sprzątania w OTL,a ten plik zapodaj na jakiś serwis i prześlij go mi.
Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
tachion napisał(a):A ten plik zapodaj na jakiś serwis i prześlij go mi.
Chodzi Ci o ten zawirusowany plik ? a jeśli ja wyśle a Ci wirus wejdzie do komputera >.<?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ty się nie masz co martwić wysyłając mi ten plik bo jest w postaci wykonywalnej .exe,a ja tym bardziej się tym nie przejmuje,do puki go nie uruchomisz to nic nie stanie
Dodano: 29 maja 2013, 16:43
Dobra ogólnie namierzyłem ten plik już z innych źródeł tak więc nie musisz przesyłać
Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
Mhm tyle że tou mnie nie jest exe przybrał postać img
typ pliku:aplikacja
opis:test
Czyli mam już dobrze z komputerem? a tera co ja mam z tym plikiem co go zostawiłam..usunąć pewnie całkowicie z komputera.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Usuń to,jest to malware otwiera port dany i komunikuje się z danym adresem w sieci
Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
Tak jak myślałam.
To już wszystko? już mam czysty komputer?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
To ja antywirusem go przeskanuje i zobaczę bo to nie tylko było coś, ale też były wirusy.. -.- ale i tak się spowalnia tak jak było przed usuwaniem..
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Jeśli avast komunikuje np.to srvany.exe -- (KMService) no to wiesz co to jest
Wejdź w tą lokalizacje i usuń pozostałość ArcaBitC:\Documents and Settings\All Users\Dane aplikacji\ArcaBit
Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
Usunęłampozostałość
Co ja mam tera zrobić bo kurcze miałam zapisany slajd na parę stron i nagle nie ma? znikł szukałam po całym komputerze a tu nic.
Czy mam go tera programem przywracającym przywrócić czy jak ?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
No to ja już nic nie poradzę na to że się gdzieś slajd podział,możesz skorzystać z jakiegoś programu do przywracania usuniętych plików np.EASEUS Data Recovery
Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
Tak wiem,ale i tak dziękuje za wszystko o tego nie znam programu używam undelete360.
Czemu po włączeniu komputera,wychodzi że mam podłączone nieznane urządzenie,skoro ja nie mam nic podłączonego.W menedżerze urządzeń żółty znak zapytania-inne urządzenia-nieznane wyłączyłam żeby mi nie pokazywało nadal..ale chyba usunę ten znak żółty.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Dwa oddzielne wirusy.
Dziwne ale mysz jest niekontrolowana tzn. strzałka ucieka gdzie chce włącza nie wiadomo co np. leci na start i włączy jakiś folder..albo się zatnie że trzeba reset bo mysz działa tyle że strzałka nie chodzi.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
To nie są żadne oddzielne wirusy tylko jeden i ten sam.
Żółty znak to pewnie brak jakiegoś sterownika.
Przeskanuj komputer jeszcze programem Malwarebytes Anti-Rootkit [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 21
Liczba wątków: 3
Dołączył: 28.05.2013
Reputacja:
0
A hmm no niby jeden ale w dwóch plikach siedzi
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Podłącz PenDrive do komputera,ściągnij program USBFix[Aby zobaczyć linki, zarejestruj się tutaj] uruchom prawym przyciskiem myszki jako administrator,kliknij Research poczekaj aż zakończy skanowanie prześlij log na jakiś serwis np. tu
[Aby zobaczyć linki, zarejestruj się tutaj]
|