dkdnt

WIELKIE DZIĘKI za pomoc. Bez Twojej pomocy prawdopodobnie ta przygoda z wirusem mogła by się bardzo źle skończyć dla mojej znajomej. Jeszcze raz dziękuję i pozdrawiam.

Udało się uruchomić tryb normalny:) W załączniku logi. Addition.txt FRST.txt

Dało się usunąć ...niema już tego wpisu. Czy mówisz o CMD Trybu awaryjnego czy CMD WinRE? mówię o cmd trybu awaryjnego

Wykonałem te polecenia z wiersza poleceń trybu awaryjnego z uwzględnieniem zmiany liter partycji Wszystko ładnie usunęło Niema w tej lokalizacji tego pliku, więc nie wykonałem tej operacji ale znalazłem podobne pliki w lokalizacji: C:\Użytkownicy\Default\ Są to takie pliki: NTUSER.DAT.LOG NTUSER.DAT.LOG1 NTUSER.DAT.LOG2 i nie wiem co z tym zrobić? Uruchomiłem z cmd jeszcze raz FRST64 ale log jest pusty tylko linia End Of Log Na razie mam obawę przed uruchomieniem win7 w trybie normalnym bez wykonania zmian w rejestrze... można to zrobić?

Te elementy są pod wskazanymi literami ale poniższych ścieżek nie ma...tzn nie widać katalogu "AppData" na partycji E: i nie widać katalogu "ProgramData" Daje komunikat: System nie może odnaleźć określonej ścieżki Nie wiem czy się wykonały - nie dały żadnego komunikat ani o błędzie ani o pozytywnej operacji Nie widać ścieżki a konkretnie pliku NTUSER.DAT więc nie wykonałem polecenia Ad.3 dalej ten sam fullscreen DODATKOWO: Po uruchomieniu systemu w trybie awaryjnym z linią poleceń(z tego co czytałem w necie niby ten vir nie ładuje się w tym trybie) i w notepad wyszukanie tych ścieżek nie stanowi problemu ale są to katalogi ukryte... chodzi o "AppData" na partycji C: i "ProgramData" na D: Więc może wykonać te wszystkie operacjie z wiersza poleceń w trybie awaryjnym?

W trybie awaryjnym te dyski wyglądają tak: Drive c: () (Fixed) (Total:100 GB) (Free:55.29 GB) NTFS Drive D: (DATA) (Fixed) (Total:67.58 GB) (Free:52.97 GB) NTFS.......... to samo widać w logu z trybu awaryjnego CD E: na D: jest Users>Agata_... Po uruchomieniu notepada itd przypisuje literę D: do systemowej partycji a E: do partycji z Users>Agata_.. Dzieje się tak chyba dlatego, że tą linię poleceń wywołuję z płyty instalacyjnej Win7 ...tzn bootuję z CD Zastanawiam się czy jest taka potrzeba bo mogę linię poleceń uruchamiać z trybu awaryjnego lub awaryjnego z linią poleceń... wtedy może nie było by powyższych problemów? W załączniku log FRST z trybu awaryjnego. FRST.txt

Niestety nie wiem czy jest podpięty pod domenę... możliwe że tak bo ponoć serwis robił coś zdalnie na tym komputerze, ale bez dostępu do internetu konto też jest dostępne. Ogólnie to zauważyłem, że konto Agata_.. fizycznie jest na dysku D: nie wiem czy to ma jakieś znaczenie. Przepraszam Cię ale muszę teraz iść spać ...rano wstaję o 6:00 a mam odpowiedzialną robotę i muszę się chwilę zdrzemnąć. Jeśli mogę to odezwę się jutro?

Coś chyba nie tak bo właśnie zalogowałem się na to konto w trybie awaryjnym...więc musi istnieć

Przepraszam ale nie widzę tu możliwości wstawienia załącznika...nie ma takiego przycisku, chyba że robi się to w inny sposób? Na tą chwilę wrzucam w takiej postaci: http://after-party.pl/Fixlog.txt Przepraszam już się zorientowałem dodania pliku nie ma w wersji odpowiedzi na dole strony(szybka odpowiedź) u góry jest. Fixlog.txt

Niestety po zalogowaniu do windy dalej wyskakuje fullscreen policji poniżej podaję to co wyrzucił frst po zaimportowaniu fixa: http://after-party.pl/vir3.jpg ps. mogę jeszcze raz zeskanować tylko wybrane katalogi DrWebem i wrzucić wszystko do kwarantanny? Może zostawmy to na jutro... bo rano muszę do tyrki lecieć?

Niestety nie udało mi się wyrzucić raportu... Wygląda na to, że DrWeb w wersji liveCd nie posiada takiej możliwości, albo ja jej nie znalazłem:/ Porobiłem zdjęcia z ekranu i wyłączyłem na twardo kompa żeby nie usuwać. Zdjęcia powinny być pod tymi adresami: http://after-party.pl/vir1.jpg http://after-party.pl/vir2.jpg :/ mam nadzieje że to coś pomoże...

OK. Jeszcze 6%... Skończyło ale mogę jedynie dać do kwarantanny... lub leczyć czy usunąć...

Ok i sorki... Mogę poddać je kwarantannie lub pozostawić i wstawić log ze skanu z lokalizacją plików jak zakończy skanowanie. (???) Ta wersja DrWeb nie posiada sterowników do pada i nie mam jak rozwinąć podglądnąć tej ścieżki ...znalazłem myszkę bezprzewodową ale wolę jej nie podłączać w trakcie skanowania, żeby się przypadkiem nic nie wysypało. Ale wyniki powinny być w logu, więc jak zakończy to to podrzucę loga... tym razem w pliku;)

Teraz zacząłem scan DrWebem live CD 21% i znalazł Trojan.Winlock.9360 i leci dalej

Dziękuję za odpowiedź. Trochę to trwało zanim udało mi się załatwić załatwić płytę instalacyjną win7:/ W międzyczasie próbowałem uruchomić OTLPE ale podczas uruchamiania pojawia się blue screen. poniżej log FRST: FRST.txt

Witam Znajoma złapała znanego ostatnio wirusa wyrzucającego komunikat o przyłapaniu przez policję na gorącym uczynku;) Przy starcie systemu pojawia się fullscreen z pseudo stroną policji i nic nie można zrobić. Na stronie wyświetla się w okienku wizja z kamerki internetowej...widać swoją twarz. Maszyna laptop służbowy z win 7 64bit Konto użytkownika bez praw administratora... nie ma możliwości dostępu do admina wysyłka do serwisu może się wiązać z utratą pracy przez tą osobę(podpisana odpowiednia umowa). Brak możliwości odinstalowywania i instalowania programów nawet w trybie awaryjnym. Wykonywane próby w takiej kolejności: - Próba uruchomienia skanera comodo CCE z usb z wiersza poleceń w trybie awaryjnym ...nie może się uruchomić... udało mi się uruchomić Autoruns.exe pokazujący jakie procesy uruchamiają się przy starcie i chyba daje możliwość wyłączenia wybranych ale nie wiem które w razie czego wyłączyć. - Szukanie w rejestrze wpisu WinLogon a w nim explorer.exe + coś dodatkowego po uruchomieniu trybu awaryjnego z linią poleceń nic nie znalazłem(jestem laikiem w sprawach rejestru) ... instrukcje znalazłem na stronie Faktu. - Skan z płyty butowalnej Kaspersky Rescue Disk 10 nic nie znalazł - Próba uruchomienia Combofix z usb - komunikat: brak praw administratora - Skanowanie AVG Rescue CD wykrył: wpisy cookie oraz LockScreen.A trojan, eebdeaccdfbeedc.exe Generic34.BOKQ niestety nie udało mi się zrobić logów coś chyba zchrzaniłem - nie wiem czy prawidłowo go usunąłem spróbuję jeszcze raz z tym skanem bo nie przyniosło to rezultatów. Jeśli macie jakieś instrukcje które mogą mi pomóc to będę wdzięczny... dziewczyna ma ostrego doła bo w poniedziałek ma być na jakimś zebraniu/szkoleniu z tym laptopem. Z góry dziękuję za pomoc i pozdrawiam dkdnt

W AdAware też można wyłączyć rezydenta ale faktycznie to grubas. ... Problem rozwiązany - temat można zamknąć dziękuję i pozdrawiam dkdnt

dziękuję za sprawdzenie zrobione właśnie znalazłem informacje w google na ten temat:) i zacząłem się zastanawiać czy przypadkiem nie jestem przewrażliwiony;) i na to wygląda, że chyba jestem;) ...deinstalacja wykonana bez problemowo:) faktycznie trzeba przyznać, że bardzo zabawne z ich strony z nazwą tego folderu i literówką Informacje comodo(mam od niedawna) o infekcji wziąłem bardzo poważnie do siebie i zdziwiłem się że AdAware nic nie wykrył a zawsze uważałem to narzędzie za skuteczne... stąd moja opinia...oczywiście błędna... na co dzień go tak nie dręczę AdAware doinstalowuję w awaryjnych sytuacjach w razie potrzeby(mam zbyt stary pc żeby nadwyrężać tray)...Comodo wersja CIS ok dzięki dzięki za linki Hehe:D to fakt ...trzymam tą zabytkową wersję bo dobrze współpracowała z tlenem(już nawet nie pamiętam co w gg się gryzło z tlenem;) )... a muszę mieć czasami dostęp do tego komunikatora...ale widzę, że znajdę coś alternatywnego w Twoim artykule:) ...rzeczywiście ciekawie wygląda ten WTW...chyba zagości w mojej blaszanej skrzynce:) Serdeczne dzięki za pomoc PS z innej beczki;) od dawna trafiam na Twoje artykuły w sieci i wiele się z nich nauczyłem...Wielki szacuneczek dla Ciebie za to co robisz... pozdrawiam dkdnt

XP(32)+SP3 zainstalowany na C: Większość pozostałych programów na G: Witam proszę o sprawdzenie loga po infekcjach wykrytych przez comodo dzisiaj, między innymi RootKit+BackDoor+kaylogger (2 dni temu zauważyłem problemy ze stabilnością połączenia internetowego... zrywane połączenia ftp i http zwiechy firefoxa, potem wszystko wróciło do normy myślałem że to coś z łączem) Poniżej podaję operacje i raporty w kolejności w jakiej je wykonywałem: Raport comodo o wykryciu zagrożeń i jego reakcja: comodo Raport comodo - zagrożenia których nie udało mu się usunąć ... comodo nie usunął dodatkowe skanowanie programem AdAware nic nie wykryło(starsze wersje chyba lepiej sobie radziły) Na dysku C: dodatkowo pojawił się kilka dni temu ukryty katalog VirtualRoot (testowałem wtedy różne sterowniki+programy do ati...). Katalog usunąłem ręcznie po restarcie utworzył się na nowo. Trojan nie uruchamia drugiego procesu explorera ...i nie udało mi się go usunąć wg instrukcji znalezionych na innym forum. Kaspersky TDSSKiler nic nie wykrył Gmer uruchomiany z losową nazwą pliku tylko partycja C: normalne uruchamianie XP > administrator > gmer = zwiecha awaryjne uruchamianie XP > administrator > gmer = zwiecha normalne uruchamianie XP > administrator > wiersz poleceń(cmd) > gmer -killall > gmer > raport gmer raport OTL: + OTL extras Catchme: nic nie wykrył z góry dziękuję za pomoc osobie która pomoże mi rozwiązać problem pozdrawiam dkdnt PS1 Próba pobrania aktualizacji do programu malwarebytes zakończona errorem Program_error_updating(2,0,Timeout) PS2 awaryjne uruchamianie XP > administrator > aktualizacja zakończona powodzeniem awaryjne uruchamianie XP > administrator > skan malwarebytes = 3 infekcje znalezione w kwarantannie comodo...usunąłem.

Zabieram się za sprzątanie OTL a przywracanie mam całkiem wyłączone to chyba niema sensu go włączać i wyłączac a tak w ogóle to Wielkie Dzięki za pomoc i wielki Szcun dla Ciebie i tego forum. jeszcze raz dzięki i pozdrawiam dkdnt

wyleczyłem kasperskim, system ładnie się zrestartował i włączyłem gmer'a tylko zaznaczyłem wszystkie opcje i bardzo długo to trwa. Teraz jest w połowie skanowania to pewnie potrwa to jeszcze z 2-3godziny :/.(teraz pisze z telefonu) A mam pytanie skoro miałem rootkita i kaylogera to znaczy ze dla bezpieczenstwa powinienem pozmieniac wszystkie ważne hasła do serwisów, banku i serwerów? czy nie ma potrzeby? I jak się przed takim zagrożeniem zabezpieczyć skoro antywirus tego nie wykrywa? Log Gmer: gmer.txt W trakcie tych wszystkich operacji usunęło mi toolbar alexy...uważasz że działa on szkodliwie na bezpieczeństwo? pozdrawiam dkdnt

Dzięki za odpowiedź log z Kaspersky TDSSKiller: TDSSKiller.2.4.12.0_05.01.2011_14.21.52_log.txt Po restarcie zwiesił się podczas startu, zrestartowałem na twardo i dostałem taki log: OTLscrypt01052011_144357.log.txt Dodam, że w tym okresie miałem 2 takie przypadki, że zatrzymywał się podczas startu xp, ale niewykluczone, że dzieje się tak, ponieważ ten komputer ma już kilka ładnych lat ok 6-8 OTL: OTL.Txt Extras.Txt GMER: gmer.txt

System XP/32 Witam wszystkich, jestem pierwszy raz na tym forum:) W sieci znalazłem informacje, że tutaj znajdę profesjonalną pomoc na temat wirusów i innych robali... Ok tydzień temu zapora zgłosiła mi kilka systematycznych ataków na mój komputer, z kilku adresów IP jednej podsieci. Zablokowałem ten zbiór adresów ip, próby ataków z tych adresów powtarzały się jeszcze przez jakieś 4 dni 2 dni temu zauważyłem że komputer zaczął strasznie się zamulać, przy włączonym samym firefoxie szalał proces explorer.exe nic w tym czasie nie pobierałem itp. Dodatkowo zaczęły pojawiac się reklamy "...celldorado..." podczas otwierania okien ff i opery. zeskanowałem wszystkie dyski+pamięć antywirusem: znalazł i usunął: odmiana wirusa Win32/TrojanDownloader.Agent.QBH koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] odmiana wirusa Win32/TrojanDownloader.Agent.QBH koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] odmiana wirusa Win32/TrojanClicker.Agent.NJP koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] odmiana wirusa Win32/TrojanClicker.Agent.NJP koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] keygen_v.32.108.9.p.exe - odmiana wirusa Win32/Olmarik.AJN koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] Keygen.exe - prawdopodobnie odmiana wirusa Win32/Agent.JBRABKL koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] Win32/Packed.Themida.D koń trojański - był częścią usuniętego obiektu prawdopodobnie odmiana wirusa Win32/Hacktool.VB.JLLZQIB koń trojański - był częścią usuniętego obiektu reklamy nadal się pojawiały Poprawiłem to jeszcze TFC.exe (na jakimś forum urzyto tego programu w celu usunięcia reklam celldorado) komputer przyspieszył do swojej standardowej prędkości ale raz podczas otwierania opery wyskoczyła mi ta reklama "cell..." puźniej już reklamy się nie pojawiały ale chciałbym się upewnić czy aby na pewno jest wszystko ok Logi z OTL: OTL.Txt Extras.Txt GMER: gmer.txt Ps. Co mogę jeszcze zrobić żeby, zabezpieczyć się przed tego typu zagrożeniami posiadam firewolla, codziennie aktualizuję bazy danych wirusów wszystko co pobiorę skanuje antywirem a mimo to złapałem jakieś świństwo Czy z wyżej podanych logów potraficie odczytać czy gdzieś mam jeszcze jakieś dziury itp? Z góry dziękuję za pomoc i pozdrawiam dkdnt