seblol

Co do usługi FLEXnet, to już udało mi się do tego dojść, ale i tak dziękuję. Deinstalacje wykonane pomyślnie, logi w załączeniu. Addition.txt FRST.txt Shortcut.txt

Zdeinstalowane pomyślnie: Adobe Flash Player 11 ActiveX, Akamai NetSession Interface, Google Talk Plugin (już nie działa), HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 51. Autodesk 360 Nie zdeinstalowane: Adobe AIR - instalator nie ładuję się pomimo procesu ADOBEA~1.EXE AVG Web TuneUp - proces Uninstal.exe zamyka się samoczynni po kilku sekundach Spróbuję odinstalować je jakimś programem typu Revo. Foldery otwierają się już normalnie. Pojawił się teraz problem z menedżerem licencj AutoCAD, ale sądzę, że ponowna instalacja rozwiąże problem. Załączam fixlog.txt Fixlog.txt

Witam, przedwczoraj wieczorem antywirus AVG zgłosił detekcję pliku o nazwie chgjaost.exe Oczywiście potwierdziłem usunięcie, następnie zrestartowałem komputer. Przy wyłączaniu zauważyłem, że jest masa otwartych okienek. Po restarcie komputer się muli oraz pojawiły się dodatkowe symptomy: po kliknięciu "Mój komputer" trzeba czekać ok 10 s zanim załadują się dostępne dyski, również pozostałe foldery ładują się długo. wyskakuje komunikat o treści "Windows - Zły obraz, Exception Processing Message 0xc000007b Parameters 0x74925900 0x74925900 0x74925900 0x74925900" przy otwieraniu folderów wykorzystanie procesora przez explorer.exe rośnie do 50-60 % wśród procesów zauważyłem że pojawiło się dodatkowo: cmd.exe (potrafi wykorzystywać do 30 %) - brak otwartego okna konsoli conhost.exe (kilka procesów) notepad.exe - explorer.exe (drugi proces) msiexec.exe (kilka procesów) - dziwne, co się niby instaluje? Po zamknięciu obydwu procesów explorer.exe, znikają wszystkie a zużycie procesora spada, stąd nasunął mi się wniosek, że infekcja jakośc związała się z procesem explorer.exe - o ile faktyczne coś tam siedzi. Ale z tego co wiem, to nie powinny działać w tle takie procesy jak cmd.exe czy notepad.exe. Komputer po zdarzeniu czyściłem programami: AdwCleaner, CCleaner Wykonałem również skan Malwarebytes Anti-Malware, podczas skanu wykryto i przeniesiono do kwarantanny: PUP.Optional.OpenCandy C:\Users\Ogólne\AppData\Roaming\PowerISO\Upgrade\PowerISO5.exe PUP.Optional.ProductKeyFinder C:\usb_multiboot_10.zip Ransom.TeslaCrypt C:\Users\Adminhaha\AppData\Local\Temp\{FE947755-BEA4-4317-B844-F6B44F3CCF49}\TMP9D3A.tmp PUP.Optional.InstallCore C:\Users\User\Appdata\Local\Temp\ICReinstall_XN Resource Editor 3.exe PUP.Optional.MyStartTB.ShrtCln C:\Users\User\Downloads\acehtmlfreeware.exe FraudTool.YAC C:\Users\User\Downloads\yet_another_cleaner_epo.exe Załączam raporty, GMER nie dokończył skanowania, ponieważ w nocy odcięli prąd a laptop nie trzyma na baterii. Mam nadzieję, że wystarczy to co jest, ale tak czy inaczej wykonam jeszcze kompletny skan GMEREM, który potem załączę. Proszę o pomoc i pozdrawiam Addition.txt FRST.txt Shortcut.txt GMER.txt

Wielkie Dzięki za pomoc Postaram się pozostać "czysty" bez zbędnej paranoi

Działają , posprzątane, ale mbam trochę jeszcze wykrył proszę: Malwarebytes Anti-Malware (Okres testowy) 1.60.1.1000 www.malwarebytes.org Wersja bazy: v2012.03.29.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Administrator :: LAMACOMP [administrator] Ochrona: Włączona 2012-03-29 18:03:52 mbam-log-2012-03-29 (18-03-52).txt Typ skanowania: Pełne skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 237942 Upłynęło: 1 godzin(y), 44 minut(y), 7 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 10 C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall\Microsoft Office Professional Edition 2003\1000000600002i\svchost.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall\Microsoft Office Professional Edition 2003\1000000b00002i\verclsid.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall\Microsoft Office Professional Edition 2003\30000000bad00002i\WINWORD.EXE (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall\Microsoft Office Professional Edition 2003\30000000e300002i\DW20.EXE (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall\MOEPP2007\1000000b00002i\verclsid.exe (Trojan.IRCBot) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall\MOEPP2007\300000008c00002i\offlb.exe (Trojan.IRCBot) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall\MOEPP2007\30000000cf00002i\MSTORDB.EXE (Trojan.IRCBot) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall\MOEPP2007\4000009c00002i\IEXPLORE.EXE (Trojan.IRCBot) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall\MOEW2007\1000000b00002i\verclsid.exe (Trojan.IRCBot) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\System Volume Information\_restore{F4201E98-731E-417B-9FC2-7368A5F4F885}\RP1\A0000003.EXE (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. (zakończone) /Edit wkleiłem nie ten log już poprawione

Dołączam log po wykonaniu skryptu. http://wklej.org/id/719880/ Oraz log OTL z zaznaczoną opcją Brak dla dodatkowego skanu rejestru. Bez Extras.txt miało być? OTL.Txt

W chwili infekcji byl zainstalowany tylko MSE, po infekcji juz nie dzialal i w tym momencie pewnie na kompie jest straszny syf . A poniewaz wirus ten integruje się z menedzerem zadań, blokuje edytor rejestru i robi inne fajne rzeczy usuwałem go recznie w trybie awaryjnym mniej więcej wg wskazowek ze strony pcrisk.com, oprócz tych linijek: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegedit" = 0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools" = 0 których nie znalazlem, potem usunałem pliki z %appdata% itd. przeskanowałem kasperskim virus removal tool który coś jeszcze znalazl i usunął. I teraz problem w tym że nie działa ani regedit ani menedzer zadań. Chciabym sie dowiedzieć czy bede musiał używać konsoli odzyskiwania systemu czy moze cos zostalo w rejestrze. PS. A jak jest jakis inny bałagan to prosze informowac co Wam w oko wpadło Skan GMER,em wgl sie nie udał w normalnym trybie wyskakuje blad "nie wysylaj" ;w awaryjnym bluescreen Został tylko częsciowy skan , zdazylem skopiowac zanim wyskoczyl blad. Może sie przyda... GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-03-28 21:57:20 Windows 5.1.2600 Dodatek Service Pack 3 Running: exe82ue1.exe; Driver: C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pxdyapoc.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwAssignProcessToJobObject [0xA5FF54B0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwCreateThread [0xA5FF57F0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDebugActiveProcess [0xA5FF5AB0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDuplicateObject [0xA5FF55D0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwLoadDriver [0xA5FF58B0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwOpenProcess [0xA5FF5350] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwOpenThread [0xA5FF5410] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwProtectVirtualMemory [0xA5FF5570] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwQueueApcThread [0xA5FF5630] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetContextThread [0xA5FF5530] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetInformationThread [0xA5FF54F0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetSecurityObject [0xA5FF5670] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetSystemInformation [0xA5FF5870] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendProcess [0xA5FF53B0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendThread [0xA5FF5430] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSystemDebugControl [0xA5FF5830] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateProcess [0xA5FF5370] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateThread [0xA5FF5470] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwWriteVirtualMemory [0xA5FF55F0] ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2FD8 80504874 12 Bytes [b0, 53, FF, A5, 30, 54, FF, ...] {MOV AL, 0x53; JMP [EBP-0x5a00abd0]; XOR [EAX-0x1], BL; MOVSD } .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB9135000, 0x189F82, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\Mozilla Firefox\firefox.exe[1228] ntdll.dll!LdrLoadDll 7C91632D 5 Bytes JMP 01269720 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[1228] kernel32.dll!VirtualAlloc 7C809AF1 5 Bytes JMP 0149E21B C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[1228] kernel32.dll!MapViewOfFile 7C80B9A5 5 Bytes JMP 0149E1F4 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[1228] GDI32.dll!CreateDIBSection 77F19E19 5 Bytes JMP 0149E17E C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[2212] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [b9DE8500] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [b9DE88C0] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [b9DE8890] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [b9DE8636] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [b9DE8636] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [b9DE88C0] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [b9DE8500] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [b9DE8890] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [b9DE8890] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [b9DE8636] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [b9DE88C0] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [b9DE8500] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [b9DE8636] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [b9DE8890] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [b9DE8500] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [b9DE88C0] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [b9DE8500] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [b9DE88C0] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [b9DE8636] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [b9DE8890] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [b9DE8636] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [b9DE88C0] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [b9DE8500] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [b9DE8636] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [b9DE8890] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [b9DE8500] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [b9DE88C0] xpacket.sys (Filseclab Personal Firewall Kernel Module/Filseclab Corporation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET) OTL.Txt Extras.Txt RootRepeal report 03-29-12 (00-22-28).txt