bimbin Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Po formacie awast znalazl wirusy, screen: Jako załączniki logi z ComboFixa i OTL'a. Zaznaczam iż po użyciu ComboFixa jeden błąd zniknął, podczas skanowania gmer'em wypadł bluescreen i reset kompa. Bardzo proszę o pomoc, i z góry dziękuje x) OTL.Txt Extras.Txt log combofix.txt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Zaznaczam iż po użyciu ComboFixa jeden błąd zniknął Na przyszłość na temat używania ComboFix: KLIK. On i tak nie usuwał nic z obszaru infekcyjnego. I jaki "błąd" masz na myśli? Po formacie awast znalazl wirusy Avast widzi zagrożenia w katalogach System Volume Information, czyli Przywracania systemu. Trudno powiedzieć czy wyniki są prawdziwym zagrożeniem, bo to tylko kopie zrobione przez Przywracanie systemu z innego pliku w Windows, mają zmienione nazwy na ciągi alfanumeryczne. Te katalogi czyści się w następujący sposób: KLIK. Proces deinstalacji ComboFix również je wypróżnia. Ale te procedury jeszcze nie teraz. Oceniając wszystkie logi: podczas gdy OTL nic nie widzi w starcie, ComboFix pokazuje w starcie maskowany wpis i moduł Catchme określa ten proces jako ukryty: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Windows Media Networking"="c:\windows\system32\wmpnt86.exe" [2012-02-23 187392] catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2012-08-29 00:05Windows 5.1.2600 Dodatek Service Pack 3 NTFS.skanowanie ukrytych procesów ... .c:\windows\system32\wmpnt86.exe [944] 0x88DC7DA0 Wstępnie: 1. Otwórz Notatnik i wklej w nim: Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Media Networking"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\wmpnt86.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\wmpnt86.exe"=- File:: c:\windows\system32\wmpnt86.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 2. Przedstaw wynikowy log z ComboFix. Zrób nowy log OTL z opcji Skanuj. Nie został podany log z GMER: podczas skanowania gmer'em wypadł bluescreen i reset kompa Spróbuj wykonać skan w następujących warunkach: po wyłączeniu Avast lub w Trybie awaryjnym Windows. . Odnośnik do komentarza
bimbin Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Zamieszczam załączniki zgodnie z instrukcją A błąd który usunął ComboFix był właśnie z plikiem "c:\windows\system32\wmpnt86.exe" OTL.Txt log.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Nie wydaje się, by ComboFix "usuwał błąd", może procedura zabijania procesów uśpiła tymczasowo objawy. Twierdzę tak, gdyż: definitywnie wpis w starcie był, log pokazywał działający ukryty proces, żadnych oznak usunięcia tego przez ComboFix. Niemniej teraz mi się coś nie zgadza, bo właśnie tu przeprowadzony proces usuwania skryptem nie wykazuje, by plik wmpnt86.exe został wykryty jako istniejący na dysku. Na wszelki wypadek zrób jeszcze skan w poszukiwaniu tego pliku. Uruchom SystemLook i w oknie wklej: :filefind wmpnt86.exe Klik w Look i przedstaw wyniki. Krótki log = wklej wprost do posta. . Odnośnik do komentarza
bimbin Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Wieczorem napisze co uzyskałem z powodu wyjścia na mecz Odnośnik do komentarza
bimbin Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 SystemLook 30.07.11 by jpshortstuff Log created at 23:24 on 29/08/2012 by Administrator Administrator - Elevation successful ========== filefind ========== Searching for "wmpnt86.exe" No files found. -= EOF =- a więc czysto, pytanie brzmi co dalej Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 (edytowane) 1. Odinstaluj w prawidłowy sposób ComboFix. Start > Uruchom > wklej komendę: "C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe" /uninstall Gdy komenda ukończy, kosmetycznie użyj Sprzątanie w OTL. Również przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 2. Na wszelki wypadek zrób pełne skanowanie posiadanym Avastem i potwierdź co widzi aktualnie. . Edytowane 29 Września 2012 przez picasso 29.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi