pjasio253 Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Witam Stan jak w tytule. Jakieś dwa tygodnie temu po ok.10 minutach pokazywały się w końcu ikony na pulpicie, teraz po 3 godzinach oczekiwania nie ma już nic. W trybie awaryjnym wszystko uruchamia się ok. Dr.Web CureIt! wykrył trochę śmieci, trojanów i je wyczyścił. W załączeniu OTL w formacie TXT. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Proszę wrócić do zasad działu i opisu tworzenia narzędzi. - Log z OTL niekompletny (brak Extras) - Obowiązkowe są także raporty z FRST i GMER. Nie podałeś też w czym (konkretne ścieżki dostępu) CureIt wykrył infekcje. . Odnośnik do komentarza
pjasio253 Opublikowano 29 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Przepraszam za falstart, to wyniknęło "z ferworu walki" z maszyną. Sytuacja zmieniła się dynamicznie - udało się przywrócić system do stanu, kiedy pulpit pojawia się po 10 minutach, czyli jest postęp Poniżej logi wygenerowane po uruchomieniu tych programów na systemie, który załadował kompletny, działający pulpit. Nie wiem dlaczego, ale OTL nie wygenerował mi pliku Extras, z resztą logów powinno byc ok. Odkryłem jedną, ciekawą rzecz. W oczekiwaniu na ukazanie się ikon na pulpicie, po kliknięciu ALT+CTRL+DEL, uruchomieniu Menadżera zadań i wyborze Uruchom zadanie klikam "Przeglądaj" i wtedy system jakby dostawał kopa i widzę jak pod spodem pojawiają się ikony na Pulpicie i ładują się aplikacje do Traya. Jaki z tego może płynąć wniosek? Log CureIt: ============================================================================= Dr.Web Scanner SE for Windows v8.2.0.07100 (c) Doctor Web, Ltd., 1992-2013 Scan session started 2013/08/29 07:49:04 Module location : c:\documents and settings\ddd\ustawienia lokalne\temp\8FC69520-E483384C-B7B2C1D4-9C191998\ ============================================================================= C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.2_Downloader.exe:Zone.Identifier - Ok C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\Audacity(11826).exe - is adware program Adware.InstallCore.122 C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\Audacity(11826).exe - infected C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.3.exe:Zone.Identifier - Ok C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.2_Downloader.exe - is adware program Adware.InstallCore.122 C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.2_Downloader.exe - infected C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup(1).exe - is adware program Adware.InstallCore.99 C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup(1).exe - is adware program Adware.InstallCore.85 C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup(1).exe - infected C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup.exe - is adware program Adware.InstallCore.56 C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\afA0mQGr.exe.part - is adware program Adware.InstallCore.122 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\afA0mQGr.exe.part - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_audacity-win-2.0.2_Downloader.exe - is adware program Adware.InstallCore.122 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_audacity-win-2.0.2_Downloader.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_DownloadManagerSetup.exe - is adware program Adware.InstallCore.56 >>>>C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ggdrive-overlay.exe\聜ggdrive-overlay-admin.exe is NSIS container C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_DownloadManagerSetup.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\navtra.exe - infected with Trojan.Siggen4.41367 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\navtra.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\nowegg.upgr.exe\聜iplapreinstaller.exe - infected with Trojan.Inject.62001 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\nowegg.upgr.exe\聜iplapreinstaller.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\430EE90F-BAB0-7891-AE74-AC92403A5A7F\Latest\MyBabylonTB.exe\BabylonToolbar4ie.exe\BabylonToolbarEng.dll - infected with Trojan.BhoSiggen.6713 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\430EE90F-BAB0-7891-AE74-AC92403A5A7F\Latest\MyBabylonTB.exe - infected container C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\WINDOWS\wh.exe - infected with Trojan.Siggen5.3344 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\WINDOWS\wh.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is1890775716\uninstaller.exe - is adware program Adware.InstallCore.90 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is1890775716\uninstaller.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is357113909\GiantSavings_PL.exe - is adware program Adware.GamePlayLabs.31 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is357113909\GiantSavings_PL.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\Setup-D502DD2B71B5.exe - is adware program Adware.Plugin.11 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\Setup-D502DD2B71B5.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\cor_ar_201374152420_qvo6.exe - infected with Trojan.Click2.58759 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\cor_ar_201374152420_qvo6.exe - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19193156\locale\EN.locale - is adware program Adware.InstallCore.93 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19193156\locale\EN.locale - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19339765\locale\EN.locale - is adware program Adware.InstallCore.93 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19339765\locale\EN.locale - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish36234578\locale\EN.locale - is adware program Adware.InstallCore.93 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish36234578\locale\EN.locale - infected C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish3629187\locale\EN.locale - is adware program Adware.InstallCore.93 C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish3629187\locale\EN.locale - infected ----------------------------------------------------------------------------- Start curing ----------------------------------------------------------------------------- C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\Audacity(11826).exe - quarantined C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.2_Downloader.exe - quarantined C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup(1).exe - quarantined C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup.exe - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\afA0mQGr.exe.part - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_audacity-win-2.0.2_Downloader.exe - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_DownloadManagerSetup.exe - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\navtra.exe - deleted C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\nowegg.upgr.exe - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\430EE90F-BAB0-7891-AE74-AC92403A5A7F\Latest\MyBabylonTB.exe - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\WINDOWS\wh.exe - incurable, quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is1890775716\uninstaller.exe - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is357113909\GiantSavings_PL.exe - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\Setup-D502DD2B71B5.exe - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\cor_ar_201374152420_qvo6.exe - deleted C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19193156\locale\EN.locale - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19339765\locale\EN.locale - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish36234578\locale\EN.locale - quarantined C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish3629187\locale\EN.locale - quarantined Total 3671150574 bytes in 10950 files scanned (31262 objects) Total 10911 files (31217 objects) are clean Total 19 files (20 objects) are infected Total 19 files (20 objects) are neutralized Total 23 files are raised error condition Scan time is 00:19:30.547 Addition.txt FRST.txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Temat przenoszę do działu Windows. To nie jest sprawa infekcji, a wykrycia Dr. Web nie mają znaczenia (w katalogu Pobieranie po prostu instalatory adware, w tym "Asystent pobierania" dobrychprogramów, oraz wyniki z Temp z prób instalacji tych adware). Log z CureIt podałeś za duży, ze wszystkim jak leci, wycięłam z niego tylko fragmenty z detekcją. Komentarze do raportów: 1. Mała kosmetyka w spoilerze. 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k [x] HKCU\...\Run: [ALLUpdate] - "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" [x] HKCU\...\Run: [C:\DOCUME~1\ddd\USTAWI~1\Temp\Katalog tymczasowy 1 dla NetMeter.113_[www.programosy.pl].zip\NetMeter.exe] - C:\DOCUME~1\ddd\USTAWI~1\Temp\Katalog tymczasowy 1 dla NetMeter.113_[www.programosy.pl].zip\NetMeter.exe [917504 2007-09-08] () SearchScopes: HKCU - Backup.Old.DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd S2 WsysSvc; C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe [x] S4 sptd; System32\Drivers\sptd.sys [x] C:\WINDOWS\explorer.ex_ C:\WINDOWS\471D8B37C5B344579FA1B3C693334F4F.TMP C:\Documents and Settings\ddd\Dane aplikacji\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Program Files\Enigma Software Group Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom TFC - Temp Cleaner. 2. Po kosmetyce i rozwiązaniu problemu podstawowego obowiązkowa pełna aktualizacja Windows (KLIK), bo stan zabezpieczeń tragiczny: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polish Internet Explorer Version 6 Jakieś dwa tygodnie temu po ok.10 minutach pokazywały się w końcu ikony na pulpicie, teraz po 3 godzinach oczekiwania nie ma już nic. W trybie awaryjnym wszystko uruchamia się ok. (...) W oczekiwaniu na ukazanie się ikon na pulpicie, po kliknięciu ALT+CTRL+DEL, uruchomieniu Menadżera zadań i wyborze Uruchom zadanie klikam "Przeglądaj" i wtedy system jakby dostawał kopa i widzę jak pod spodem pojawiają się ikony na Pulpicie i ładują się aplikacje do Traya. Jaki z tego może płynąć wniosek? Pierwszy podejrzany to COMODO Internet Security. Przykład tematu z podobnymi efektami: KLIK. Nie wiem dlaczego, ale OTL nie wygenerował mi pliku Extras, z resztą logów powinno byc ok. Wróć do konfiguracji OTL, jest tam opisane w różowym bloku dlaczego tak jest. Log nie jest mi już potrzebny. . Odnośnik do komentarza
pjasio253 Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Istotą całego problemu okazał się Comodo. Bardzo dziękuję picasso za cenne wskazówki i pomoc, duży szacunek dla Ciebie. Teamt do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się