batumi Opublikowano 27 Grudnia 2014 Zgłoś Udostępnij Opublikowano 27 Grudnia 2014 Proszę o sprawdzenie poniższych logów - ostatnio o mały włos, a "zderzyłbym się" z wirusem policja, a teraz chciałbym się dowiedzieć, czy coś tam po sobie zostawił. Nie wiem, czy Gmer jest dobry, ale robiłem go dwa razy i dwa razy z tym samym wynikiem. PS. Wciąż używam przeglądarki Mozilla 17, bo nowsze wersje działają fatalnie na moim komputerze. FRST.txt Addition.txt Shortcut.txt Gmer.Txt OTL.Txt Extras.Txt Odnośnik do komentarza
batumi Opublikowano 4 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2015 Odświeżam temat, ponieważ widzę, że pojawiła się już na forum ekspertka o artystycznym nicku i żywię nadzieję, że zerknie na moje logi. Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 ostatnio o mały włos, a "zderzyłbym się" z wirusem policja W jaki sposób? PS. Wciąż używam przeglądarki Mozilla 17, bo nowsze wersje działają fatalnie na moim komputerze. Opisz na czym polega "fatalne działanie". Ogólnie na razie mogę tylko tyle stwierdzić, że Firefox jest tu dość przeładowany (dużo wtyczek i rozszerzeń zewnętrznych) oraz są jakieś problemy ze strukturą plików na dysku. Temat migruję do działu Windows. Nie ma tu żadnych oznak infekcji, rysują się inne zagadnienia. Do usunięcia tylko puste wpisy, odpadkowe katalogi po deinstalacjach i zbędne nieczynne polityki wprowadzone przez jakieś narzędzie "resetujące", ale to tylko kosmetyka. Widzę tu inne rodzaje poważniejszych nieinfekcyjnych problemów. Po pierwsze, wygląda na to, że jest tu defekt struktury plików (może być konsekwencją ogólnych problemów z dyskiem). Jest kilka śladów to punktujących, tzn. są tworzone replikacje katalogów kont (np. All Users, All Users.WINDOWS ...) i programów z suffiksami numerycznymi (np. potrójne wystąpienie Flashblock) oznaczające utratę dostępu do poprzednich wystąpień, a także te same katalogi są listowane w raporcie podwójnie co jest oznaką nieprawidłowości, np.: 2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR 2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR Po drugie, Dziennik zdarzeń sypie błędami modułów Foxit i filtra ffdshow, a także sugeruje niespójność Repozytorium WMI: Application errors: ================== Error: (12/24/2014 11:03:50 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd mpc-hc.exe, wersja 1.7.3.147, moduł powodujący błąd ffdshow.ax, wersja 1.3.4530.0, adres błędu 0x0021be27. Przetwarzanie zdarzenia określonego nośnika dla [mpc-hc.exe!ws!] Error: (12/23/2014 08:54:14 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd drwtsn32.exe, wersja 5.1.2600.0, moduł powodujący błąd dbghelp.dll, wersja 5.1.2600.5512, adres błędu 0x0001295d. Przetwarzanie zdarzenia określonego nośnika dla [drwtsn32.exe!ws!] Error: (12/23/2014 08:54:09 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł powodujący błąd foxitpdfinfo.dll, wersja 1.0.0.903, adres błędu 0x0002f7b8. Przetwarzanie zdarzenia określonego nośnika dla [explorer.exe!ws!] Error: (12/22/2014 07:52:08 PM) (Source: SecurityCenter) (EventID: 1802) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Wstępnie: 1. Wykonaj sprawdzanie dysku: Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta. 2. Następnie odinstaluj starą wersję Adobe Flash Player 11 ActiveX oraz programy tworzące błędy Foxit PDF Editor, K-Lite Codec Pack 10.4.0 Full. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: rundll32 wbemupgd, UpgradeRepository CMD: netsh firewall reset Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKU\S-1-5-18\Software\Classes /f Reg: reg delete HKU\S-1-5-19\Software\Classes /f Reg: reg delete HKU\S-1-5-20\Software\Classes /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt"/f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies /f HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\exefile: "%1" %* DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF Keyword.URL: hxxp://www.google.com.my/search?q= FF DefaultSearchEngine: Google Default FF SearchPlugin: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\searchplugins\google-default.xml FF Plugin: @IObit.com/np_Asc_Plugin -> C:\Program Files\IObit\Surfing Protection\BrowerProtect\np_Asc_plugin.dll No File S4 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X] R3 ALSysIO; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\ALSysIO.sys [X] S3 cpuz135; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys [X] S3 cpuz136; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] Task: C:\WINDOWS\Tasks\AVG_SYS_TASK.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\{3C5CBD7B-3D1D-411E-96C2-513FFCA84D2D} C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ALLPlayer C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG2014 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ClearCookiesEasy C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\F-Secure C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\HitmanPro C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\IObit C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\MFAData C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\PITy C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Simply Super Software C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\VSO C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Powertoys for Windows XP\Tweak UI.lnk C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG 0214c Campaign C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG2014 C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BinarySense C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BITS C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\ClearCookiesEasy C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\CrystalIdea Software C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGet C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGetBHO C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashgetSetup C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\HD Tune Pro C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\IObit C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\KRyLack Archive Password Recovery C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\OpenOffice.org C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Podatnik.info C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\SolidDocuments C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Thunderbird C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\TuneUp Software RemoveDirectory: C:\Documents and Settings\All Users RemoveDirectory: C:\Documents and Settings\All Users.WINDOWS1 RemoveDirectory: C:\Documents and Settings\berger RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Recent(2) RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(2) RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(3) RemoveDirectory: C:\Documents and Settings\Default User RemoveDirectory: C:\Documents and Settings\Default User.WINDOWS1 CMD: dir /a "C:\Documents and Settings" CMD: dir /a "C:\Documents and Settings\berger.XP-75CF98363E2C\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Start > Uruchom > eventvwr.msc i z prawokliku na sekcje Aplikacja + System wyczyść oba dzienniki. Zresetuj system. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Odnośnik do komentarza
batumi Opublikowano 6 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 1. Wirus: po prostu, przeglądając, wydawałoby się, zaufane witryny, nagle wyskoczyła ta idiotyczna strona "policja", którą natychmiast zamknąłem i uruchomiłem MBAM oraz Pandę. Nic nie wykryły. 2. "Fatalne działanie" nowszych wersji Mozilli polega na tym, że działają "ociężale", "z ociąganiem", sporo przy tym pożerając zasobów, a nieraz i powodując restarty systemowe. Pięć wtyczek Firefoxa, które są włączone, staram się aktualizować regularnie. 3. Zrobiłem wszystko po kolei - oto rezultaty: winlogon.txt Fixlog.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się