grant322 Opublikowano 9 Lipca 2015 Zgłoś Udostępnij Opublikowano 9 Lipca 2015 Witam bardzo serdecznie Zaczęło się od głośnej pracy wiatraczka, przegrzewania się laptopa i wyłączania bez ostrzeżenia. Randomowe błędy "Aby pomóc w ochronie komputera, system windows zamknął ten program. Nazwa: Explorator Windows" Ponieważ w menadżerze zadań żaden z procesów nie pożerał znaczących zasobów wykluczyłem wirusa/malware. Jedyne co mnie niepokoiło to nadmierna ilość procesów: 4 x cmd.exe 4 x msiexec.exe 4 x notepad.exe (mimo, iż nie miałem otwartego żadnego notatnika) Po zabiuciu procesu oczywiście zaraz pojawiał się ponownie. Przy zamykaniu komputera wyskakiwał błąd któregoś z wyżej wymienionych procesów. Znalazłem "rozwiązanie" na forum elektroda gdzie użytkownik miał podobny problem rozwiżanie to komenda sfc /scannow To nie pomogło. Użyłem Spy-Bot search & destroy coś znalazł ale nic to nie pomogło. Następnie użyłem narzędzia microsoftu msert.exe (Microsoft Support Emergency Response Tool) Znalazł 4 zarażone pliki z czego usunął 3. Ale problem nie ustąpił. Skanowanie NOD32 znalazło "Operating memory » explorer.exe(208) - a variant of Win32/TrojanDownloader.Spyrov.A trojan - cleaned by deleting [1]", niby go usunęło ale za każdym kolejnym skanowaniem go znajduje. Następnie użyłem ComboFix.exe, nie odinstalowałem jeszcze wtedy Alcohol 120% (wiem zostane za to potępiony, ale dopiero później trafiłem na wasze fachowe forum, przebijając się przez gąszcz nieprzydatnych porad) Po użyciu combofix zniknęły wymienione wyżej procesy z menadżera zadań jednak dalej nod32 znajduje trojana spyrov.a. Czuję że dalej komputer nie jest do końca czysty, proszę o wyrozumiałość i pomoc. Pozdrawiam ComboFix.txt GMER.txt Addition_08-07-2015_17-37-00.txt FRST_08-07-2015_17-37-00.txt Odnośnik do komentarza
jessica Opublikowano 9 Lipca 2015 Zgłoś Udostępnij Opublikowano 9 Lipca 2015 nod32 znajduje trojana spyrov.a. Gdzie (ścieżka, nazwa pliku)? Kosmetyka: Otwórz Notatnik i wklej w nim: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTIONHKU\S-1-5-21-1614895754-1606980848-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION C:\WINDOWS\Minidump\Mini*.dmp C:\Documents and Settings\ami\Dane aplikacji\603CB485 C:\Documents and Settings\All Users\Dane aplikacji\{895B5EDC-F84C-4A82-9575-9E50396F6B01} CustomCLSID: HKU\S-1-5-21-1614895754-1606980848-839522115-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1614895754-1606980848-839522115-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1614895754-1606980848-839522115-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix. Powstanie plik fixlog.txt. Daj ten log. jessi Odnośnik do komentarza
grant322 Opublikowano 9 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2015 Dziękuję za błyskawiczną reakcję. W załączniku fixlog.txt Pozdrawiam Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 9 Lipca 2015 Zgłoś Udostępnij Opublikowano 9 Lipca 2015 nie odpowiedziałeś na pytanie - gdzie NOD to wykrywa? jessi Odnośnik do komentarza
grant322 Opublikowano 9 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2015 Nie pokazuje mi ścieżki do pliku jedynie że jest w pamięci operacyjnej. Operating memory » explorer.exe(380) - a variant of Win32/TrojanDownloader.Spyrov.A trojan - cleaned by deleting [1] Znalazłem opis tego virusa może to coś pomoże. http://www.virusradar.com/en/Win32_TrojanDownloader.Spyrov.A/description nod32.txt Odnośnik do komentarza
jessica Opublikowano 9 Lipca 2015 Zgłoś Udostępnij Opublikowano 9 Lipca 2015 Znałam ten opis "Spyrov.a", ale w Twoich logach nie było oznak tej infekcji. jessi Odnośnik do komentarza
grant322 Opublikowano 9 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2015 Znalazłem jeden z kluczy w moim rejestrze z opisu wirusa i usunąłem go: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Windows" = "%systemroot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,16837860,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServ Jeszcze jakieś propozycje? Edit Poddałem się po tygodniu walki i robię formata:) Dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się