picasso Opublikowano 9 Lutego 2011 Zgłoś Udostępnij Opublikowano 9 Lutego 2011 1. W takim razie zostawiam temat na statusie oczekiwania. Poobserwuj czy system się dziwnie zachowuje, pojawią się ponownie znikąd pop-upy i inne dewiacje. Jeśli nie, temat zamknę. Jeśli tak, zadam kolejne kroki diagnostyczne. 2. Czas na aktualizacje oprogramowania: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.1 MUI"Gadu-Gadu 10" = Gadu-Gadu 10 - Odinstaluj starsze wersje zastępując najnowszymi. Szczegóły aktualizacyjne: INSTRUKCJE. - Sugeruję także pozbycie się zasobożernego reklamodawczego potwora GG10 na rzecz programu lekkiego, pozbawionego reklam, a obsługującego sieć Gadu w pożądanym stopniu. Do wglądu temat Darmowe komunikatory. Propozycje z mojej strony: WTW lub Miranda. . Odnośnik do komentarza
kacper7 Opublikowano 9 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2011 (edytowane) Dobrze picasso.Zastosuję się do zaleceń aktualizacji oprogramowania. Dziękuję za dotychczasową pomoc i cierpliwość dla człowieka nie znającego się na komputerach. Jest ona dla mnie nieoceniona. Pozdrawiam. ~~~~~~~posty połączone~~~~~~~~ No niestety dalej pojawia się ten komunikat: Komunikat zabezpieczeń systemu Windows: Tych plików nie można otworzyć. Ustawienia zabezpieczeń internetowych uniemożliwiły otwarcie jednego lub więcej plików.W momencie instalacji Adobe Reader X. Edytowane 9 Lutego 2011 przez picasso Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2011 Zgłoś Udostępnij Opublikowano 9 Lutego 2011 Jeszcze raz wejdź do konfiguracji stref Internet Explorer: Narzędzia > Opcje internetowe > Zabezpieczenia > Strefa Internet > Poziom niestandardowy > Uruchamianie aplikacji i niebezpiecznych plików ma być ustawione na "Monituj "(zalecane)" a nie "Wyłącz". Jeśli to już jest tak ustawione, podam jak sprawdzić to samo ale dla niewidocznej w tym dialogu strefy "Mój komputer". Odnośnik do komentarza
kacper7 Opublikowano 9 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2011 Tak jest ustawione. Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2011 Zgłoś Udostępnij Opublikowano 10 Lutego 2011 1. Pobierz jeszcze raz OTL z linków podanych na forum (po akcji Sprzątanie zniknął z Twojego systemu). 2. Uruchom OTL i wszystkie opcje ustaw na Brak oraz Żadne, zaś w polu Własne opcje skanowania / skrypt wklej ten tekst: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 Klik w Skanuj (a nie Wykonaj skrypt!) i przedstaw tu wyniki skanowania. Odnośnik do komentarza
kacper7 Opublikowano 10 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2011 Prosze:) OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2011 Zgłoś Udostępnij Opublikowano 10 Lutego 2011 "Niedobre" wieści. Tu jest wszystko zgodne z moimi ustawieniami. Sprawdźmy polisy systemowe. Ustaw OTL jak to mówiłam powyżej, ale tym razem wklej do skanowania te miejsca: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 Odnośnik do komentarza
kacper7 Opublikowano 10 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2011 Niedobre powiadasz... A i przy próbie odinstalowania ad munchera również pojawia się ten sam komunikat nie pozwalając na jego odinstalowanie.Reklamy, których wyskakiwanie na stronach ad muncher powinien blokować dalej wyskakują pomimo ponownego wyłączenia i włączenia go. Próbowałem go odinstalować i zainstalować ponownie ale jak napisałem wcześniej te działanie zostało zablokowane. Podaje te objawy bo może w czymś pomogą. Proszę. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Wyniki z OTL są puste. W takim układzie proszę o kompletny rejestr do wglądu, ja to znajdę (lub i nie) szybciej własnymi rękami niż zadając flagmentaryczne skany. Wyprodukuj kopię rejestru za pomocą narzędzia ERUNT (jako miejsce docelowe kopii wskaż np. folder na Pulpicie). Następnie z kompletu plików, które wygeneruje narzędzie, wybierz pliki SOFTWARE + NTUSER.DAT, oba zapakuj do ZIP, umieść paczkę na hostingu typu SpeedyShare i podeślij tu link. Odnośnik do komentarza
kacper7 Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 http://www.speedyshare.com/files/26809143/software.zipx Oto link. Zawarte są w nim dwie rzeczy o które prosiłaś tj. SOFTWARE + NTUSER.DAT . Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 W gałęzi HKEY_CURRENT_USER jest dodana dodatkowa "strefa zabezpieczeń" przez infekcję (owe "L" omawiane tu: KLIK). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\] Kliknij w Wykonaj skrypt. 2. Sprawdź czy nadal zgłasza się błąd. . Odnośnik do komentarza
kacper7 Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Picasso...nie wiem jak mam to napisać ale...10 min temu znowu wyskoczyły mi dwie reklamy w IE... Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Powyższy fiks nie adresował tego. Miał za zadanie zlikwidować komunikat związany ze strefami zabepieczeń. Pytam: czy po powyższej operacji nadal masz ten komunikat np. podczas instalacji Adobe Reader X? Reklamy Internet Explorer = ale jakie reklamy? Adresy i treść reklam proszę, dokładnie przepisz, jak o to już prosiłam. Odnośnik do komentarza
kacper7 Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Tak, jak instalowałem Adobe pojawił się ten komunikat, ale Adobe zainstalował się. Antywirus wykrył też trojana: TrojanDownloader:Win32/Renos.LX Co do reklam zapomniałem spisać.Następnym razem spiszę na pewno. Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 1. Proszę o odczyt z MBRCheck. 2. Wykonaj skan za pomocą narzędzi Malwarebytes' Anti-Malware + Dr. Web CureIt i przedstaw raporty. Antywirus wykrył też trojana: TrojanDownloader:Win32/Renos.LX Ale w czym - w jakim miejscu, podaj konkretny plik / ścieżkę. . Odnośnik do komentarza
kacper7 Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 http://www.speedyshare.com/files/26812067/Trojan.jpg DR.WEB nie mogę pobrać.Próbuje dalej. mbam-log-2011-02-11 (20-07-20).txt MBRCheck_02.11.11_19.59.02.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Trojany wykryte przez MBAM i Microsoft Security Essentials to dokładnie ten sam rodzaj, który był uprzednio widziany w Kaspersky Removal Tool i jest to też komplet do tej podrobionej "strefy zabezpieczeń". Wszystko usuń za pomocą MBAM. DR.WEB nie mogę pobrać.Próbuje dalej. Co to oznacza i spod jakiej przeglądarki próbujesz pobierać? Odnośnik do komentarza
kacper7 Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 ok usunę. a co do DR.WEB to nie chce się pobrać plik cały czas wczytuje i nic nie postępuje. przeglądarka Firefox. Nie ma szans nie pobiorę. Próbowałem kilka razy. A jak pobrałem z innej strony to sciągnęło ale nie chciało uruchomić podawało błąd launch.exe nie jest prawidłową aplikacją win 32 Po kolejnym skanie mbam jakby więcej tych trojanów się zrobiło Log w załączniku. mbam-log-2011-02-11 (21-21-53).txt Odnośnik do komentarza
picasso Opublikowano 12 Lutego 2011 Zgłoś Udostępnij Opublikowano 12 Lutego 2011 Komentując wybiórczo wyniki: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. Co dopiero to usuwałam, ale oczywiste, że to wróciło, bo są trojany które przywracają tę modyfikację. W skanie wszystko jest oznaczone jako "No action taken" = usuń. ok usunę. a co do DR.WEB to nie chce się pobrać plik cały czas wczytuje i nic nie postępuje. przeglądarka Firefox. Nie ma szans nie pobiorę. Próbowałem kilka razy. A jak pobrałem z innej strony to sciągnęło ale nie chciało uruchomić podawało błąd launch.exe nie jest prawidłową aplikacją win 32 Przehostowałam skaner na inny adres: KLIK. . Odnośnik do komentarza
kacper7 Opublikowano 12 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2011 (edytowane) Przesyłam ponownie wyniki z narzędzi, z których prosiłaś. I mam takie pytanie(tak jak mówiłem jestem laikiem); czyli w moim systemie siedzi coś głęboko i ściąga te trojany omijając antywirusa i nie pozwalając mu ich wykryć? I tylko możliwe jest to przy użyciu specjalnych narzędzi? I czy istnieje jakiś lepszy sposób na ochronę? A może jest tak, że te trojany są przenoszone z przenośnego dysku(skanuje go co jakiś czas i anty wirus nic nie wykrywa)? co do skanowania systemu dr. web: szybki skan nic nie wykrył.Jednak włączyłem pełny i zaczęły pojawiać się kwiatki. http://www.speedyshare.com/files/26841926/skan Oto co wykrył DR.WEB. mbam-log-2011-02-12 (16-30-05).txt Edytowane 14 Lutego 2011 przez picasso MBRCheck po raz drugi zbędny, usuwam. //picasso Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2011 Zgłoś Udostępnij Opublikowano 14 Lutego 2011 MBRCheck był niepotrzebny po raz drugi. MBAM = widzę, że wszystko usunąłeś. Dr. Web = nie wiem co to za format pliku wstawiłeś i nie mogę go otworzyć (TXT lub CSV to nie jest). co do skanowania systemu dr. web: szybki skan nic nie wykrył.Jednak włączyłem pełny i zaczęły pojawiać się kwiatki. Jeśli wykrył OTL i inne narzędzia specjalnego użytku jako "trojany", to te wyniki są do ominięcia. Jak mówię, skanu Dr. Web nie mogę otworzyć do wglądu. I mam takie pytanie(tak jak mówiłem jestem laikiem); czyli w moim systemie siedzi coś głęboko i ściąga te trojany omijając antywirusa i nie pozwalając mu ich wykryć? I tylko możliwe jest to przy użyciu specjalnych narzędzi? Nie mam podstaw na to twierdzenie. To co widać dotychczas w temacie wskazuje, że chodzi cały czas o jedną i tę samą infekcję, która była czyszczona "po kawałku". A może jest tak, że te trojany są przenoszone z przenośnego dysku(skanuje go co jakiś czas i anty wirus nic nie wykrywa) Infekcja tu widziana wchodzi raczej ze strony www, po kliknięciu w jakiś niedobry link (fałszywy skaner lub podrobione wtyczki video, np. coś w typ typie: KLIK). . Odnośnik do komentarza
kacper7 Opublikowano 14 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2011 Przesyłam jeszcze raz raport z DR.WEB. Udało mi się go znaleźć. http://www.speedyshare.com/files/26870005/CureIt.log Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2011 Zgłoś Udostępnij Opublikowano 15 Lutego 2011 No cóż ... Dałeś niepotrzebnie cały (przemocarny) log, mnie interesują tylko i wyłącznie wyniki zainfekowane, a tych jest tylko 7 i to spokojnie można było wkleić bezpośrednio do posta.... C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe spakowany przez XOREXE>C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe zainfekowany wirusem Trojan.DownLoader1.26413 - leczenie zabronione przez użytkownika C:\Documents and Settings\All Users\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe spakowany przez XOREXE>C:\Documents and Settings\All Users\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe zainfekowany wirusem Trojan.DownLoader1.26413 - leczenie zabronione przez użytkownika C:\Users\All Users\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe spakowany przez XOREXE>C:\Users\All Users\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe zainfekowany wirusem Trojan.DownLoader1.26413 - leczenie zabronione przez użytkownika C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe spakowany przez XOREXE>C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{B634E7CF-1D3E-7A84-2760-62DF6AC01C7E}-Bdp.exe zainfekowany wirusem Trojan.DownLoader1.26413 - leczenie zabronione przez użytkownika C:\Documents and Settings\asus\Desktop\sprawdzanie systemu\OTL\OTL.exe zainfekowany wirusem Trojan.Siggen2.16874 - leczenie zabronione przez użytkownikaC:\Users\asus\Desktop\sprawdzanie systemu\OTL\OTL.exe zainfekowany wirusem Trojan.Siggen2.16874 - leczenie zabronione przez użytkownika C:\eSupport\eDriver\Software\ASUS\MultiFrame\XP32_Vista32_Vista64_Win7_32_Win7_64_1.0.0021\Desktop_.ini zainfekowany wirusem Win32.HLLW.Gavir.ini - leczenie zabronione przez użytkownika Te 7 to zupełnie nieistotne wyniki. Folder LocalCopy to (izolowana) kwarantanna skanera Microsoftu, OTL jako trojan to fałszywy alarm, a desktop.ini w folderze oprogramowania ASUS nie wygląda na zagrożenie. I tak naprawdę nie jest to 7 wyników tylko 3. Program odrębnie przeskanował linki symboliczne tak jakby to były pełnowartościowe ścieżki różne od rzeczywistej ścieżki docelowej. C:\Documents and Settings to tylko link do C:\Users C:\Documents and Settings\All Users to tylko link do C:\ProgramData C:\Users\All Users to także link do C:\ProgramData Informacyjnie dla Ciebie nieco o linkach symbolicznych: KLIK. Przy okazji, widoczny kolejny szczątek po uruchomieniu ComboFix, czyli katalog C:\32788R22FWJFW (nie widziałam go w uprzednich listach)... Przez SHIFT+DEL skasuj go całkowicie z dysku. . Odnośnik do komentarza
kacper7 Opublikowano 15 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2011 Plik skasowany.Rozumiem, że na obecną chwilę uporaliśmy się z problemem.Reklamy póki co nie wyskakują.Adobe zainstalował się bez problemu.Nie pojawia się również wspomniany komunikat. Dodatkowo zauważyłem, że nie robiłem aktualizacji Windowsa.Operacja wykonana. Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2011 Zgłoś Udostępnij Opublikowano 15 Lutego 2011 Na to wygląda, że koniec problemu. Ów komunikat musiał jednak być związany z tą podrobioną strefą zabezpieczeń ("L"). Możesz usunąć wszystkie narzędzia, którymi się posługiwałeś. Na koniec powtórz jeszcze raz czyszczenie folderów Przywracania systemu (od ostatniego zalecenia upłynęło dużo czasu + nastąpiły zmiany konfiguracyjne). Jeśli nie zgłosisz dodatkowych problemów, temat zostanie zamknięty. Odnośnik do komentarza
Rekomendowane odpowiedzi