Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Plik win.exe

bpm

Przez bpm
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

bpm

bpm

Opublikowano
Opublikowano

Witam serdecznie,

 

jestem "szczęśliwym" posiadaczem systemu Windows 7 x86, ale już na wstępie pojawiły się małe problemy. Opiszę w punktach objawy:

 

1. Norton Antivirus po każdym uruchomieniu systemu znajduje Trojana w pliku win.exe, który to znajduje się C:\Windows\system32\, dziwne że tu;

2. Plik ten znajdował się również C:\Program Files\My applications do czasu kiedy Malwarebytes znalazł go i usunął;

3. W katalogu powyższym znajdują się także pliki Windows Defender Apps Control.exe oraz Windows Live Control.exe, które to startują razem z systemem, a których wyłączyć się nie daje. Czytałem troszeczkę na ten temat i jedni twierdzą, że to syf inni, że nie. Na wszelki wypadek chętnie bym się ich pozbył;

4. Przy próbie skanowania za pomocą Gmer'a po jakiejś minucie wywala BSOD, za każdym razem różny (0x0000008E, 0x00000018, REFERENCE BY POINTER) - czyżby to była wina sprzętu?

5. TDSSKiller nic nie znalazł;

 

Przedstawiam log z OTL oraz dodatkowy z SecurityCheck oraz proszę o fachową opinię. Boję się, że sprzęt mi pada, ponieważ kiedy miałem jeszcze XP pojawiały się od czasu do czasu błędy "PAGE_FAULT_IN_NONPAGED_AREA":

 

Results of screen317's Security Check version 0.99.8

Windows 7 Service Pack 1 (UAC is disabled!)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Norton AntiVirus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

TuneUp Utilities

TuneUp Utilities Language Pack (pl-PL)

TuneUp Utilities

CCleaner

Java 6 Update 24

Out of date Java installed!

Adobe Flash Player 10.2.152.26

Mozilla Firefox (3.6.13)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Norton ccSvcHst.exe

Malwarebytes' Anti-Malware mbamservice.exe

Spybot Teatimer.exe is disabled!

My applications Windows Defender Apps Control.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Windows Defender Apps Control to oczywiście infekcja. Wykonaj po kolei następujące czynności:

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Program Files\My applications
C:\Windows\System32\win.exe
C:\Windows\tasks\{47C2C0B7-AA61-49EF-951D-B362DF6C8821}.job
C:\Windows\tasks\{A878C2F7-13CE-449E-B22C-2F878A58A0AC}.job
C:\Windows\tasks\{5D50DFB5-65A1-48F0-899A-D22F9B329F27}.job
 
:OTL
SRV - File not found [Auto | Stopped] --  -- (HP Health Check Service)
DRV - File not found [Kernel | On_Demand | Running] --  -- (vista)
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj w celu prezentacji.

 

2. Uruchamiasz ponownie OTL i w oknie Własne opcje skanowania/Skrypt wklej:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

Kliknij w Skanuj (nie w Wykonaj skrypt)

 

3. Prezentujesz nowe logi ze skanowania OTL i log z usuwania.

 

 

 

Odnośnik do komentarza
bpm

bpm

Opublikowano
  • Autor
Opublikowano

Wykonane. Usuwanie w zasadzie niewiele dało, ponieważ plik Windows Defender Apps Control.exe w C:\Program Files\My applications jest dalej i startuje z systemem, natomiast Windows Live Control.exe usunął Norton zaraz po restarcie, win.exe nie ma już wcale. Proszę oto nowe logi.

 

EDIT: A jednak, wszystko pojawiło się z powrotem po kolejnym restarcie systemu, czyli Windows Defender Apps Control.exe oraz Windows Live Control.exe w dalszym ciągu startują z systemem oraz znajdują się w C:\Program Files\My applications, natomiast win.exe z C:\Windows\system32 jest usuwany przez Nortona.

02222011_175058.txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Landuss

 

Zadałeś usuwanie C:\_OTL, do którego przecież OTL w trakcie przetwarzania kolejnego skryptu aktywnie zapisuje.... Dlatego folder jest "failed". Folder OTL może wylecieć dopiero, gdy się skończy z OTL.

 

 

bpm

 

Tu jeszcze trzeba zmienić ścieżkę do folderu Startup (Autostart) podmienionego infekcją:

 

========== Custom Scans ==========
 
 
"Startup" = C:\Program Files\My applications -- [2011-02-22 17:53:06 | 000,000,000 | ---D | M]

Dopóki jest ta konfiguracja i tak się folder "My applications" będzie odtwarzał po każdym restarcie (Windows Explorer go rekonstruuje odczytując ustawienie folderu powłoki z rejestru).

 

[2011-02-18 12:25:14 | 000,081,920 | -H-- | C] () -- C:\Windows\System32\v3shrtkgn.dll

Crack Your Uninstaller też idzie do kosza.

 

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Startup"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\
  4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\
  00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\
  73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\
  00,53,00,74,00,61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,5c,00,50,00,\
  72,00,6f,00,67,00,72,00,61,00,6d,00,73,00,5c,00,53,00,74,00,61,00,72,00,74,\
  00,75,00,70,00,00,00

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik wybierz opcję Importu i wskaż FIX.REG

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes


killallprocesses


 


:OTL


DRV - File not found [Kernel | On_Demand | Running] --  -- (vista)


[2011-02-22 19:05:25 | 000,000,000 | ---D | C] -- C:\Program Files\My applications


[2011-02-18 12:25:14 | 000,081,920 | -H-- | C] () -- C:\Windows\System32\v3shrtkgn.dll

Klik w Wykonaj skrypt.

 

3. Po restarcie podajesz serię logów.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Dziwię się ponieważ nigdy nie używałem cracka Your Unistaller

 

Skąd pobierałeś ten program? Plik jest opisany tu: KLIK / KLIK. Na stronie threatexpert.com są jeszcze dwa dodatkowe opisy, wszystkie łączy to samo = keymaker. Wnioski: to nie jest czysta wersja od producenta.

 

 

Pozostaje jeszcze kwestia czemu po użyciu Gmer'a pojawia się po minucie BSOD?

 

Trudno powiedzieć, ale jest tu spora liczba sterowników kernel Symantec i inne. Sprawdź jeszcze, czy skan przejdzie po odznaczeniu pozycji IAT/EAT.

 

 

1. Radzę zresetować plik HOSTS do poziomu domyślnego:

 

O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
(...)
O1 - Hosts: 8709 more lines...

Opcja dostępna w ustawieniach immunizacji statycznej Spybot Search & Destroy. Notabene: radzę również odmontować ten program w sposób całkowity. Program przestarzały o za słabych właściwościach jak na dzisiejsze warunki, nie do końca też idealnie zgodny z Windows 7 (m.in. brak pełnej integracji z Centrum zabezpieczeń). Teraz normalne "antywirusy" są już multifunkcyjnie i adresują spyware / inne typy malware. Wystarczy jako uzupełnienie do Symantec tylko skaner MBAM na żądanie.

 

2. W OTL wywołaj funkcję Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu (INSTRUKCJE).

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...