kosmitka Opublikowano 3 Lipca 2011 Zgłoś Udostępnij Opublikowano 3 Lipca 2011 Witam. Mój problem polega na tym, ze ostatnio dostałam informację od mojego dostawcy netu, że mój komputer wysyła spam. Tak się składa, że używamy 2 komputerów ( stacjonarny i laptop). Oba komputery zostały przeskanowane Avastem i antywirus nie znalazł żadnego wirusa. Po interwencji informatyka, który odinstalowała Avasta i zainstalował nod 32, nowy antywirus znalazł kilka zagrożeń i je usunął. Ponieważ jestem całkiem zielona i nie jestem w stanie ocenić czy problem tak naprawdę do końca jest rozwiązany bardzo proszę o pomoc w diagnostyce obu kompów. Dodam, że laptop ma Win XP, a stacjonarny Win 7 64-bit. OTL stacj.Txt Extras stacj.Txt OTL laptop.Txt GMER laptop.txt Extras laptop.Txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2011 Zgłoś Udostępnij Opublikowano 4 Lipca 2011 Po interwencji informatyka, który odinstalowała Avasta i zainstalował nod 32, nowy antywirus znalazł kilka zagrożeń i je usunął. Pokaż co usuwał ESET (raport z tego narzędzia), gdyż ja w logach z obu systemów nie widzę nic aktywnego od infekcji. 1. Jedyny system mający ślady infekcji to ten z XP: O33 - MountPoints2\{fa821520-54f6-11dd-92a0-001a73fca20f}\Shell\Auto\command - "" = RavMonE.exe eO33 - MountPoints2\{fa821520-54f6-11dd-92a0-001a73fca20f}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e To wpisy mówiące, że podpinano zarażone urządzenie USB. To tylko mapowanie, nie widać innych składników. Start > Uruchom > regedit i skasuj poniższy klucz (po restarcie odbuduje się jako czysty): HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Dodatkowo, w Dodaj / Usuń programy odinstaluj eBay Icon. 2. Na Windows 7 jest tylko adware pdfforge Toolbar (nieuważna instalacja PDFCreator), ale to nie ma znaczenia dla problemu głównego. Odinstaluj tego śmiecia. . Odnośnik do komentarza
kosmitka Opublikowano 4 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2011 Dziękuję bardzo za szybką pomoc W laptopie (Win XP) wykonałam oba zadania. W stacjonarnym pdfforge Toolbar nie chce się dać odinstalować ( jest komunikat o treści; funkcja, której chcesz użyć znajduje się w niedostępnym zasobie sieciowym). Poniżej raporty ze skanowania antywirusem. raport nod 32 laptop: Dziennik skanowania Wersja bazy sygnatur wirusów: 5782 (20110112) Data: 2011-06-20 Godzina: 19:04:12 Skanowane dyski, foldery i pliki: Pamięć operacyjna;C:\Sektor startowy;D:\Sektor startowy;C:\;D:\ C:\Documents and Settings\hp\Moje dokumenty\Downloads\Compressed\Internet Download Manager 5.18.8 - Instrukcja instalacji - Keygen - Patch.rar » RAR » Internet Download Manager 5.18.8 - Instrukcja instalacji - Keygen - Patch\1\Keygen.exe - odmiana wirusa Win32/Keygen.AS potencjalnie niepożądana aplikacja - był częścią usuniętego obiektu C:\Documents and Settings\hp\Moje dokumenty\Downloads\Compressed\Internet Download Manager 5.18.8 - Instrukcja instalacji - Keygen - Patch\Internet Download Manager 5.18.8 - Instrukcja instalacji - Keygen - Patch\1\Keygen.exe - odmiana wirusa Win32/Keygen.AS potencjalnie niepożądana aplikacja - wyleczony przez usunięcie - poddany kwarantannie [1] ez inną aplikację lub system operacyjny. raport 1 nod 32 stacjonarny: Dziennik skanowania Wersja bazy sygnatur wirusów: 5782 (20110112) Data: 2011-06-20 Godzina: 18:28:00 Skanowane dyski, foldery i pliki: Pamięć operacyjna;C:\Sektor startowy;D:\Sektor startowy;C:\;D:\ C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.dll - Win32/Adware.Toolbar.Dealio aplikacja - wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie [1,2] C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.exe - Win32/Adware.Toolbar.Dealio aplikacja - wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie [1,2] C:\Program Files (x86)\pdfforge Toolbar\SearchSettingsRes409.dll - Win32/Adware.Toolbar.Dealio aplikacja - wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie [1,2] C:\Program Files (x86)\pdfforge Toolbar\WidgiHelper.exe - Win32/Adware.Toolbar.Dealio aplikacja - wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie [1,2] C:\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll - Win32/Adware.Toolbar.Dealio aplikacja - wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie [1,2] C:\Users\User\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\30000000bad00002i\WINWORD.EXE - prawdopodobnie odmiana wirusa Win32/Agent.CJQWWKJ koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] raport 2 nod 32 stacjonarny: Dziennik skanowania Wersja bazy sygnatur wirusów: 6224 (20110620) Data: 2011-06-21 Godzina: 16:31:47 Skanowane dyski, foldery i pliki: C:\ C:\Windows\Installer\58b3a.msi » MSI » Data1.cab » CAB » searchsettings.exe - odmiana wirusa Win32/Adware.Toolbar.Dealio aplikacja - był częścią usuniętego obiektu C:\Windows\Installer\58b3a.msi » MSI » Data1.cab » CAB » applicationupdater.exe.2AEA64FA_898D_4F2B_A6D4_6ACAB09B67CA - prawdopodobnie odmiana wirusa Win32/Adware.Toolbar.Dealio aplikacja - był częścią usuniętego obiektu C:\Windows\Installer\58b3a.msi » MSI » Data1.cab » CAB » widgitoolbarie.dll - odmiana wirusa Win32/Adware.Toolbar.Dealio aplikacja - był częścią usuniętego obiektu Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2011 Zgłoś Udostępnij Opublikowano 5 Lipca 2011 Nie są mi potrzebne całe dzienniki, tylko fragmenty z wykrytą infekcją. Wycięłam co ważne i wkleiłam do posta. I niestety ale ja w wynikach nie widzę nic co może odpowiadać efektowi rozsyłania spamu, także w logach jak mówiłam brak oznak czynnej infekcji .... Wszystko co wykryte bez szczególnego znaczenia: Laptop: keygen wychwycony, nie wiadomo nawet czy był używany. Stacjonarny: prawie wszystkie wyniki punktują adware pdfforge Toolbar, o którym wspominałam, a co nie może być odpowiedzialne za rozsył spamu. A ten jeden wyróżniający się w ścieżce C:\Users\User\AppData\Roaming\Thinstall to prawdopodobnie fałszywy alarm (aplikacje wirtualizowane przez Thinstall nie podobają się antywirusom i często mogą być nie odpowiadające rzeczywistości zgłoszenia o "trojanach" / "rootkitach"). Nasuwa się pytanie, czy problem detekcji rozsyłania spamu z Twojej maszyny nadal ma miejsce? Skontaktuj się z dostawcą i uzyskaj klarowną odpowiedź. W stacjonarnym pdfforge Toolbar nie chce się dać odinstalować ( jest komunikat o treści; funkcja, której chcesz użyć znajduje się w niedostępnym zasobie sieciowym). Nod go uszkodził (porównaj wyniki ze skanowania - naruszył dane instalacyjne). Przedstaw log trybu skanu z AD-Remover. Będziemy usuwać ręcznie pozostałe odpadki. . Odnośnik do komentarza
kosmitka Opublikowano 5 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2011 1. Rozmawiałam z administratorem netu i obiecał mi, że jutro sprawdzi czy nadal jest wysyłany spam ( dzisiaj nie ma go w firmie). Swoją drogą informatyk, który sprawdzał mi komp po informacji o wysyłaniu spamu, też nie mógł się dopatrzyć przyczyny problemu ( dlatego właśnie poprosiłam o pomoc na tym forum). Dodam tylko, że internet mam drogą radiową; być może to ma znaczenie... 2. Poniżej skan z AD-Remover. Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2011 Zgłoś Udostępnij Opublikowano 5 Lipca 2011 Na wszelki wypadek na systemie Windows 7 x64 uruchom jeszcze Kaspersky TDSSKiller (gdyż ten aspekt nie był weryfikowany). Jeśli cokolwiek wykryje, nie podejmuj akcji i tylko zaprezentuj raport. Jeśli nic nie wykryje, to na razie pas i czekam na wyniki dostawcy. AD-Remover wykrył co należy, uruchom go w trybie usuwania, a wykończy tego śmiecia. Po nim zostanie jeszcze drobny wpis, Start > w polu szukania wklep regedit > i poniższym kluczu: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks ... skasuj wartość {B922D405-6D13-4A2B-AE89-08A030DA4402}. Po użyciu AD-Remover możesz odinstalować, zadbaj by zniknął i folder C:\Program Files (x86)\Ad-Remover. . Odnośnik do komentarza
kosmitka Opublikowano 6 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2011 Kaspersky TDSSKiller nic nie wykrył. Pozostałe zalecenia wykonałam. Dostawca netu twierdzi, ze teraz wszystko jest w porządku; w razie czego będzie się ze mną kontaktował. Zasugerował, żebym sobie zainstalowała dodatkowego firewalla. W związku z tym proszę jeszcze o radę jakie jeszcze zabezpieczenia powinnam sobie zainstalować? Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2011 Zgłoś Udostępnij Opublikowano 7 Lipca 2011 Dostawca netu twierdzi, ze teraz wszystko jest w porządku; w razie czego będzie się ze mną kontaktował. Na chwilę obecną moja rola w poszukiwaniu infekcji się tu kończy. Jeśli ponownie zaistnieje to zjawisko, zgłoś się tu z nowym setem logów. Zasugerował, żebym sobie zainstalowała dodatkowego firewalla. W związku z tym proszę jeszcze o radę jakie jeszcze zabezpieczenia powinnam sobie zainstalować? Z darmowych firewalli, które będę pasować do obu systemów, można polecić np.: PrivateFirewall, Online Armor Free, COMODO Firewall. . Odnośnik do komentarza
kosmitka Opublikowano 7 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2011 Dziękuję ślicznie za poświęcony czas, cierpliwość, a przede wszystkim za fachową i szybką pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi