Challanger Opublikowano 18 Listopada 2011 Zgłoś Udostępnij Opublikowano 18 Listopada 2011 Witam posiadam Samsunga r580 z 7. Otóż mój problem polega na tym iż nie dawno cały internet padł w moim internacie i nie mogę się zalogować na WoT i Team speaka oraz wyskakują mi błędy przy odpalaniu opery. Na początku myślałem że to przez modernizację sieci w internacie ale gdy wróciłem do domu mam to samo. Nie znam się zbytnio, ale sprawdzałem i nie mam żadnych antywirusów co by mi to blokowały, ani firewalla. W portach też nic nie znalazłem. Może to być wina jakiegoś programu lub wirusa? Na poprzednim forum poradzili mi abym przeinstalował te programy oraz przywrócił domyślne ustawienia Firewalla. Tak zrobiłem też nic. Przeskanowałem kompa oto log ze skanu: Wersja bazy: 8145 Windows 6.1.7601 Service Pack 1 Internet Explorer 8.0.7601.17514 2011-11-12 13:25:12 mbam-log-2011-11-12 (13-25-12).txt Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|) Przeskanowano obiektów: 482431 Upłynęło: 1 godzin(y), 17 minut(y), 57 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 0 Zainfekowanych wartości rejestru: 0 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 0 Zainfekowanych plików: 19 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: (Nie znaleziono zagrożeń) Zainfekowanych wartości rejestru: (Nie znaleziono zagrożeń) Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: c:\Users\Lukasz\Desktop\Phoenix\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\Users\Lukasz\Desktop\Phoenix\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\Users\Lukasz\Desktop\Phoenix\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Users\Lukasz\Desktop\Phoenix\Phx_data\Res\ss.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Users\Lukasz\Desktop\Różne\call of duty 4 [pc-dvd] [english]\serial generator.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully. c:\Users\Lukasz\documents\vty-0229\ViTALiTY\install.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\Users\Lukasz\downloads\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\Users\Lukasz\downloads\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\Users\Lukasz\downloads\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Users\Lukasz\downloads\Phx_data\Res\ss.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Windows\System32\woanuuh.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\Windows\System32\woanuuh.scr (Trojan.Agent) -> Quarantined and deleted successfully. c:\Windows\SysWOW64\woanuuh.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\Windows\SysWOW64\woanuuh.scr (Trojan.Agent) -> Quarantined and deleted successfully. d:\Gry\modern warfare 2\teknogods_mw2sp.exe (Backdoor.Agent.Gen) -> Quarantined and deleted successfully. d:\Phoenix\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully. d:\Phoenix\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully. d:\Phoenix\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Quarantined and deleted successfully. d:\Phoenix\Phx_data\Res\ss.exe (Backdoor.Bot) -> Quarantined and deleted successfully. Odnośnik do komentarza
peter2012 Opublikowano 18 Listopada 2011 Zgłoś Udostępnij Opublikowano 18 Listopada 2011 Podaj logi z OTL. Póki co, moja magiczna kula () mówi,że to może być infekcja. Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2011 Zgłoś Udostępnij Opublikowano 18 Listopada 2011 (edytowane) Za mało danych. Jest przecież ogłoszenie działu: KLIK. Skoro temat zakładasz w dziale Windows, przynajmniej jest obowiązkiem zaprezentować logi z OTL i Dzienniki zdarzeń. EDIT: Pisałam nie widząc Twojej odpowiedzi peter2012. Edytowane 18 Listopada 2011 przez picasso Odnośnik do komentarza
Challanger Opublikowano 18 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2011 Proszę http://www.wklej.org/id/830776/txt/ http://www.wklej.org/id/830777/txt/ Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Tu była infekcja skrótami LNK (przeniesiona przez urządzenie przenośne), choć wątpliwe by widzialne odpadki miały związek z problemami. W katalogu SysWOW64 jest masa skrótów LNK tego samego rozmiaru, próbka: [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\zh-TW.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\zh-HK.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\zh-CN.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\XPSViewer.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\xlive.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\winrm.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\WindowsPowerShell.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\wdi.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\WCN.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\wbem.lnk [2011/01/12 16:00:38 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Wat.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\uk-UA.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\tr-TR.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\th-TH.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Tasks.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sysprep.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sv-SE.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sr-Latn-CS.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sppui.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\spp.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Speech.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sl-SI.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\slmgr.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\sk-SK.lnk [2011/01/12 16:00:37 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Setup.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ru-RU.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\RTCOM.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ro-RO.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\restore.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Recovery.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ras.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\pt-PT.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\pt-BR.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Printing_Admin_Scripts.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\pl-PL.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\pl.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\oobe.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\nl-NL.lnk [2011/01/12 16:00:36 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\NetworkList.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\NDF.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\nb-NO.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\MUI.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Msdtc.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\migwiz.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\migration.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\manifeststore.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Macromed.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\lv-LV.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\lt-LT.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\LogFiles.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ko-KR.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ja-JP.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\it-IT.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\InstallShield.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\inetsrv.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\IME.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\icsxml.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\hu-HU.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\hr-HR.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\he-IL.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\GroupPolicyUsers.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\GroupPolicy.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\FxsTmp.lnk [2011/01/12 16:00:35 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\fr-FR.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\fi-FI.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\et-EE.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\es-ES.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\en-US.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\en.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\el-GR.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\DriverStore.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\drivers.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Dism.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\directx.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\de-DE.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\da-DK.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\cs-CZ.lnk [2011/01/12 16:00:34 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\config.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Video.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Pictures.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Passwords.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\New Folder.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Music.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\Documents.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\com.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\catroot2.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\catroot.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\bg-BG.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\ar-SA.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\AdvancedInstallers.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\0409.lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\..lnk [2011/01/12 16:00:33 | 000,000,652 | ---- | C] () -- C:\windows\SysWow64\...lnk [2011/01/12 16:00:31 | 000,000,136 | RHS- | C] () -- C:\windows\SysWow64\autorun.inf 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\autorun.inf C:\Windows\SysWow64\*.lnk C:\Users\Lukasz\AppData\Local\Temp*.html :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i automatycznie powinien się otworzyć log z wynikami usuwania, który masz zaprezentować. 2. Przy okazji odinstaluj wtręty sponsoringowe, czyli DAEMON Tools Toolbar i Family Toolbar. Otóż mój problem polega na tym iż nie dawno cały internet padł w moim internacie i nie mogę się zalogować na WoT i Team speaka oraz wyskakują mi błędy przy odpalaniu opery. Na początku myślałem że to przez modernizację sieci w internacie ale gdy wróciłem do domu mam to samo. Jakie błędy widzisz podczas próby zalogowania oraz co się pokazuje w Operze? I czy mam rozumieć, że aktualnie system nie ma w ogóle sieci, czy też sieć działa w ograniczonym zakresie? Z dostarczonych raportów nic konkretnego nie wynika, choć są obiekty budzące podejrzenia. 1. Są tu ślady anonimizerów (które manipulują IP / proxy). ----> W Dzienniku zdarzeń widać taki oto błąd: Error - 11/11/2011 5:39:52 AM | Computer Name = Lukasz-Komputer | Source = Application Error | ID = 1000Description = Nazwa aplikacji powodującej błąd: RiccoVPN.exe, wersja: 1.1.0.2, sygnaturaczasowa: 0x4e77a92c Nazwa modułu powodującego błąd: wodVPN.dll, wersja: 2.2.0.113,sygnatura czasowa: 0x4b38bd51 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000222baIdentyfikator procesu powodującego błąd: 0xcdc Godzina uruchomienia aplikacji powodującej błąd:0x01cca042019e841f Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\RiccoVPN\RiccoVPN.exeŚcieżka modułu powodującego błąd: C:\windows\SysWow64\wodVPN.dll Identyfikator raportu:1a766e6b-0c49-11e1-82b4-b482fe3791a2 Na błędzie widnieje RiccoVPN. Na liście zainstalowanych nie widzę takiej pozycji (co nie jest dowodem na nieobecność aplikacji, gdyż program może mieć deinstalator nie zapisany w rejestrze) i wpis w starcie jakoby "not found" (także nie dowód, bo tam jest parametr po wykonywalnym i nie ma pewności czy OTL dobrze wykrywa obecność pliku na dysku), ale jednocześnie są aktywne sterowniki tego programu: ========== Driver Services (SafeList) ========== DRV:64bit: - [2011/09/27 14:45:31 | 000,030,496 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\PPFlt.sys -- (PrivacyProtectorMP)DRV:64bit: - [2011/09/27 14:45:31 | 000,030,496 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\PPFlt.sys -- (Passthru) Czy program jest rzekomo odinstalowany czy wręcz przeciwnie? Do sprawdzenia czy nie tworzy problemu, tzn, odkręcić wszystko i usunąć dla testu aplikację, a jeśli jest jakoby odinstalowana, podam instrukcje jak usunąć sterowniki. ----> Na liście zainstalowanych widzę także Proxifier, który ingeruje w Winsock: O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Windows\SysWOW64\PrxerNsp.dll (Initex Software)O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Windows\SysWOW64\PrxerDrv.dll (Initex Software)O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Windows\SysWOW64\PrxerDrv.dll (Initex Software) Kolejna aplikacja do przetestowania przez likwidację. W związku z tym, że są znaki pobytu anonimizerów, czy ustawienia proxy w Operze nie zostały zmanipulowane? 2. Jeśli pozbycie się anonimizerów nie wpłynie na poprawę sytuacji, spróbuj też wykonać ogólne resetowanie sieci. Otwórz Notatnik i wklej w nim: ipconfig /flushdns netsh advfirewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako RESET.BAT Z prawokliku na plik BAT Uruchom jako Administrator. Po wykonaniu skryptu zresetuj system. . Odnośnik do komentarza
Challanger Opublikowano 21 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Nadal nie działa. RiccoVPN był wcześniej i Profixer były używane w celu ominięcia blokady założone przez burse na większosć stron, tak że nie dało się nawet filmu obejrzeć. Zostały usunięte gdyż myślałem że to coś pomoże. Nie mogę wysłać logu ponieważ " Nie masz uprawnień do wysyłania tego typu plików". Chyba pomoże reinstalacja windowsa. Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Nadal nie działa. Challanger tylko, że "Nadal nie działa." = nie wiadomo o co Ci chodzi. Pytałam dokładnie: "Jakie błędy widzisz podczas próby zalogowania oraz co się pokazuje w Operze?" Nie mogę wysłać logu ponieważ " Nie masz uprawnień do wysyłania tego typu plików". Nie doczytana Pomoc forum, w Załącznikach można ładować tylko rozszerzenie *.TXT, a to co próbujesz wstawiać to *.LOG. Wystarczy zmienić tylko nazwę pliku. Ponadto, to tylko ma być dla mnie potwierdzenie wykonania pobocznego zadania i jak zaznaczałam "wątpliwe by widzialne odpadki miały związek z problemami". . Odnośnik do komentarza
Challanger Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 W operze nie ale w WoT-cie pisze że nie można połączyć się z siecią. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się