mikkado Opublikowano 18 Lutego 2012 Zgłoś Udostępnij Opublikowano 18 Lutego 2012 Witam! Proszę o pomoc w ustaleniu, co jest/było nie tak z komputerem - teraz wygląda na to, że wszystko już działa, ale chcę się upewnić, że nic nie schowało się w systemie. Objawy, które występowały: system uruchamiał się, ale nie było widać pulpitu. Wywołałem Menadżer zadań i uruchomiłem proces "explorer.exe"; przy okazaji zauważyłem uruchomione dwa procesy "winlogon.exe" (jeden był z jakimś dziwnym opisem - nie zanotowałem tego niestety). Wyłączyłem ten "dziwny" winlogon.exe i komputer zachowywał się normalnie. Po restarcie znów nie pojawił się pulpit; włączyłem "explorer.exe" przez Menadżer zadań. Po chwili Windows Defender wyświetlił komunikat: Kategoria: Koń trojański: Win32/Opachki.H Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej. Porada: Usuń niezwłocznie to oprogramowanie. Zasoby: containerfile: C:\Users\Ania\winlogon.exe file: C:\Users\Ania\winlogon.exe->(UPX) process: pid:2796 regkey: HKCU@S-1-5-21-3146292988-2315933456-2787739076-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\winlogon runkey: HKCU@S-1-5-21-3146292988-2315933456-2787739076-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\winlogon winlogonshell: HKCU@S-1-5-21-3146292988-2315933456-2787739076-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:explorer.exe "C:\Users\Ania\winlogon.exe" Zgodnie z zaleceniem Windows Defender usunąłem plik. Sprawdziłem też antywirusa i znalazłem taki wpis w Dzienniku zdarzeń: 2012-02-16, 18:34 Virus or unwanted program 'TR/Crypt.XPACK.Gen2 [trojan]' detected in file 'C:\Users\Ania\AppData\Local\Temp\4F95.tmp. Action performed: Deny access Teraz już wszystko jest w porządku - system startuje i zachowuje się normalnie. Będę wdzięczny za pomoc w ustaleniu, czy rzeczywiście nie ma już żadnej infekcji. Poniżej wymagane logi. OTL_testan.Txt Extras_testan.Txt gmer_testan.txt Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2012 Zgłoś Udostępnij Opublikowano 18 Lutego 2012 Nie notuję żadnych oznak infekcji czynnej. 1. Wykonaj tylko drobne poprawki na poziomie rejestru. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal Skasuj z dysku plik wyszukiwarki śmiecia Facemoods: [2011-03-20 00:17:37 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml 2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Wykonaj aktualizacje oprogramowania: INSTRUKCJE. Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 26"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX Dla jasności, przestarzałym Adobe Flash jest ten w wersji Internet Explorer. . Odnośnik do komentarza
mikkado Opublikowano 18 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2012 Dziękuję za pomoc. Zrobiłem wszystko wg instrukcji. Jeszcze tylko jedno pytanie: w katalogu głównym użytkownika: C:\Users\Ania znalazłem dziwny plik: uidsave.dat - to coś ważnego? Mogę to usunąć? Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2012 Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Jeszcze tylko jedno pytanie: w katalogu głównym użytkownika: C:\Users\Ania znalazłem dziwny plik: uidsave.dat - to coś ważnego? Mogę to usunąć? Tak, ten plik jest związany z infekcją, która tu była. Dla porównania: KLIK. . Odnośnik do komentarza
mikkado Opublikowano 19 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Dziękuję! Pozdrawiam serdecznie! Odnośnik do komentarza
Rekomendowane odpowiedzi