Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan - Nod nie pobierzez aktualizacji, nie uruchamia się explorer.exe

arekk

Przez arekk
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

arekk

arekk

Opublikowano
Opublikowano

Dzień dobry. Już dawno nie miałem doczynienia z taką infekcją jak ta...

Mianowicie, przy starcie systemu nie uruchamiała się automatycznie proces explorer.exe trzeba było ręcznie uruchomiać.

Wieć zrobiłem "Update" systemu Windows 7 aby choć troche nadpisać już i tak zainfekowany system.

Udało się po wielkich bojach, ale teraz nie mogę aktywować systemu (Mam orgianlny) oraz pobrać bazy antywirusa NOD32, ręcznie też nie mogę mu zaktualizować, gdyż pole edycji, skąd ma pobierać bazę jest niekatywne :/

Wieć zrobiłem tak piersze skanowanie OTL i GMER oraz Kaspersky Remove Tools

 

W załączniku pliki przed i po skanowaniu Kaspersky Remove Tools który znalzał Trojana.

 

Pliki z _po to wynik po przeksnowaniu Kaspersky Remove Tools

 

Zastanawiem się czy foramt nie był by najszybszy.

Extras.Txt

gamer.txt

OTL.Txt

Extras_po.Txt

gamer_po.txt

Extras_po.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)
Wieć zrobiłem "Update" systemu Windows 7 aby choć troche nadpisać już i tak zainfekowany system.

 

Nie trzeba było tego robić ... Jak Zabłocki na mydle. Taki typ reperacji w ogóle nie usuwa dodanych wtórnie obiektów infekcji. Infekcja którą tu widzę, nie rusza plików systemowych, czyli akcja reparacji w tym momencie polegała na mało sensownej podmianie plików systemowych (ze skutkami ubocznymi typu downgrade aktualizacji, wymóg aktywacji etc).

 

 

Pliki z _po to wynik po przeksnowaniu Kaspersky Remove Tools

 

No tak i podajesz mi bezwartościowe powielenia Extras, które nawet nie mają powiązań z głównym OTL ... Proszę dodaj tylko i wyłącznie logi ze stanu po skanie Kasperskym (na dodatek: w ogóle nie podane co nim usuwałeś). Jeden zestaw bieżący.

 

Na razie w OTL głównym (wygląda na ten sprzed skanu) widać wpisy trojana odpowiedzialne za niestartowanie explorer.exe (to apropos owego "updatu" systemu = infekcji rzecz jasna to nie wyeliminowało):

 

O4 - HKU\S-1-5-21-3861515035-15926319-1308479673-1000..\Run: [winlogon] C:\Users\User\winlogon.exe ()
O20 - HKU\S-1-5-21-3861515035-15926319-1308479673-1000 Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-3861515035-15926319-1308479673-1000 Winlogon: Shell - ("C:\Users\User\winlogon.exe") - C:\Users\User\winlogon.exe ()

 

Poza tym, OTL poprzez masowe wpisy O4 (tak się nie powinien prezentować folder "Startup") mówi, że są uszkodzone wpisy folderów powłoki w rejestrze:

 

 

 

O4 - Startup: C:\Users\All Users\ACD Systems [2012-02-28 11:34:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Adobe [2012-02-28 11:34:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Application Data [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Babylon [2012-02-15 22:41:14 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Codemasters [2012-02-28 11:34:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\DAEMON Tools Lite [2012-02-28 11:34:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Dane aplikacji [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Desktop [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Documents [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Dokumenty [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\EA Core [2012-02-28 11:34:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Electronic Arts [2012-02-28 11:34:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\ESET [2012-02-28 11:34:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Favorites [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\id Software [2012-02-28 11:34:46 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\IM [2012-02-28 11:34:46 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\IncrediMail [2012-02-28 11:34:46 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\McAfee [2012-02-28 11:34:46 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Menu Start [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Microsoft [2012-02-28 11:34:52 | 000,000,000 | --SD | M]

O4 - Startup: C:\Users\All Users\Norton [2012-02-28 11:34:52 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\NortonInstaller [2012-02-28 11:34:52 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\NVIDIA [2012-02-28 12:34:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\NVIDIA Corporation [2012-02-28 11:28:38 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Origin [2012-02-28 11:34:53 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Pulpit [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Start Menu [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Sun [2012-02-28 11:34:53 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Symantec [2012-02-28 11:34:53 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Szablony [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Templates [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\TmForever [2012-02-28 11:34:53 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Ubisoft [2012-02-28 11:34:53 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Ulubione [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\AppData [2009-07-14 03:37:05 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\Default\Application Data [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Cookies [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Dane aplikacji [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Desktop [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Documents [2012-02-28 12:26:13 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Downloads [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Favorites [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Links [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Local Settings [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Menu Start [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Moje dokumenty [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Music [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\My Documents [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NetHood [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NTUSER.DAT ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG1 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG2 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\Default\Pictures [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\PrintHood [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Recent [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Saved Games [2009-07-14 03:04:25 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Default\SendTo [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Start Menu [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Szablony [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Templates [2009-07-14 05:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Ustawienia lokalne [2012-02-28 12:26:13 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Videos [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Desktop [2012-02-28 11:34:53 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Documents [2012-02-28 12:26:13 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Downloads [2009-07-14 05:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Favorites [2009-07-14 03:04:25 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Libraries [2009-07-14 05:41:57 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Music [2009-07-14 05:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Pictures [2012-02-28 11:34:54 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Recorded TV [2012-02-28 11:34:54 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Videos [2009-07-14 05:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\UpdatusUser\AppData [2012-02-28 11:37:16 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\UpdatusUser\Contacts [2011-11-16 14:16:06 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\UpdatusUser\Cookies [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\Dane aplikacji [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\Desktop [2012-02-28 11:37:17 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\UpdatusUser\Documents [2012-02-28 11:29:40 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\UpdatusUser\Downloads [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\UpdatusUser\Favorites [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\UpdatusUser\Links [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\UpdatusUser\Menu Start [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\Moje dokumenty [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\Music [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\UpdatusUser\NetHood [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\NTUSER.DAT ()

O4 - Startup: C:\Users\UpdatusUser\ntuser.dat.LOG1 ()

O4 - Startup: C:\Users\UpdatusUser\ntuser.dat.LOG2 ()

O4 - Startup: C:\Users\UpdatusUser\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\UpdatusUser\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\UpdatusUser\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\UpdatusUser\ntuser.ini ()

O4 - Startup: C:\Users\UpdatusUser\Pictures [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\UpdatusUser\PrintHood [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\Recent [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\Saved Games [2009-07-14 03:04:25 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\UpdatusUser\Searches [2011-11-16 14:16:06 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\UpdatusUser\SendTo [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\Szablony [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\Ustawienia lokalne [2012-02-28 11:29:40 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\UpdatusUser\Videos [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\.gimp-2.6 [2012-02-28 11:37:28 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\User\.recently-used.xbel ()

O4 - Startup: C:\Users\User\.thumbnails [2012-02-28 11:37:28 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\User\AppData [2012-02-28 11:37:47 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\User\Contacts [2012-02-28 11:38:08 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\Cookies [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\Dane aplikacji [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\Desktop [2012-02-28 13:51:01 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\Documents [2012-02-28 11:38:24 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\Downloads [2012-02-28 11:38:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\Favorites [2012-02-28 11:38:26 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\Links [2012-02-28 11:38:26 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\Menu Start [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\Moje dokumenty [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\Music [2009-07-14 03:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\NetHood [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\NTUSER.DAT ()

O4 - Startup: C:\Users\User\ntuser.dat.LOG1 ()

O4 - Startup: C:\Users\User\ntuser.dat.LOG2 ()

O4 - Startup: C:\Users\User\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\User\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\User\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\User\ntuser.ini ()

O4 - Startup: C:\Users\User\Pictures [2012-02-28 11:38:26 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\PrintHood [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\Recent [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\Saved Games [2012-02-28 11:38:26 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\User\Searches [2012-02-28 11:38:26 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\SendTo [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\Szablony [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\uidsave.dat ()

O4 - Startup: C:\Users\User\Ustawienia lokalne [2012-02-28 11:29:49 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\User\Videos [2012-02-28 11:38:26 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\User\winlogon.exe ()

 

 

 

Wreszcie: system zaśmiecony sponsorami.

 

Jak mówię, proszę o prawidłowe logi z chwili obecnej, by ustalić co z wyliczonych ma nadal miejsce. Zedytuj post powyżej.

 

 

 

 

.

Edytowane przez picasso
1.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...