rapidsebuja Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 WEitam Comodo internet security pro wykrywa pewien plik jako niebezpieczny , znajduje sie on w c:\windows\assembly\temp\u... setup.exe Na pulpicie czasami wskaznik pokazuje prace jak by sie jakas aplikacja uruchamiala ale nic sic sie nie robi.... Komputer lapie czasami zawiechy... Prosze o sprawdzenie logow. Extras: http://www.wklejto.pl/120619 OTL: http://www.wklejto.pl/120620 Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 Katalog c:\windows\assembly\temp\u pochodzi od infekcji ZeroAccess i jest ona tutaj w stanie aktywnym. Zacznij od zastosowania poniższych kroków: 1. Zacznij od użycia z trybu awaryjnego ComboFix i wklej wynikowy log. 2. Po działaniu ComboFix wykonaj z trybu normalnego nowe logi z OTL i załącz do posta. Odnośnik do komentarza
rapidsebuja Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 Log combofix: http://www.wklejto.pl/120633 Po combofix zrobilem otl wedlug zalecenia. Logi z OTL Extras: http://www.wklejto.pl/120636 OTL: http://www.wklejto.pl/120641 Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 Wklejony został tu dwa razy log ekstras. Popraw to i załącz też otl.txt Odnośnik do komentarza
rapidsebuja Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 Poprawilem sorrki Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 No właśnie nic nie jest poprawione. To jest nadal jeden i ten sam log czyli ekstras. Ja potrzebuję log otl.txt Odnośnik do komentarza
rapidsebuja Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 OTL log http://www.wklejto.pl/120642 Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV:64bit: - [2009-07-14 02:39:46 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- C:\Windows\SysNative\e1express.dll -- (LwUsbHid) O2:64bit: - BHO: (Webroot Browser Helper Object) - {c8d5d964-2be8-4c5b-8cf5-6e975aa88504} - C:\ProgramData\WRData\pkg\LPBar64.dll File not found O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (Webroot Toolbar) - {97ab88ef-346b-4179-a0b1-7445896547a5} - C:\ProgramData\WRData\pkg\LPBar64.dll File not found O4 - HKLM..\Run: [combofix] C:\ComboFix\CF12951.3XE /c C:\ComboFix\Combobatch.bat File not found :Files netsh winsock reset /C :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zaprezentujesz na forum. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log powstały z usuwania oraz nowy log z OTL ze skanu (bez ekstras) Odnośnik do komentarza
rapidsebuja Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 Log ze skryptu: http://www.wklejto.pl/120646 OTL: http://www.wklejto.pl/120647 Odnośnik do komentarza
Landuss Opublikowano 23 Marca 2012 Zgłoś Udostępnij Opublikowano 23 Marca 2012 Jest prawie dobrze, jedynie Winsock nadal nie został zresetowany do domyślnej postaci więc trzeba to zrobić w inny sposób. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset Podaj co się pokazuje po jej wykonaniu. Załącz też nowy log z OTL do wglądu. Odnośnik do komentarza
rapidsebuja Opublikowano 23 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2012 Po netsh winsock reset wyskoczylo ze operacja przebiegla pomyslnie czy cos takiego, zrobilem reset i ponownie odpalilem OTL. Logi: OTL: http://www.wklejto.pl/120712 Extras: http://www.wklejto.pl/120713 Odnośnik do komentarza
Landuss Opublikowano 23 Marca 2012 Zgłoś Udostępnij Opublikowano 23 Marca 2012 Jeszcze nie do końca jest dobrze bo nadal widnieje jeden wpis O10. Wklej do notatnika: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Do pokazania dajesz nowy log z OTL (bez ekstras) Odnośnik do komentarza
rapidsebuja Opublikowano 23 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2012 Uruchomilem wpis , reset i nowy log: http://www.wklejto.pl/120724 Odnośnik do komentarza
Landuss Opublikowano 24 Marca 2012 Zgłoś Udostępnij Opublikowano 24 Marca 2012 W takim razie to by było na tyle z usuwania. Można przejść do kroków końcowych. 1. Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD następnie wklej i wywołaj polecenie "c:\users\Rapidsebuja\Downloads\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Na wszelki wypadek zmień hasła logowania do serwisów. Odnośnik do komentarza
rapidsebuja Opublikowano 24 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2012 (edytowane) Teraz juz jest ok Jak na przyszlosc zabespieczyc sie przed czyms takim?? Edytowane 24 Marca 2012 przez Landuss Po prostu korzystaj uważnie z sieci, zwróć uwagę na to jakie strony odwiedzasz i co pobierasz na dysk. Temat zamykam //Landuss Odnośnik do komentarza
Rekomendowane odpowiedzi