Suchy203 Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Witam. Laptop starszej znajomej. Był u niej w sobote (chyba) jakiś pan który miał jej 'zresetować' komputer, cokolwiek to znaczy. Wieszał się laptop, niby jakies wirusy. Po 'zresetowaniu' pani mnie poprosiła abym zobaczył co sie dzieje ponieważ od momentu włączenia laptopa Avast co kilkanaście sekund wykrywa zagrożenie które niby usuwa, i tak w kółko. Prosiłbym o sprawdzenie logów. PS. Gmer cos wykrył i przerwał skanowanie (zmieniło się ze stop na szukaj) więc kliknąłem na kopiuj i powstał log, w załączniku. Pozdrawiam. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Po 'zresetowaniu' pani mnie poprosiła abym zobaczył co sie dzieje ponieważ od momentu włączenia laptopa Avast co kilkanaście sekund wykrywa zagrożenie które niby usuwa, i tak w kółko. Nie podałeś wyciągów z dziennika zdarzeń Avast gdzie on to wykrywa (precyzyjne ścieżki dostępu). Natomiast logi potwierdzają ogólnie, że jest tu infekcja przeniesiona przez typ pendrive, klasyczna z pliku autorun.inf. To co notuje GMER jest składnikiem tej infekcji: ---- Processes - GMER 1.0.15 ---- Library C:\WINDOWS\system32\mgking0.dll (*** hidden *** ) @ C:\DOCUME~1\Maria\USTAWI~1\Temp\RtkBtMnt.exe [440] 0x10000000 Library C:\WINDOWS\system32\mgking0.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1792] 0x10000000 Od razu podczas usuwania nałożę w rejestrze blokadę na rozpoznawanie plików autorun.inf, czyli odpowiednik zabezpieczenia Computer Vaccination z Panda USB Vaccine. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives yveqsh93.exe /alldrives C:\WINDOWS\System32\mgking.exe C:\WINDOWS\system32\mgking0.dll :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "king_mg"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Wygeneruj nowy log z OTL z opcji Skanuj (zaznacz Ukryj pliki Microsoftu, i już bez Extras) oraz USBFix z opcji Listing. Dołącz log z usuwania OTL wygenerowany na etapie 1. . Odnośnik do komentarza
Suchy203 Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 A no fakt, przepraszam. Mogłem sprawdzić ścieżke tych plików (przywracanie systemu, w załączniku). I też mówiłem pani że to od pendrive to powiedziała, że nie podpinała żadnego, więc to pewnie od tege pana. Avast już siedzi cicho. W załącznikach logi. 05082012_200828.txt OTL.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Wstawiłeś nieprawidłowy załącznik. Oszukałeś rozszerzenie zmieniając w nazwie BMP na JPG (to nie konwertuje typu formatu), dlatego miniatura jest czarna. Ja nie bez powodu blokuję tu format BMP, to nieskompresowany potwór, plik waży prawie 2MB, zupełnie niepotrzebnie. Dozwolone typy to JPG, PNG i GIF. Skonwertowałam plik do PNG i dołączyłam, teraz to ledwie ~50KB i prawidłowa miniatura. I też mówiłem pani że to od pendrive to powiedziała, że nie podpinała żadnego, więc to pewnie od tege pana. Też tak podejrzewam, że "pomógł". Zadanie pomyślnie wykonane. Nic więcej szkodliwego nie widzę. Kolejne akcje: 1. Na wszelki wypadek usuń foldery Koszy z wszystkich dysków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files rd /s /q C:\RECYCLER /C rd /s /q D:\$RECYCLE.BIN /C rd /s /q D:\RECYCLER /C rd /s /q E:\RECYCLER /C Klik w Wykonaj skrypt. Po tym zastosuj Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do wykonania drobne aktualizacje: KLIK. Konkretnie z listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) . Odnośnik do komentarza
Suchy203 Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 (edytowane) Wstawiłeś nieprawidłowy załącznik. Oszukałeś rozszerzenie zmieniając w nazwie BMP na JPG (to nie konwertuje typu formatu), dlatego miniatura jest czarna. Ja nie bez powodu blokuję tu format BMP, to nieskompresowany potwór, plik waży prawie 2MB, zupełnie niepotrzebnie. Dozwolone typy to JPG, PNG i GIF. Skonwertowałam plik do PNG i dołączyłam, teraz to ledwie ~50KB i prawidłowa miniatura. Nie chciałem nic oszukiwać. Zrobiłem screena i zapisało jako BMP z ikonką IfranViev (potrzebny ten program jest?) i nie chciało właśnie dodać do posta więc zmieniłem typ na JPG ale dalej pokazywało BMP, więc w końcu zmieniłem w nazwie na JPG i wtedy pojawił się drugi ten sam plik tylko z rozszerzeniem JPG i wtedy mogłem go dodać. Widziałem czarną miniature ale nie wiedziałem, że to problem Java zaktualizowana. Mozilla będzie skasowana. Nowego skype pani nie chce. Po kliknięciu w pobieranie Adobe Flash Player trzeba wybrać system, ale tam nie ma XP więc nie wiem co zrobić. A po ściągnięciu Adobe Reader i w czasie instalacji wyskakuje 'nie znaleziono listy czynności' i instalka znika ;/ Mam jeszcze pytanie dotyczące ikonek. Nazwy są podkreślone na niebiesko, jak zmienić żeby były przeźroczyste ? Dziękuję i pozdrawiam. Ahh i teraz widzę, że normalnie sobie klikam na fixitpc.pl ale żadna inna strona nie działa Nieaktualne, zrestartowałem system i działa Edytowane 8 Maja 2012 przez Suchy203 Odnośnik do komentarza
picasso Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Zrobiłem screena i zapisało jako BMP z ikonką IfranViev (potrzebny ten program jest?) i nie chciało właśnie dodać do posta więc zmieniłem typ na JPG ale dalej pokazywało BMP, więc w końcu zmieniłem w nazwie na JPG i wtedy pojawił się drugi ten sam plik tylko z rozszerzeniem JPG i wtedy mogłem go dodać. Czyli: format pliku zmienił się w sposób pozorowany, tylko na zasadzie zmiany nazwy. Natomiast "potrzebność" IrfanView: nie mnie to oceniać, użytkownik zainstalował sobie program. Po kliknięciu w pobieranie Adobe Flash Player trzeba wybrać system, ale tam nie ma XP więc nie wiem co zrobić. 1. Nie rozumiem co widzisz. Strona otworzona w przeglądarce, w której ma być aktualizowany Adobe Flash: klik w "Pobierz" i od razu ściąga się plik, zaś po wybraniu alternatywnego linka "Czy używasz innego systemu operacyjnego lub innej przeglądarki?" pojawia się lista na której XP jak najbardziej jest pod pozycją "Windows 7 (32-bity)/Vista/XP/2008/2003". 2. Poza tym, w pierwszej kolejności to Ty masz sprawdzić czy Adobe Flash jest nieaktualny, bo log z OTL nie podaje precyzyjnie wersji. W przyklejonym jest strona, która pozwala w danej przeglądarce sprawdzić wersję. A po ściągnięciu Adobe Reader i w czasie instalacji wyskakuje 'nie znaleziono listy czynności' i instalka znika ;/ Na początek odinstaluj całkowicie stary Adobe Reader 8. Pobierz ponownie najnowszy instalator i ponów próbę. Mam jeszcze pytanie dotyczące ikonek. Nazwy są podkreślone na niebiesko, jak zmienić żeby były przeźroczyste? Z tematu: KLIK. Usuwanie tła etykiet ikon Pulpitu vs. Opcją dzięki której usuwa się tło ikon Pulpitu jest: Control Panel (Panel sterowania) >>> System >>> Advanced (Zaawansowane) >>> Performance (Wydajność) >>> Settings (Ustawienia) Zaznaczenie: Use drop shadows for icon labels... / Użyj cieni dla etykiet ikon... plus upewnienie się iż jest odznaczone: prawy klik na Pulpit >>> Właściwości >>> Pulpit >>> Dostosuj Pulpit >>> Sieć Web >>> Blokuj elementy pulpitu JEŚLI to nie działa mogą istnieć kolidujące restrykcje ActiveDesktop i naprawi to iconshadows.reg . Odnośnik do komentarza
Suchy203 Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 IrfanViev to ten ekspert musiał zainstalować, ale trzeba będzie usunąć ponieważ pani nie odtwarza filmików z komórki. Gdy Pani pisała posta to zrobiłem ten Adobe Reader (mój błąd, przepraszam za zamęt ) Adobe Flash zrobiony. Ikonki w porządku. Czyli wszystko gra. Pięknie dziękuję za poświęcony czas i za pomoc. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi