wolsky Opublikowano 30 Maja 2012 Zgłoś Udostępnij Opublikowano 30 Maja 2012 Witam, Proszę o weryfikację logów OTL. MBAM wykrył trojana w svchost.exe. Wykrył również coś takiego: Zainfekowane pliki rejestru:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. (Niestety nie posiadam jeszcze logów z GMER) Pozdrawiam Extras.Txt mbam-log-2012-05-30 (10-37-26).txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 30 Maja 2012 Zgłoś Udostępnij Opublikowano 30 Maja 2012 W logach nie notuję infekcji i wątpie by Gmer coś zmienił więc moim zdaniem jest zbędny. Wykrycia MBAM nieistotne, ten svchost był w lokalizacji tymczasowej Temp i to należy usunąć zaś pozostałe wyniki to nie jest nic infekcyjnego. Po prostu MBAM notuje wyłączone funkcje w Centrum zabezpieczeń i dlatego tak pokazuje wynik. A wyłączyć to sobie może to każdy więc zakładam że sam to zrobiłeś. Jedyne co tutaj trochę razi to ten powtarzający się błąd w dzienniku zdarzeń: Error - 2012-05-30 04:29:58 | Computer Name = USER-A0241F2126 | Source = Service Control Manager | ID = 7026 Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: i8042prt To sugeruje wyłączenie w BIOS złącza PS/2 płyty głównej. Usługę można spokojnie wyłączyć by nie próbowała się ładować. Wklej więc do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt] "Start"=dword:00000004 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik ...i zaktualizuj Jave + Mozille do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły: KLIK Odnośnik do komentarza
wolsky Opublikowano 30 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2012 Dzięki za pomoc. Pytanie skąd svhost znalazl sie w TEMP-ie? Czy to faktycznie mogl był jakis wirus? Czy system może sam umiescic tam ten plik z jakiegos powodu? Odnośnik do komentarza
Landuss Opublikowano 30 Maja 2012 Zgłoś Udostępnij Opublikowano 30 Maja 2012 Systemu bym w to nie mieszał zaś plik był bardzo podejrzany i wyglądał na trojana (co zresztą sugerował MBAM). Na przyszłość wszystkie lokalizacje tymczasowe możesz raz na jakiś czas opróżniać za pomocą TFC - Temp File Cleaner Odnośnik do komentarza
Rekomendowane odpowiedzi