jar Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Witam ...od kilku dni moj Nod co cztery minuty mniej wiecej pokazuje ze wykryl i pzreniosl do kwarantanny wirus o nazwie Win64/sirefef.AE....probowalem juz wszystkiego nawet Hirensa ..i nic ..dalej to samo ..oprocz tego probuje chyba laczyc sie z jakimis dziwnymi adresami ..IP np z Niemiec z Rosji ... prosze o pomoc Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Na początek wykonaj jeszcze jeden log na dodatkowym warunku - Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: C:\Windows\assembly\GAC_64\*.* C:\Windows\assembly\GAC_32\*.* HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klik w Skanuj i przedstaw raport. Odnośnik do komentarza
jar Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 OTL logfile created on: 2012-06-09 18:04:12 - Run 2 OTL by OldTimer - Version 3.2.48.0 Folder = C:\Users\Jarek\Desktop 64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 8.0.7601.17514) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 3,90 Gb Total Physical Memory | 2,06 Gb Available Physical Memory | 52,75% Memory free 7,80 Gb Paging File | 5,96 Gb Available in Paging File | 76,42% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 52,26 Gb Total Space | 24,12 Gb Free Space | 46,14% Space Free | Partition Type: NTFS Drive E: | 96,70 Gb Total Space | 93,68 Gb Free Space | 96,88% Space Free | Partition Type: NTFS Computer Name: JAREK-PC | User Name: Jarek | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Custom Scans ========== < C:\Windows\assembly\GAC_64\*.* > < C:\Windows\assembly\GAC_32\*.* > < HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s > < HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s > [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] "" = %systemroot%\SysWow64\wbem\wbemess.dll < HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s > "" = MruPidlList [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012-01-04 09:59:38 | 012,872,704 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment < MD5 for: SERVICES.EXE > [2009-07-14 02:39:37 | 000,328,704 | ---- | M] (Microsoft Corporation) MD5=014A9CB92514E27C0107614DF764BC06 -- C:\Windows\SysNative\services.exe [2009-07-14 02:39:37 | 000,328,704 | ---- | M] (Microsoft Corporation) MD5=24ACB7E5BE595468E3B9AA488B9B4FCB -- C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe < End of report > wg zyczenia Odnośnik do komentarza
Landuss Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Na poziomie rejestru wszystko wygląda w porządku, services.exe nie wygląda na podstawiony, choć suma kontrolna jest zmieniona więc w razie czego wykonasz weryfikację integralności plików przez sfc oraz usuniesz obiekty infekcji. 1. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found O4 - HKCU..\Run: [pirtsc] rundll32.exe "C:\Users\Jarek\AppData\Roaming\pirtsc.dll",SteamGameServerUtils File not found :Files C:\Windows\Installer\{871840cb-bc96-cd5e-104a-46e4c107d6c6} C:\Users\Jarek\AppData\Local\{871840cb-bc96-cd5e-104a-46e4c107d6c6} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Prezentujesz log z sfc oraz nowy log z OTL ze skanowania, ale już z wszystkimi opcjami ustawionymi na "Użyj filtrowania" + "Pliki młodsze niż 30 dni" Odnośnik do komentarza
jar Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Wykonalem komende sfc/scannow ...po zakonczeniu komunikat ze naprawiono pliki ....astepnej komendy nie wykonalem poprawnie i chyba nie pzrefiltrowalem loga ....urucho milem OTL..wpisalem tekst ..wykonalem skrypt...po zakonczeniu Nod pokazal ze ze znalazl wirusa C:\_OTL\MovedFiles\06092012_185951\C_Windows\installer\{871840cb-bc96-cd5e-104a-46e4c107d6c6}\U\80000000.@.........zresetowalem i hurrrrrrrrrrrrra nic sie nie pokzuje ..nie ma zadnego komunikatu Noda ...wykonalem nastepny OTL wg zalecen ... OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Sfc ci daruję bo wygląda, że wszystko zostało usunięte poprawnie. Można przejść do czynności finalnych. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7289BE1E-DD22-4B47-856C-5E53199BBCB1}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL oraz odinstaluj przestarzały program Spybot Search & Destroy 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj obowiązkowo IE i Jave do najnowszych wersji - KLIK 5. Zmień hasła logowania do serwisów w sieci, tak na wszelki wypadek. Odnośnik do komentarza
jar Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 dziekiiiiiiiiiiiiiiiiiiiiii...portal pierwsza klasa ....a TY jestes wielkiiiiiiiiiiiiii Odnośnik do komentarza
Rekomendowane odpowiedzi