adam0881 Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Witam, Co jakiś czas antywir ESET NOD32 wykrywa mi wirusa, poddaje kwarantannie lub usunięciu, ale to nie pomaga niestety. Do tego Malwarebytes' Anti-Malware również blokuje co jakiś czas IP stron tzw. podejżanych. Dawniej przed wirusem problem ten nie istniał. Zdarza się że komputer rownież nieoczekiwania wyłancza się sam i pojawia się komunikat że system odzyskał sprawność po poważnym błędzie. Czasem to samo się dzieje przy standardowym włączeniu systemu. Prawdopodobnie przyczyną jest ingerencja w rejestr systemu. http://wklej.org/id/782384/ log z Gmera http://wklej.org/id/782407/ log z OTL http://wklej.org/id/782409/ log EXTRAS z OTL Na innym forum również sugerują " 10:56:42 Adamm DETECTION C:\Documents and Settings\Adamm\Ustawienia lokalne\Dane aplikacji\{f2c11641-0e2f-892e-2dd8-80b110a58c73}\U\80000000.@ Trojan.Sirefef DENY " pozdrawiam Adam Odnośnik do komentarza
Landuss Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Wykonaj raport dodatkowy - Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
adam0881 Opublikowano 1 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2012 raport http://wklej.org/id/782417/ Odnośnik do komentarza
Landuss Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\Adamm\Dane aplikacji\x3xxbk2gvwzow1rpaedgzudktjhpummc2 C:\Documents and Settings\Adamm\Ustawienia lokalne\Dane aplikacji\{f2c11641-0e2f-892e-2dd8-80b110a58c73} netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. 3. Pokazujesz nowe logi z OTL, z System Look oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
adam0881 Opublikowano 1 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Wykonalem, Nastepujace logi : log z FSS http://wklej.org/id/782654/ OTL http://wklej.org/id/782655/ OTL EXTRAS http://wklej.org/id/782656/ pozdrawiam Adam, Odnośnik do komentarza
Landuss Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Jeszcze z SystemLook nie dałeś loga. Odnośnik do komentarza
adam0881 Opublikowano 1 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Niestety z SystemLook nie moge zamieścic Loga bo pojawia mi sie komunikat że wymagany jest w oknie skrypt do wykonania, bez wklejenia skrypu nie chce mi wygenerowac zadnego LOGa, Odnośnik do komentarza
Landuss Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 To przecież oczywiste. Podawałem ci skrypt do niego na początku kilka postów wyżej i tak samo masz zrobić. SystemLook to nie jest program, który sam robi loga, trzeba go poinstruować co ma konkretnie pokazać. Odnośnik do komentarza
adam0881 Opublikowano 1 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Log z SystemLook http://wklej.org/id/782668/ Faktycznie nie pomyslalem o tym, że to program gdzie zapewne szukamy, skanujemy poszczegolnych wpisów w rejestrze, pozdrawiam Odnośnik do komentarza
Landuss Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Jest w porządku, możesz przejść do czynności finalnych: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: netsh winsock reset 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj do najnowszych wersji wymienione programy: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
adam0881 Opublikowano 1 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Zaktualizowalem Jave oraz Adobe Reader, zaraz po starcie systemu pojawia się taki komunikat http://www.fotosik.p...2fc4abf131.html niestety nie znalazlem jaki program jest za to odpowiedzialny by bym wyłączył aby nie probował się uruchamiać na starcie. Ad 4. Sugerujesz że miałem jakiegoś key loggera lub jakieś inne szpiegostwo ?, Odnośnik do komentarza
Landuss Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Fakt jest tu jeszcze jakiś pusty zapis, który chce sie uruchamiać (nie zauważyłem wcześniej w logu) Wciśnij klawisz z flagą Windows + R wklep regedit i wejdx do klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run i usuń wartość pcuibr Ad 4. Sugerujesz że miałem jakiegoś key loggera lub jakieś inne szpiegostwo ?, Zawsze przy infekcji ZeroAccess zalecamy zmianę haseł. TO infekcja z najwyższej półki i nigdy nic nie wiadomo. Odnośnik do komentarza
Rekomendowane odpowiedzi