system
18 Grudzień 2009 23:02
#1
Komp mi spowolnił.I zaczeła mi sie w treju koło avasta wyświetlać koperta skanowanie poczty avast .Nigdy wcześniej tak nie było?I co jakiś czas avast wykrywa potencjalna infekcje
Podam mój log
http://www.wklej.org/id/240146/
Proszę o pomoc.Pozdrawiam Tomek.
Gutek
18 Grudzień 2009 23:48
#2
Używając przycisku
Pozdrawiam Gutek
Pokaż log z: OTL
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan .
system
19 Grudzień 2009 00:50
#3
jessica
19 Grudzień 2009 10:19
#4
Trzeba usuwać przyczynę, a nie objaw!
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O4 - HKLM…\Run: [sysgif32] C:\WINDOWS\Temp~TM425.tmp () O4 - Startup: C:\Documents and Settings\Tomek\Menu Start\Programy\Autostart\siszyd32.exe () O33 - MountPoints2{ab83440e-5bbc-11dd-afd7-000fea5c9449}\Shell\AutoRun\command - “” = 22wcb21o.exe O33 - MountPoints2{ab83440e-5bbc-11dd-afd7-000fea5c9449}\Shell\explore\Command - “” = 22wcb21o.exe O33 - MountPoints2{ab83440e-5bbc-11dd-afd7-000fea5c9449}\Shell\open\Command - “” = 22wcb21o.exe O33 - MountPoints2{ca59a2a2-9207-11dd-b06b-000fea5c9449}\Shell\AutoRun\command - “” = F:\22wcb21o.exe – File not found O33 - MountPoints2{ca59a2a2-9207-11dd-b06b-000fea5c9449}\Shell\explore\Command - “” = F:\22wcb21o.exe – File not found O33 - MountPoints2{ca59a2a2-9207-11dd-b06b-000fea5c9449}\Shell\open\Command - “” = F:\22wcb21o.exe – File not found [2009-12-19 01:34:00 | 00,734,208 | ---- | M] () – C:\WINDOWS\System32\drivers\rpbce.sys [2009-12-19 01:23:25 | 00,054,016 | ---- | M] () – C:\WINDOWS\System32\drivers\mrlbq.sys :Services rpbce mrlbq :Files C:\WINDOWS\System32\drivers\rpbce.sys C:\WINDOWS\System32\drivers\mrlbq.sys :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Najprawdopodobniej nie uda się w ten sposób usunąć dwóch Rootkitów, ale trzeba spróbować.
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.tattoodle.com?tid={D4FE85F7-077F-4f08-B022-7BAF6FF38652} FF - prefs.js…browser.search.defaultenginename: “Fast Browser Search” FF - prefs.js…browser.search.defaultthis.engineName: “Fast Browser Search” FF - prefs.js…browser.search.defaulturl: “http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q= ” FF - prefs.js…browser.search.order.1: “Fast Browser Search” FF - prefs.js…keyword.URL: “http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={3164E83C-0B5E-4AF4-D7A1-1E854CBA2B18}&q= ” [2009-12-08 21:37:40 | 00,000,000 | —D | M] (Fast Browser Search (My Tattoons)) – C:\Documents and Settings\Tomek\Dane aplikacji\Mozilla\Firefox\Profiles\w78iuzje.default\extensions{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB} [2009-12-09 21:11:37 | 00,005,407 | ---- | M] () – C:\Documents and Settings\Tomek\Dane aplikacji\Mozilla\Firefox\Profiles\w78iuzje.default\searchplugins\fast-browser-search.xml O2 - BHO: (Search Assistant) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll (MTWB) O2 - BHO: (Fast Browser Search Toolbar Helper) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O3 - HKLM…\Toolbar: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O4 - HKLM…\Run: [FBSearch] C:\Program Files\Search Guard Plus\SearchGuardPlus.exe () [2009-12-08 21:38:10 | 00,000,000 | —D | C] – C:\Program Files\Search Guard PlusU [2009-12-08 21:38:10 | 00,000,000 | —D | C] – C:\Program Files\Search Guard Plus [2009-12-08 21:38:07 | 00,000,000 | —D | C] – C:\Program Files\SGPSA [2009-12-08 21:37:43 | 00,000,000 | —D | C] – C:\Program Files\Fast Browser Search
Czy sam to sobie instalowałeś?
Jeśli nie, to możesz je dokleić do Scriptu usuwającego pomiędzy linijką:
:OTL
a linijką:
O4 - HKLM…\Run: [sysgif32] C:\WINDOWS\Temp~TM425.tmp ()
jessi
system
19 Grudzień 2009 11:56
#5
Zrobiłem to co mi powiedziałes i po restarcie pokazało mi :
http://wklej.org/id/240470/
– Dodane 19.12.2009 (So) 12:57 –
A to log po tej operacji:
http://www.wklej.org/id/240475/
jessica
19 Grudzień 2009 11:59
#6
Czekam na nowu log, bo jednak chyba Rootkity nie zostały usunięte…
EDIT:
A, jest nowy log - zaraz go przejrzę i wyedytuję swój post.
EDIT II:
Ściągnij -->Avenger
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\rpbce.sys
Drivers to delete:
rpbce
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Oraz nowy log z OTL
jessi
system
19 Grudzień 2009 12:02
#7
proszę o pomoc koledzy.
– Dodane 19.12.2009 (So) 13:13 –
port z avangera :Logfile of The Avenger Version 2.0, © by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File “C:\WINDOWS\System32\drivers\rpbce.sys” deleted successfully.
Driver “rpbce” deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
– Dodane 19.12.2009 (So) 13:18 –
A to nowy log jessi :
http://www.wklej.org/id/240494/
jessica
19 Grudzień 2009 12:26
#8
Wygląda na to, że jest OK.
Choć nie wiem, co się stało z drugim Rootkitem: OTL go nie usuwał, bo go już nie było. Sam wyparował?
W OTL kliknij na przycisk “CleanUp” - to go usunie, razem z jego Kwarantanną…
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
system
19 Grudzień 2009 12:37
#9
Myślę że jest już wszystko ok.Okienko w treyu sie juz nie pojawia i komp przyspieszył :)i nie wyskakują już infekcje
– Dodane 19.12.2009 (So) 13:38 –
Oczywiście zrobiłem tak jak napisałeś/łaś.Dziękuję.
Bardzo Ci dziękuję i Pozdrawiam serdecznie. Tomek