siedziałem na stronie ze słownikiem i raptem jakieś chińskie znaczki i każe sciagnac pakiet językowy. Wszystko pozamykałem. Ale zobaczcie, teraz co jakiś czas internet explorer wywala mi strony japońskie http://img517.imageshack.us/img517/104/ … unikat.jpg CO robić pomóżcie

– Dodane 08.06.2010 (Wt) 9:34 –

jeszcze taki zrzut z ekranu http://img96.imageshack.us/img96/5233/c … tronki.jpg na imagewshacka wrzucam bo wklejka mi coś nie działa. Dodam, że korzystam z mozilli a odpala sie internet explorer. Czy takie coś może mi namieszać w komputerze i dostać się do jakiś haseł czy coś, bo np w tym samym momencie logowałem się na te forum. Nie mógł przechwycić mojego hasła np?

thomson , nazwij proszę temat konkretnie, bez zbędnych pomocy i krzyków w nazwie. Inaczej wyciągnę konsekwencje. Przeczytaj ten temat.

viewtopic.php?f=16&t=394978

A może byś tak łaskawie dał np. log z OTL

jessi

log z OTL

http://www.wklejto.pl/69506

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

po restarcie komputera

http://www.wklejto.pl/69516

po skanie

http://www.wklejto.pl/69517

Jeżeli już jest wszystko ok to napiszcie. No i takie jeszcze pytanie czy takie coś mogło przechwycić mi hasło? dodam że od samego początku kazał mi zainstalować pakiet językowy a ja zawsze odmawiałem a później jak wywalał takie: http://img517.imageshack.us/img517/104/ … unikat.jpg komunikaty to też zawsze klikałem na “nie”. Czy to było jakieś włamanie czy po prostu jakiś syf ze strony?

W nowym logu nie widzę już nic podejrzanego.

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.

Na postawione pytania nie potrafię odpowiedzieć, bo nie znam tej infekcji. Po prostu tylko dałam do usuwania to wszystko, co do niczego nie pasowało.

jessi

dla pewności zrobiłem dzisiaj jeszcze jednego loga z OTL czy mógłby ktoś sprawdzić i upewnić mnie w przekonaniu, że już wszystko w porządku.

log:

http://www.wklejto.pl/69563

– Dodane 09.06.2010 (Śr) 13:44 –

extras:

http://www.wklejto.pl/69564

Log jest czysty.

Ale nie wiem, czy w komputerze jest czysto.

Chodzi o to, że chińskie infekcje są bardzo często związane z Rootkitami, a OTL nie potrafi dostrzec Rootkitów.

Do Rootkitów to potrzebne są logi z GMER

Przynajmniej ten na ustawieniu:

Bo log podstawowy trwa nawet kilka godzin, a ten powyższy “usługowy” trwa tylko ok. 1 minuty.

Przed uruchomieniem GMER trzeba zrobić najpierw to:

1. użyć >defogger

2. usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

jessi

znowu się pokazało to okienko. Przed chwilą… boże

– Dodane 09.06.2010 (Śr) 14:22 –

log z Gmer’a: dysk c zaznaczone tylko usługi:

http://www.wklejto.pl/69567

– Dodane 09.06.2010 (Śr) 14:47 –

wyłączyłem jakieś podejrzane procesy w menadżerze, włączyłem gmera.

log z tego:

http://www.wklejto.pl/69570

zajęło mu to jakieś 20 min (się zdziwiłem ze tak szybko). Tylko skończyłem ten scan odpaliłem Mozillę i znowu chińskie znaczki się odpalają i proces x… cośtam się pojawia wyleczcie mnie

Rootkita nie masz.

Skoro znów to wyskoczyło, to daj log z OTL - zobaczymy, czy nie powróciły te same pliki.

EDIT:

W tym podstawowym logu GMER - też nie widzę Rootkitów.

jessi

przeskanuj mbam http://www.malwarebytes.org/

otl:

http://www.wklejto.pl/69584

extras:

http://www.wklejto.pl/69585

Ciekawe, skąd nastąpiła reinfekcja?

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

raport usuwania:

http://www.wklejto.pl/69605

otl:

http://www.wklejto.pl/69606

extras:

http://www.wklejto.pl/69607

Jak ochronić się mam przed ponowną taką infekcją, czemu ona się nawraca? a Tak się zastanawiam, może jest coś na karcie pamięci którą wkładałem do kompa… ale już pokazywałem loga jak była włożona to był ten log: http://www.wklejto.pl/69563

W nowym logu tego już nie ma.

Ciekawe, czy znów powróci?

Widać, że po podpięciu pena log był czysty, więc chyba to nie z tego pena się infekuje.

jessi

a jak można przed tym się zabezpieczyć bo teraz kurczę się boję z internetu korzystać, dodam, że nie chodzę po jakiś porn stronach itp. podczas tej infekcji sprawdzałem słówka na megasłowniku…

– Dodane 09.06.2010 (Śr) 20:09 –

a jaki to jest typ wirusa w ogóle? To jest jakiś rozsyłany automatycznie, przypadkowo? czy ktoś mi łazi po kompie, albo celowo próbuje się włamać w jakiś sposób?

– Dodane 10.06.2010 (Cz) 10:02 –

dzisiaj włączyłem komputer, mozillę i znowu od razu wyskoczył IE i pojawił się proces xhguge-1.exe i RichVideo.exe w menadżerze…

log z OTL:

http://www.wklejto.pl/69662

extras:

http://www.wklejto.pl/69663

widzicie dla mnie jeszcze jakiś ratunek oprócz formata?

– Dodane 10.06.2010 (Cz) 10:04 –

kolejny proces się pojawił xhsb-1.exe

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

przed chwilą przewalałem ręcznie folder po folderze i ręcznie przez shift+del usunąłem te pliki z folderu system32, więc nie wiem czy jest sens teraz włączać otl czy czekać aż się odnowią (bo zapewne się odnowią)

Dasz po prostu nowy log, jak się pojawią.

A teraz, dopóki ich nie ma, to w folderze C:\WINDOWS\system32\ utwórz dwa foldery , o nazwach takich, jak te usuwane pliki.

Ten trick utrudni powrót tych plików, bo System nie pozwala na utworzenie innego obiektu o nazwie takiej samej, jak już istniejący.

jessi