elo82
(Elakrupa)
15 Kwiecień 2010 16:29
#1
Witam
Prawie przy każdym otwarciu Moziili Avast pokazuje, że znalazł w folderze TEMP konia trojańskiego, potrafi to robić kilkanaście razy w ciągu godziny. Komputer był skanowany innym antywirusem i nic nie znaleziono. Czy Avast zwariował czy cos tam faktycznie jest?? Proszę o sprawdzenie loga http://wklejto.pl/64000
Leon1
(Leon$)
15 Kwiecień 2010 17:45
#2
Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.
elo82
(Elakrupa)
15 Kwiecień 2010 18:55
#3
Przepraszam za niewiedzę, już tworzę plik i wklejam
system
(system)
15 Kwiecień 2010 19:00
#4
oczywiście daj też log z Gmera
elo82
(Elakrupa)
15 Kwiecień 2010 20:07
#5
Log z OTL http://wklejto.pl/64028 Gmer niestety zawiesił mi całkiem kompa, spróbuję jeszcze raz
deFco247
(deFco247)
15 Kwiecień 2010 20:26
#6
Powód zawieszania się GMER-a jest jasny jak słońce:
Przed uruchomieniem GMER-a należy odinstalować wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Poza tym antywirusa też przydało by się odinstalować, gdyż avast jest już w wersji piątej.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL IE - HKCU…\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL File not found [2008-11-06 14:18:23 | 000,000,523 | ---- | M] () – C:\Documents and Settings\dada\Dane aplikacji\Mozilla\Firefox\Profiles\2cbyhzg0.default\searchplugins\daemon-search.xml [2010-04-14 19:07:06 | 000,001,196 | ---- | M] () – C:\Documents and Settings\dada\Dane aplikacji\Mozilla\Firefox\Profiles\2cbyhzg0.default\searchplugins\winamp-search.xml FF - prefs.js…browser.search.defaultenginename: “Winamp Search” FF - prefs.js…browser.search.defaulturl: “http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query= ” FF - prefs.js…browser.search.selectedEngine: “Winamp Search” FF - prefs.js…keyword.URL: “http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query= ” O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKLM…\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found MsConfig - StartUpReg: DAEMON Tools - hkey= - key= - C:\Program Files\DAEMON Tools\daemon.exe File not found MsConfig - StartUpReg: HP Component Manager - hkey= - key= - C:\Program Files\HP\hpcoretech\hpcmpmgr.exe File not found MsConfig - StartUpReg: SpybotSD TeaTimer - hkey= - key= - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe File not found MsConfig - StartUpReg: WinampAgent - hkey= - key= - C:\Program Files\Winamp\winampa.exe File not found MsConfig - StartUpReg: Wru - hkey= - key= - C:\Program Files\Wru\Wru.exe File not found :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{568c305b-1fce-11df-a5ab-0000cad4a7c3}] :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
elo82
(Elakrupa)
15 Kwiecień 2010 20:47
#7
Log po czyszczeniu http://wklejto.pl/64036
– Dodane 15.04.2010 (Cz) 23:20 –
i drugi http://wklejto.pl/64042
– Dodane 16.04.2010 (Pt) 13:10 –
ściągnięcie nowej wersji Avast niewiele pomogło, teraz nie muszę tylko klikać : przenieś do kwarantanny, bo sam to robi… a koniki ( z końcówką jmd.old pisane raz z dużych a raz z małych liter) dalej wyskakują przy każdym otwieranym oknie w przeglądarce
– Dodane 16.04.2010 (Pt) 13:16 –
poprawka: cokolwiek próbuję zrobić to to świństwo się pojawia Win32:Delf-NHU [trj] ,
moze zaznaczyć w avaście jako fałszywy alarm ?
deFco247
(deFco247)
16 Kwiecień 2010 11:44
#8
Najlepiej wyłącz avasta na czas operowania logami, gdyż może to właśnie przeszkadzać.
Podaj też dokładną informację w jakiej dokładnie lokalizacji wykrywane są infekcje.
W samym logu już nic nie widać, czepiałbym się jedynie trzymania starych wersji oprogramowania na dysku:
[2009-09-07 14:00:51 | 007,662,520 | ---- | C] (MooSoft Development Inc ) – C:\Program Files\cleaner6_free_nodb.exe [2009-01-19 15:00:09 | 001,297,460 | ---- | C] ( ) – C:\Program Files\napiprojekt1.0.6.2_[www.instalki.pl].exe [2009-01-19 12:17:34 | 006,696,912 | ---- | C] (Mozilla) – C:\Program Files\Firefox Setup 2.0.0.20.exe [2009-01-15 18:44:01 | 072,528,536 | ---- | C] (Sony Creative Software, Inc.) – C:\Program Files\musicstudio70a-trial_enu(2).exe [2009-01-14 14:39:27 | 056,011,264 | ---- | C] (AVG Technologies) – C:\Program Files\avg_free_stf_eu_8_176a1400.exe [2009-01-09 16:56:45 | 009,876,768 | ---- | C] (ESTsoft Corp. ) – C:\Program Files\ALSong.exe [2009-01-04 20:04:01 | 005,210,811 | ---- | C] (IPS Przedsiębiorstwo Informatyczne ) – C:\Program Files\pity2008ngsetup.exe [2008-12-23 00:05:48 | 010,600,544 | ---- | C] (Alcohol Soft) – C:\Program Files\Alcohol120_trial_1.9.8.7117(dobreprogramy.pl).exe [2008-12-22 22:03:55 | 006,556,156 | ---- | C] ( ) – C:\Program Files\realalt184.exe [2008-12-22 19:45:40 | 015,781,441 | ---- | C] ( ) – C:\Program Files\klcodec442f_[www.programosy.pl].exe [2008-12-22 19:12:00 | 024,659,576 | ---- | C] (MarBit ) – C:\Program Files\ALLPlayer_FULL(dobreprogramy.pl).exe [2008-09-06 12:26:19 | 006,692,080 | ---- | C] (Mozilla) – C:\Program Files\Firefox Setup 2.0.0.16.exe …
elo82
(Elakrupa)
16 Kwiecień 2010 16:04
#9
spisuje z raportu avasta:
nazwa JMD.OLD
lokalizacja oryginalna: C\DOCUME~1\dada\USTAWI~1\Temp
cały czas pojawia się ta sama data w sekcji: ostatnie zmiany czyli 2009-02-09 09:22:06 , czyli o tej godzinie sie zainstalował ??
– Dodane 16.04.2010 (Pt) 18:06 –
zanim zdąrzę kliknąć ikonę przeglądarki avast 5 razy wyskakuję z info, ze przeniósł trojana do kwarantanny
deFco247
(deFco247)
16 Kwiecień 2010 16:10
#10
Zastosuj TFC .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport po usuwaniu.
elo82
(Elakrupa)
16 Kwiecień 2010 16:10
#11
normalnie juz nie mogę… mozilla też sie zaczyna zawieszać
– Dodane 16.04.2010 (Pt) 21:05 –
log po skanowaniu przed usuwaniem zagrożeń http://www.wklejto.pl/64122
i po http://www.wklejto.pl/64123