elo82
15 Kwiecień 2010 16:29
#1
Witam
Prawie przy każdym otwarciu Moziili Avast pokazuje, że znalazł w folderze TEMP konia trojańskiego, potrafi to robić kilkanaście razy w ciągu godziny. Komputer był skanowany innym antywirusem i nic nie znaleziono. Czy Avast zwariował czy cos tam faktycznie jest?? Proszę o sprawdzenie loga http://wklejto.pl/64000
Leon1
15 Kwiecień 2010 17:45
#2
Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.
elo82
15 Kwiecień 2010 18:55
#3
Przepraszam za niewiedzę, już tworzę plik i wklejam
system
15 Kwiecień 2010 19:00
#4
oczywiście daj też log z Gmera
elo82
15 Kwiecień 2010 20:07
#5
Log z OTL http://wklejto.pl/64028 Gmer niestety zawiesił mi całkiem kompa, spróbuję jeszcze raz
deFco247
15 Kwiecień 2010 20:26
#6
Powód zawieszania się GMER-a jest jasny jak słońce:
Przed uruchomieniem GMER-a należy odinstalować wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst Uninstall (jeśli będzie zszarzałe, to OK).
Poza tym antywirusa też przydało by się odinstalować, gdyż avast jest już w wersji piątej.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL IE - HKCU…\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL File not found [2008-11-06 14:18:23 | 000,000,523 | ---- | M] () – C:\Documents and Settings\dada\Dane aplikacji\Mozilla\Firefox\Profiles\2cbyhzg0.default\searchplugins\daemon-search.xml [2010-04-14 19:07:06 | 000,001,196 | ---- | M] () – C:\Documents and Settings\dada\Dane aplikacji\Mozilla\Firefox\Profiles\2cbyhzg0.default\searchplugins\winamp-search.xml FF - prefs.js…browser.search.defaultenginename: “Winamp Search” FF - prefs.js…browser.search.defaulturl: “http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query= ” FF - prefs.js…browser.search.selectedEngine: “Winamp Search” FF - prefs.js…keyword.URL: “http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query= ” O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKLM…\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found MsConfig - StartUpReg: DAEMON Tools - hkey= - key= - C:\Program Files\DAEMON Tools\daemon.exe File not found MsConfig - StartUpReg: HP Component Manager - hkey= - key= - C:\Program Files\HP\hpcoretech\hpcmpmgr.exe File not found MsConfig - StartUpReg: SpybotSD TeaTimer - hkey= - key= - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe File not found MsConfig - StartUpReg: WinampAgent - hkey= - key= - C:\Program Files\Winamp\winampa.exe File not found MsConfig - StartUpReg: Wru - hkey= - key= - C:\Program Files\Wru\Wru.exe File not found :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{568c305b-1fce-11df-a5ab-0000cad4a7c3}] :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
elo82
15 Kwiecień 2010 20:47
#7
Log po czyszczeniu http://wklejto.pl/64036
– Dodane 15.04.2010 (Cz) 23:20 –
i drugi http://wklejto.pl/64042
– Dodane 16.04.2010 (Pt) 13:10 –
ściągnięcie nowej wersji Avast niewiele pomogło, teraz nie muszę tylko klikać : przenieś do kwarantanny, bo sam to robi… a koniki ( z końcówką jmd.old pisane raz z dużych a raz z małych liter) dalej wyskakują przy każdym otwieranym oknie w przeglądarce
– Dodane 16.04.2010 (Pt) 13:16 –
poprawka: cokolwiek próbuję zrobić to to świństwo się pojawia Win32:Delf-NHU [trj] ,
moze zaznaczyć w avaście jako fałszywy alarm ?
deFco247
16 Kwiecień 2010 11:44
#8
Najlepiej wyłącz avasta na czas operowania logami, gdyż może to właśnie przeszkadzać.
Podaj też dokładną informację w jakiej dokładnie lokalizacji wykrywane są infekcje.
W samym logu już nic nie widać, czepiałbym się jedynie trzymania starych wersji oprogramowania na dysku:
[2009-09-07 14:00:51 | 007,662,520 | ---- | C] (MooSoft Development Inc ) – C:\Program Files\cleaner6_free_nodb.exe [2009-01-19 15:00:09 | 001,297,460 | ---- | C] ( ) – C:\Program Files\napiprojekt1.0.6.2_[www.instalki.pl].exe [2009-01-19 12:17:34 | 006,696,912 | ---- | C] (Mozilla) – C:\Program Files\Firefox Setup 2.0.0.20.exe [2009-01-15 18:44:01 | 072,528,536 | ---- | C] (Sony Creative Software, Inc.) – C:\Program Files\musicstudio70a-trial_enu(2).exe [2009-01-14 14:39:27 | 056,011,264 | ---- | C] (AVG Technologies) – C:\Program Files\avg_free_stf_eu_8_176a1400.exe [2009-01-09 16:56:45 | 009,876,768 | ---- | C] (ESTsoft Corp. ) – C:\Program Files\ALSong.exe [2009-01-04 20:04:01 | 005,210,811 | ---- | C] (IPS Przedsiębiorstwo Informatyczne ) – C:\Program Files\pity2008ngsetup.exe [2008-12-23 00:05:48 | 010,600,544 | ---- | C] (Alcohol Soft) – C:\Program Files\Alcohol120_trial_1.9.8.7117(dobreprogramy.pl).exe [2008-12-22 22:03:55 | 006,556,156 | ---- | C] ( ) – C:\Program Files\realalt184.exe [2008-12-22 19:45:40 | 015,781,441 | ---- | C] ( ) – C:\Program Files\klcodec442f_[www.programosy.pl].exe [2008-12-22 19:12:00 | 024,659,576 | ---- | C] (MarBit ) – C:\Program Files\ALLPlayer_FULL(dobreprogramy.pl).exe [2008-09-06 12:26:19 | 006,692,080 | ---- | C] (Mozilla) – C:\Program Files\Firefox Setup 2.0.0.16.exe …
elo82
16 Kwiecień 2010 16:04
#9
spisuje z raportu avasta:
nazwa JMD.OLD
lokalizacja oryginalna: C\DOCUME~1\dada\USTAWI~1\Temp
cały czas pojawia się ta sama data w sekcji: ostatnie zmiany czyli 2009-02-09 09:22:06 , czyli o tej godzinie sie zainstalował ??
– Dodane 16.04.2010 (Pt) 18:06 –
zanim zdąrzę kliknąć ikonę przeglądarki avast 5 razy wyskakuję z info, ze przeniósł trojana do kwarantanny
deFco247
16 Kwiecień 2010 16:10
#10
Zastosuj TFC
Wykonaj pełny skan Malwarebytes’ Anti-Malware
Gdy będą wirusy pokaż raport po usuwaniu.
elo82
16 Kwiecień 2010 16:10
#11
normalnie juz nie mogę…
– Dodane 16.04.2010 (Pt) 21:05 –
log po skanowaniu przed usuwaniem zagrożeń http://www.wklejto.pl/64122
i po http://www.wklejto.pl/64123
