Logi >> profilaktyka po zwiechu netu i mychy

marcos_777 · 5 Maj 2010 18:13

Witam,

dzisiaj na kompie córki z Vistą Home (od ok. godz.12:20) niespodziewanie przestała działać myszka, ale tylko na otwartych oknach internetowych,

a na internecie (FF) nie można było kompletnie nic zrobić, totalna blokada. Nie pomagały resety.

Jak wróciłem z pracy (około 18-ej), zastartowałem jej system z “Ostatnią dobrą konfiguracją”, zrobiłem ATF, CCleaner, scan SpyRemover (czysto),

MalwareBytes AM (opcja: szybki scan >> czysto). I na razie wszystko jest ok.

Proszę o kontrolę logów, czy jakieś świństwo się nie przyczaiło.

log OTL.Extras: http://wklej.org/id/328709/txt/
log OTL.txt: http://wklej.org/id/328737/txt/

Pozdrawiam,

jessica · 5 Maj 2010 19:29

Wygląda na to, że jest czysto.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL [2010-05-05 17:53:20 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TempkU1648.html [2010-05-05 17:53:20 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\TempLd1648.html [2010-05-05 13:04:54 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TempVM1328.html [2010-05-05 13:04:54 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\TempHi1328.html [2010-05-05 08:00:58 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TempEdS744.html [2010-05-03 21:56:39 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\Tempbq3372.html [2010-05-03 08:31:40 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TempLd1432.html [2010-05-03 08:31:40 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\TempDU1432.html [2010-05-01 09:12:44 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\Tempub1720.html [2010-05-01 09:12:44 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\Temphy1720.html [2010-04-30 09:14:56 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TempLm1544.html [2010-04-30 09:14:56 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\Temphz1544.html [2010-04-29 06:56:07 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\Temple1104.html [2010-04-29 06:56:07 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\Tempsi1104.html [2010-04-28 22:12:28 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\Temppr3884.html [2010-04-28 22:12:28 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\Tempxv3884.html [2010-04-28 10:25:27 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\Tempqh1248.html [2010-04-28 10:25:27 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\TemphS1248.html [2010-04-25 17:33:40 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TemptS1820.html [2010-04-25 17:33:40 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\TempCy1820.html [2010-04-25 10:32:49 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TempZpR312.html [2010-04-25 10:32:49 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\TempVHT312.html [2010-04-24 16:19:34 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TempMM2128.html [2010-04-24 16:19:34 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\Tempoe2128.html [2010-04-24 15:44:44 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TempQj2468.html [2010-04-24 15:44:44 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\TempiE2468.html [2010-04-24 09:11:35 | 000,000,377 | ---- | C] () – C:\Users\user\AppData\Roaming\YouChoob.xml [2010-04-24 07:54:36 | 000,002,432 | ---- | C] () – C:\Users\user\AppData\Local\TempTO1536.html [2010-04-24 07:54:36 | 000,002,089 | ---- | C] () – C:\Users\user\AppData\Local\TempBz1536.html [2010-04-07 01:41:04 | 000,380,887 | R— | M] () – C:\Windows\System32\drivers\etc\hosts.20100407-190953.backup [2010-04-07 01:41:03 | 000,380,918 | R— | M] () – C:\Windows\System32\drivers\etc\hosts.20100407-014103.backup [2010-04-07 01:41:02 | 000,380,945 | R— | M] () – C:\Windows\System32\drivers\etc\hosts.20100407-014102.backup [2010-04-07 01:41:00 | 000,380,980 | R— | M] () – C:\Windows\System32\drivers\etc\hosts.20100407-014101.backup :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix.

Logu nie musisz już dawać.

jessi

marcos_777 · 5 Maj 2010 20:36

Skrypt OTL wykonałem.

Ale pokusiłem się też na scan ComboFix.

Log CF: http://wklej.org/id/328870/txt/

jessica · 5 Maj 2010 20:42

To prawdopodobnie procesy któregoś z Twoich programów, ale możesz dać log z GMER

jessi

marcos_777 · 5 Maj 2010 20:52

Już się robi pełne skanowanie Gmera.

Od razu wyskoczyło, że odnalazł prawdopodobne działanie rootkit`a w systemie.

jessica · 5 Maj 2010 21:08

To, że znalazł procesy Rootkitowe, to jeszcze o niczym nie świadczy, bo np, niektóre Antivirusy też mają ukryte procesy.

jessi

marcos_777 · 5 Maj 2010 21:38

Fakt.

Skanowanie trwa…

Niestety w trakcie skanowania Gmerem wyskoczył Blue Screen i restart kompa i wyskoczyło okienko o odzyskaniu sprawności przez system:

http://wklej.org/id/328938/txt/. Mam te pliki zachowane.

jessica · 6 Maj 2010 00:09

GMER najczęściej tak reaguje, gdy na komputerze jrest zainstalowany jakiś “wirtual” w rodzaju “Daemon Tools”, “Alcohol”, itp.

Ale w Twoich logach niczego takiego nie widzę.

Trudno, skoro GMER nie chce u Ciebie działać, to nic na to nie poradzę.

Zostawiamy to w spokoju.

jessi

marcos_777 · 6 Maj 2010 06:19

Dzięki jessi.

Monczkin · 6 Maj 2010 06:39

marcos_777 , nazwij temat konkretnie, zgodnie z tym tematem zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html Popraw nieregulaminowego screena w poscie. Inaczej wystawie ostrzeżenie.

marcos_777 · 7 Maj 2010 19:31

Ok Monczkin. Screena usunąłem, komp już jest ok. Temat do zamknięcia.