Podejrzenie wirusa


(Widzewek94) #1

Witam mam podejrzenie że na kompie znajduje się jakiś wirus czy możecie mi napisać jak sprawdzić czy faktycznie on jest. Widzę że inni dają logi z combofix jednak ja się na tym nie znam i nie wiem jak zrobić taki log. Czy możecie mi pomóc jak zrobić taki log potem go sprawdzić i ewentualnie jak usunąć tego wirusa jak by był. Dziękuje.


([i]DAEMON) #2

Na początek jednak proponuję podać log z OTL.

Pobierz: OTL i GMER

Instrukcja: http://forum.dobreprogramy.pl/otl-gmer-rsit-dds-inne-instrukcje-t370405.html

Zawartość logów (OTL.txt, Extras.txt) wklej na wklej.to lub wklej.org. Linki do logów podaj na forum.


(Widzewek94) #3

OTL

http://wklej.to/Ubzc

EXTRAS

http://wklej.to/3LNc

a GMER-em też trzeba skanowac ??

EDIT: Skanowałem tym GMER-em 2 razy i za każdym razem po pewnym czasie restartuje się komputer.


([i]DAEMON) #4

W Custom Scans/Fixes wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Bartek\USTAWI~1\Temp\catchme.sys -- (catchme)

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - No CLSID value found.

O2 - BHO: (no name) - {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - No CLSID value found.

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.

O33 - MountPoints2\{3998c00c-0283-11df-84a0-001a4d806135}\Shell\AutoRun\command - "" = H:\kmj.exe -- File not found

O33 - MountPoints2\{3998c00c-0283-11df-84a0-001a4d806135}\Shell\open\Command - "" = H:\kmj.exe -- File not found

O33 - MountPoints2\{77508973-f806-11dc-be28-001a4d806135}\Shell\AutoRun\command - "" = RavMon.exe

O33 - MountPoints2\{77508973-f806-11dc-be28-001a4d806135}\Shell\explore\Command - "" = RavMon.exe -e

O33 - MountPoints2\{77508973-f806-11dc-be28-001a4d806135}\Shell\open\Command - "" = RavMon.exe


:Commands

[resethosts]

Naciśnij RunFix.

Przeskanuj system MalwareBytes. Log ze skanowania podaj na forum.


(Widzewek94) #5

zrobiłem to co napisałeś a potem zrobiłem pełnego skana

http://wklej.to/4EeD


([i]DAEMON) #6

W Dodaj lub usuń programy->Odiunstaluj BearShare MediaBar i Google Toolbar.

Zaktualizuj Java 6 do wesji Update 21.

Usuń badzo starą wersję Adobe reader 7.0 i zainstaluj najnowszą Adobe Reader 9.3.3

Podaj nowy log z OTL.


(Widzewek94) #7

zaktualizowane wszystko i zrobiony nowy log oto on

OTL: http://wklej.to/LLZN

co to są za link czytałem gdzieś że można je usunąć wchodząc w ten folder i otwierając to w notatniku zrobić tak ??


([i]DAEMON) #8

W Custom Scans/Fixes wklej:

:Commands

[resethosts]

Następnie naciśnij Runfix/Wykonaj skrypt.

Podaj log z usuwania i nowy log z OTL.

Pobierz: GMER

Przed uruchomieniem GMER-a gdy posiadasz programy typu DAEMON Tools, Alcohol 120% zastosuj się do tego:

Usuń: SPDT 32bit

SPDT 64bit naciskając przycisk uinstall.

lub

Wyłącz: Defogger

Podaj z niego log na forum.


(Widzewek94) #9

log z usuwania: http://wklej.to/ZryQ

nowy log OTL : http://wklej.to/lCan

aktualnie robię skan gmerem może teraz się nie wyłączy komputer

-- Dodane 20.08.2010 (Pt) 14:57 --

udało się o to skan

GMER: http://wklej.to/2TMa


([i]DAEMON) #10

Ja w logach nic nie widzę.

Użyj CCleaner by przeczyścić historię, pliki tymczasowe itp.

Czy występują jakieś podejrzane działania?


(Widzewek94) #11

wydaje mi się że mam jakieś dziwne procesy np: usunąłem google toolbar a w procesach mam googletoolbarnotifier.exe oraz pare innych których nie jestem pewien

jak biorę w CCleaner rejestr i skanuje to dużo mi tego wykazuje kliknąć naprawić??


([i]DAEMON) #12

W Custom Scans/Fixes wklej:

:OTL

O4 - HKU\S-1-5-21-1360330055-1657169740-3831973459-1007..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)

Następnie naciśnij Runfix/Wykonaj skrypt.

Podaj log z usuwania na forum w skecji

.

Edit:

Moim zdaniem procesy są w porządku. Jakie podejrzewasz?


(Widzewek94) #13
========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-1360330055-1657169740-3831973459-1007\Software\Microsoft\Windows\CurrentVersion\Run\\swg deleted successfully.

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\ deleted successfully.

C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll moved successfully.


OTL by OldTimer - Version 3.2.10.0 log created on 08202010_174103

-- Dodane 20.08.2010 (Pt) 18:36 --

ashmaisv.exe

ashserv.exe

ashwebsv.exe duże zużycie pamięci

ashupdsv.exe duże zużycie pamięci

devldr32.exe

ctdevsrv.exe

googlecrashhandler.exe

hpqtra08.exe

hprblog.exe

services.exe

9x svchost.exe 1 z svchostów zużywa 20 212 pamięci

uaservice7.exe

winlogon.exe