system
(system)
10 Marzec 2011 13:12
#1
Witam. Wczoraj zainstalowałem Kaspersky Internet Security na dysku C gdzie mam niespełna 4 gb wolnego miejsaca. Kiedy skanuje system miejsca na dysku systematycznie ubywa, doszło do momentu gdy przy 74% zostalo mi 12 mb wolnego. Czym to spowodowane i dlaczego to się dzieje. I druga sprawa nawet bardziej istotna to to że wyswietlaja mi się co minute jakieś reklamy i nie iwem jak to zwalczyc. Podejżewaqm ze komp mógł się jakis gownem zainfekować.
Proszę o dokładną instrukcje jakimi programami zrobić skany i co przesłać?
– Dodane 10.03.2011 (Cz) 14:31 –
Właśnie Kaspersky wykrył jakies trojany.
Trojan.Win32.Generic
w folderze C/Windows. Elygea.exe
i 2 w document and settings Esg.exe i Esh.exe
myślę ze to one sa odpowiedzialne za wyswietlanie reklam
jessica
(jessica)
10 Marzec 2011 13:33
#2
Daj log z OTL
W międzyczasie zacznij ściągać >> MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html , bo jego i tak trzeba będzie potem użyć, ze względu na to, że MBAM potrafi usuwać blokadę nałożoną przez tę infekcję na pulpitowe gadżety.
jessi
system
(system)
10 Marzec 2011 13:57
#3
http://www.wklej.to/Z6mHb - Extras
http://www.wklej.to/DBPhQ - OTL
Co z tym programem ktory mialem pobrac?
jessica
(jessica)
10 Marzec 2011 14:14
#4
Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL albo na VIRSCAN
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL FF - prefs.js…browser.search.defaultenginename: “Ask” FF - prefs.js…browser.search.order.1: “Ask” FF - prefs.js…keyword.URL: “http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q= ” [2009-06-12 18:33:51 | 000,000,682 | ---- | M] () – C:\Documents and Settings\KOMP\Dane aplikacji\Mozilla\Firefox\Profiles\1cojmkd8.default\searchplugins\ask.xml O2 - BHO: (SS Plugin Class) - {F4D5D150-D806-442c-AE1E-172BD4C9DFA8} - File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - No CLSID value found. O3 - HKU\S-1-5-21-823518204-1935655697-725345543-1004…\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O3 - HKU\S-1-5-21-823518204-1935655697-725345543-1004…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKU\S-1-5-21-823518204-1935655697-725345543-1004…\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM…\Run: [PrzyspieszKomputer] File not found O4 - HKU.DEFAULT…\RunOnce: [] File not found O4 - HKU\S-1-5-18…\RunOnce: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [] File not found O4 - HKU\S-1-5-20…\RunOnce: [] File not found O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Reg Error: Value error. File not found O9 - Extra ‘Tools’ menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Reg Error: Value error. File not found O33 - MountPoints2{407b144e-85a9-11de-bcba-001d0fb56b5b}\Shell\AutoRun\command - “” = I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe O33 - MountPoints2{407b144e-85a9-11de-bcba-001d0fb56b5b}\Shell\open\command - “” = I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe MsConfig - StartUpFolder: C:^Documents and Settings^KOMP^Menu Start^Programy^Autostart^PhotoZoom Pro Updater.exe - - File not found MsConfig - StartUpReg: MSMSGS - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: Nowe Gadu-Gadu - hkey= - key= - File not found [2009-07-17 20:43:10 | 000,000,080 | RHS- | C] () – C:\WINDOWS\System32\0E5CC998BA.dll [2009-07-16 23:21:59 | 000,000,023 | -HS- | C] () – C:\WINDOWS\System32\edacded0.dat [2011-03-10 14:24:44 | 000,000,274 | -H-- | M] () – C:\WINDOWS\Tasks{BB65B0FB-5712-401b-B616-E69AC55E2757}.job [2009-06-15 20:49:47 | 000,018,157 | ---- | M] () – C:\ComboFix.txt [2009-06-22 20:34:47 | 000,000,135 | ---- | M] () – C:\VundoFix.txt :Files RECYCLER /alldrives :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
Teraz użyj MBAM, daj z niego raport końcowy.
EDIT:
Coś jest “nie tak” z tym plikiem Systemowym.
Jak będziesz robił nowy log z OTL, to zrób go na dodatkowym ustawieniu:
W pole Własne opcje skanowania/Scrypt wklej:
i dopiero wtedy kliknij Skanuj .
jessi
system
(system)
10 Marzec 2011 14:41
#5
OTL —> http://www.wklej.to/yXxDj
raport z usuwania -----> http://www.wklej.to/uzlxF
C:\WINDOWS\System32\BReWErS.dll - CZYSTY
teraz skanuje programem MALWAREBYTES - juz 2 plii zainfekowane znalazlo, za niedlugo bedzie log
jessica
(jessica)
10 Marzec 2011 14:55
#6
W nowym logu nie widzę już nic podejrzanego.
Nie widać nawet wpisu o tym dziwnym “ndis.sys” - sam się naprawił? A może Kaspersky go naprawił?
< %systemdrive%\ndis.* /s /md5 > [2008-04-14 00:50:38 | 000,182,656 | ---- | M] (Microsoft Corporation) MD5=1DF7F42665C94B825322FAE71721130D – C:\WINDOWS\ServicePackFiles\i386\ndis.sys [2008-04-13 20:20:37 | 000,182,656 | ---- | M] (Microsoft Corporation) MD5=1DF7F42665C94B825322FAE71721130D – C:\WINDOWS\SoftwareDistribution\Download\3ed4af7962c2564903d5c33c33d1489e\ndis.sys [2008-04-14 00:50:38 | 000,182,656 | ---- | M] (Microsoft Corporation) MD5=1DF7F42665C94B825322FAE71721130D – C:\WINDOWS\system32\drivers\ndis.sys
W każdym będź razie jego rozmiar oraz MD5 są prawidłowe.
Poczekamy jeszcze na raport MBAM.
jessi
system
(system)
10 Marzec 2011 15:24
#7
http://www.wklej.to/OCyLx nie wiem czy o to chodziło. Jakie działanie teraz podjąć?
jessica
(jessica)
10 Marzec 2011 15:30
#8
Jeśli chodzi o te powyższe, to nie jestem przekonana o ich szkodliwości, być może to “false positive”.
Ale jeśli zostaną usunięte, to też nic złego się nie stanie.
Natomiast pozostałe - do usunięcia.
A zwłaszcza ten:
To blokada pulpitowych gadżetów, więc musi być usunięta.
.
system
(system)
10 Marzec 2011 15:42
#9
Na koniec wyskoczył log —> http://www.wklej.to/SWNrk
Jeśli juz wszystko zrobilem jak należy i nic wiecej nie potrzeba to wielkie dzieki. Problem z reklamami wysakujacymi co chwile zniknął
PS. Co to byla za blokada pulpitowych gadżetow i co “zyskuje” dzieki odblokowaniu ich?
jessica
(jessica)
10 Marzec 2011 15:47
#10
To oznaka, że MBAM nic nie usunął!
system
(system)
10 Marzec 2011 15:52
#11
jessica
(jessica)
10 Marzec 2011 15:58
#12
A może dałeś nie ten raport?
Tak, na obrazku widać, że usunięte do Kwararantanny.
Widocznie nie miałeś żadnych gadżetow na pulpicie, skoro zadajesz takie pytanie.
Ci, którzy mają jakieś gadżety, to mają po blokadzie problem z ich właściwym wyświetlaniem: albo całkowicie znikają, albo zamiast nich są plamy na pulpicie.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
system
(system)
10 Marzec 2011 16:03
#13
http://wklej.to/pCI6X - napisz co i jak ja juz muszę lecieć, dzięki za wszystko
jessica
(jessica)
10 Marzec 2011 16:05
#14
Zajrzyj do mojego poprzedniego postu - podałam tam kroki końcowe.
jessi
system
(system)
10 Marzec 2011 20:23
#15
Niestety ostatniego kroku nie zrobię ( Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”)
Nie moge odznaczyć okienka, jest nieaktywne.
FOTO:
http://img291.imageshack.us/i/usuniecie.gif/
jessica
(jessica)
10 Marzec 2011 22:17
#16
No tak, to efekt złośliwego działania Microsoftu, starającego się ze wszystkich sił, by uprzykrzyć życie Użytkownikom.
W tym przypadku poprzez tzw.“zasady grupy”. Po prostu Microsoft z jakiegoś nieznanego powodu odebrał Ci uprawnie do decydowania o swoim własnym komputerze.
Teoretycznie można samemu te uprawnienia przywrócić, ale, jak dla mnie, to zbyt skomplikowane.
.
system
(system)
10 Marzec 2011 23:27
#17
Czyli jebani socjaliści z Microsoftu odbierają mi prawo robić co chcę z ustawieniami, mając na celu moje “bezpieczeństwo”. Brawo =D>