Forum
Archiwum
Archiwum

bananmaciek logi

Utwórz nowy wątekOdpowiedz
bananmaciek
#46
Kod:
SUPERAntiSpyware log skanowania
http://www.superantispyware.com

Utworzony 04/10/2010 o 11:19 PM

Wersja programu : 4.35.1002

Wersja jądra bazy reguł : 4792
Wersja śladów bazy reguł: 2604

Typ skanowania       : Szybkie
Całkowity czas skanowania : 00:09:49

Skanowane pozycje pamięci  : 501
Wykryte groźby w pamięci   : 0
Skanowane pozycje rejestru : 539
Wykryte groźby w rejestrze : 0
Skanowane pliki            : 7402
Wykryte groźne pliki       : 0
Obrazek
Maf
#47
Nadal nic nie ma. Ściągnij poniższy program, uruchom go, zaakceptuj umowę i kliknij na zieloną strzałkę z napisem Create Report. Po zakończeniu powinno przekierować przeglądarkę do raportu - dodaj link do niego do odpowiedzi. Jeśli tak się nie stanie - na pulpicie zostanie utworzony plik z archiwum z raportem (nazwa pliku zaczynająca się od "GetSystemInfo") - wyślij go do mnie na maila.

http://www.getsysteminfo.com/download/GetSystemInfo.exe
bananmaciek
#48
http://www.getsysteminfo.com/read.php?file=4a25def798e2503e335d246e103c8288
Obrazek
Maf
#49
Odinstaluj starą wersję antywirusa Avast4, poprzez panel Dodaj/usuń programy. Ściągnij i zainstaluj nową, darmową wersję piątą z poniższego linku:
http://download527.avast.com/iavs5x/set ... ee_pol.exe

Start -> Uruchom (po każdym poleceniu kliknij OK lub wciśnij ENTER, żeby zatwierdzić):
  • ipconfig /flushdns
  • ipconfig /renew
  • ipconfig /registerdns

Zaktualizuj bazy wirusów nowo zainstalowanego Avasta i zrób pełne skanowanie systemu. Jeśli coś znajdzie - usuń to i napisz w odpowiedzi co to były za pliki.
bananmaciek
#50
Znalazł jednego. C:\DOCUMENTS AND SETTINGS\MACIEK\USTAWIENIA LOKALNE\TEMP\EGXSNQR.DAT

//edit
Chyba jednak avast go nie usunal. Za kazdym razem jak wlacze jakis program, to avast wyswietla mi, ze znaleziono rootkita. Troche to denerwujace ;)

Aha internet chodzi juz normalnie. Powodem tych problemow byl avast4?
Obrazek
Maf
#51
Nie, raczej problemy z internetem powrócą jeśli tego rootkita nie wywalimy.

Wklej do OTL ten skrypt, kliknij Run Fix i po zakończeniu dodaj log do odpowiedzi:
Kod:
:Processes
killallprocesses

:Services
oflpydin
PavProc
AvFlt
ShldDrv

:Files
c:\docume~1\Maciek\USTAWI~1\Temp\oflpydin.sys
c:\windows\system32\DRIVERS\PavProc.sys
c:\windows\system32\drivers\av5flt.sys

:Commands
[emptytemp]
[Reboot]
bananmaciek
#52
Kod:
All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========

Service\Driver oflpydin deleted successfully.

Service\Driver PavProc deleted successfully.

Service\Driver AvFlt deleted successfully.

Service\Driver ShldDrv deleted successfully.
========== FILES ==========
File\Folder c:\docume~1\Maciek\USTAWI~1\Temp\oflpydin.sys not found.
File\Folder c:\windows\system32\DRIVERS\PavProc.sys not found.
File\Folder c:\windows\system32\drivers\av5flt.sys not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
File delete failed. C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Maciek
->Temp folder emptied: 3108158 bytes
->Temporary Internet Files folder emptied: 5558774 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 4643420 bytes
->Apple Safari cache emptied: 378410160 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be deleted on reboot.
Windows Temp folder emptied: 75416 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 373,74 mb
 
 
OTL by OldTimer - Version 3.0.10.4 log created on 04122010_154653

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Avast dalej pokazuje raporty o tym rootkicie, czyli chyba dalej jest

//edit
Problemy z ladowaniem stron powoli wracaja

Sprobowalem usunac ten plik recznie, przez normalne wrzucenie do kosza. Zauwazylem prz tym cos ciekawego. Za kazdym razem jak go usune, on po 2 sekundach pojawia sie znowu ;)
Obrazek
Maf
#53
Ściągnij plik mbr.exe z poniższego linku na Pulpit, wyłącz Avasta i go uruchom.
Na pulpicie pojawi się log - mbr.txt - dodaj go do odpowiedzi.

http://www2.gmer.net/mbr/mbr.exe
bananmaciek
#54
Mógłbyś mi go wysłać mailem, bo mam transfer poniżej 1kb/s
Obrazek
Maf
#55
Poszło.
bananmaciek
#56
Dzięki ;)
Kod:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Obrazek
Maf
#57
Zrób nowy log ComboFixem (link znajdziesz wcześniej). Jeśli nie zadziała w normalnym trybie - wystartuj w trybie awaryjnym.
bananmaciek
#58
Odpaliłem w awaryjnym, bo w zwykłym był blue screen
http://wklej.org/id/314708/
Obrazek
Maf
#59
Cholerstwo tak się ukryło, że nie widać go w żadnych logach. Przeskanujesz system lepszym skanerem.
  1. Wyłącz Avast.
  2. Pobierz plik: http://download.eset.com/special/eos/es ... er_plk.exe
  3. Uruchom, zaakceptuj umowę i kliknij "Uruchom".
  4. Poczekaj, aż skończy się pobieranie i instalowanie komponentów.
  5. W następnym kroku kliknij "Uruchom". Zacznie się pobieranie aktualnych baz wirusów i skanowanie komputera.
  6. Po zakończeniu (jeśli zostaną wykryte i usunięte zagrożenia) zapisz raport i dodaj go do odpowiedzi (powinna być tam taka opcja)
bananmaciek
#60
Prz aktualizacji pluje się o jakieś proxy, że niby nieskonfigurowanie, a ja niezbyt wiem o co chodzi
Obrazek
Utwórz nowy wątekOdpowiedz