Problem z wirusem - proszę o sprawdzenie logów

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
tommy705

Użytkownik
Posty: 5
Rejestracja: 17 cze 2009, 17:34

Problem z wirusem - proszę o sprawdzenie logów

Post23 cze 2009, 19:02

W niedzielę rano po uruchomieniu komputera okazało się że zagnieździł się tam jakiś wirus. Pokazała się w pasku zadań ikonka "Avast skaner poczty". Proszę o pomoc jak się go pozbyć. Przedstawiam dwa logi z Combofixa i jeden z Hijackthis. I jeszcze coś. W wyniku tego wirusa po włączeniu kompa, komputer przez godzinę śmiga w miarę ok. A potem niebieski pasek zadań na sekundę zmienia kolor na szary i zanika wszelaki dźwięk...

Log Combofix- Dostępne tylko dla zarejestrowanych użytkowników

Log Combofix- Dostępne tylko dla zarejestrowanych użytkowników

Log Hijackthis- Dostępne tylko dla zarejestrowanych użytkowników

Z góry dzięki za pomoc!!!

// Korekta tytułu. :)
// djarta

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

NiEDZIELNY WIRUS

Post24 cze 2009, 08:22

1.

Kod: Zaznacz cały

O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe (file missing)
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O4 - HKUS\.DEFAULT\..\RunOnce: [{90120000-0030-0000-0000-0000000FF1CE}] C:\WINDOWS\system32\cmd.exe /C del "C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help\Rgstrtn.lck" /Q /A:H (User 'Default user')
O4 - HKUS\S-1-5-18\..\RunOnce: [{90120000-0030-0000-0000-0000000FF1CE}] C:\WINDOWS\system32\cmd.exe /C del "C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help\Rgstrtn.lck" /Q /A:H (User 'SYSTEM')
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.atcomet.com/b/

Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.

2. Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
"swg"=-
"Picasa Media Detector"=-
"Odkurzacz-MCD"=-
"ALLUpdate"=-
"Google Update"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
"GrooveMonitor"=-
"Monitor"-
"Adobe Photo Downloader"-
"Sony Ericsson PC Suite"=-
"SunJavaUpdateSched"=-
"nwiz"=-
"RTHDCPL"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"{90120000-0030-0000-0000-0000000FF1CE}"=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>>
plik uruchom
(dwuklik i OK- zgódź się na dodanie do Rejestru).
Zrestartuj komputer.


3. Zastosuj tego nardzędzia ----> Dostępne tylko dla zarejestrowanych użytkowników (Klikasz CleanUp i potem 2x Yes).

4. Przeskanuj tym --> http://www.hotfix.pl/articles.php?article_id=55

5. Przeskanuj obszar mojego komputera Dostępne tylko dla zarejestrowanych użytkowników (uruchom przez IE) Daj raport z niego na forum.


==============
K.

tommy705

Użytkownik
Posty: 5
Rejestracja: 17 cze 2009, 17:34

Re: NiEDZIELNY WIRUS

Post24 cze 2009, 18:43

Wszystko zrobiłem według tego co było napisane przez Ciebie. A oto raport z Kasperskiego- Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

NiEDZIELNY WIRUS

Post24 cze 2009, 19:03

Wybrałeś obszar 'Mój Komputer'?

Gdzie jest raport z MBAMu?


======
K.

tommy705

Użytkownik
Posty: 5
Rejestracja: 17 cze 2009, 17:34

Re: NiEDZIELNY WIRUS

Post24 cze 2009, 20:01

Tak wybrałem obszar "Mój komputer".

A to raport z MBAM-u Dostępne tylko dla zarejestrowanych użytkowników

koleś git

VIP
Posty: 912
Rejestracja: 05 maja 2009, 15:57
Lokalizacja: Włocławek
Kontaktowanie:

Problem z wirusem - proszę o sprawdzenie logów

Post24 cze 2009, 20:22

to wszystko to jakieś adware, spyware, przeskanuj programem spyware terminator, , spybotem, spyware doctorem, czy innym programem do zwalczania spywaru
Pozdrawiam, koleś git



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 7 gości