Ten sam wirus po formacie

[Maciak Plock]

Witam. Mianowicie miałem wirusa, machnąłem formata bo i tak w sumie nic nie miałem na tym komputerze więc tak było szybciej i wygodniej - później zainstalowałem Wi-Fi itp, i gdy połączyłem się z siecią od razu pobrałem anty wirusa - Avast, no ale z tego co widze, to jest ten sam wirus znowu na komputerze nie wiem skąd on się wziął...

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

no ale z tego co widze, to jest ten sam wirus znowu na komputerze nie wiem skąd on się wziął...

Charakterystyczne dla infekcji wykonywalnych. Jaką nazwę wirusa podaje ten Avast? Tutaj nie będzie raczej mowy o wirusie ze względu na fakt samego robaka. Wirus tutaj jest wykrywany zapewne dlatego, że to nie jest system oryginalny tylko mocno przerabiany . To modyfikacja systemu. Mnóstwo cech:

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\alg.exe -- (ALG)
FF - prefs.js..browser.search.defaultenginename: "portaldosites"
(Don HO don.h@free.fr)
Error - 2013-04-14 07:43:27 | Computer Name = BLACKV8 | Source = PerfNet | ID = 2004

A dodatkowo różne elementy stylowe . Jeśli to świeżo postawiony system to proponuję, w jakiś magiczny sposób (wiesz do czego dążę ) zdobyć czysty system i zainstalować go. Jeśli nie chcesz to sprawdzę logi i trochę uzupełnię ten system .

[Maciak Plock]

hmm to win xp black edition, i dziwię się, bo zawsze wszystko było ok, nawet sam nauczyciel informatyki mi polecał ten system... a teraz nagle jakieś reklamy wyskakują, właśnie się uruchomiła reklama mbanku, Czy wirus może wchodzić dlatego, że łączę się z nie zabezpieczoną siecią Wi-Fi ? Jeśli nie da się z tym nic zrobić, i system jest zarażony - w co wątpię, to zainstaluje jakąś czystą wersję :d

Avast właśnie nic nie wykrył, ale widzę dziwne procesy typu:
sidebar.exe, plugin-container.exe, SSScheduler.exe lolipop.exe i pare innych dziwnie wyglądających, których nie znam... i te reklamy ciągle wyskakują :/

-- 15 kwi 2013, 18:02 --

Aha, no i zapomniałem dodać, że wcześniej Był Windows 7, a teraz jest Ten XP, a problem ten sam.

[kominekl]

Aha, no i zapomniałem dodać, że wcześniej Był Windows 7, a teraz jest Ten XP, a problem ten sam.

To zmienia postać rzeczy.

hmm to win xp black edition, i dziwię się, bo zawsze wszystko było ok, nawet sam nauczyciel informatyki mi polecał ten system

Dziwny dosyć nauczyciel. Wycięte z systemu zupełnie ALG to wcale nie jest dobry pomysł .

Czy wirus może wchodzić dlatego, że łączę się z nie zabezpieczoną siecią Wi-Fi ?

Jak najbardziej, aczkolwiek sytuacja ta ma miejsce głównie w niezabezpieczonych sieciach WiFi w dużych miastach. W Płocku istnieje takie zagrożenie.

sidebar.exe

Menadżer Okien Pulpitu - element stylowy.

SSScheduler.exe

Pochodzi od McAfee.

plugin-container.exe

Część Firefox`a.

lolipop.exe

To oczywiście będę wycinał . To Skinter.

"McAfee Security Scan" = McAfee Security Scan Plus
"{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}" = Styler

Odinstaluj. Mam tutaj uwagę - Styler do wywalki jeśli nie jest Ci niezbędny .

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\alg.exe -- (ALG)

Naruszona systemowa usługa bramy warstwy aplikacji. To już konsekwencja niedokładnej manipulacji "twórcy" paczki/modyfikacji systemu. Jednak, jako, ze to Windows XP to posłużę się wyciętą Dostępne tylko dla zarejestrowanych użytkowników dla tego systemu. Plik .ISO wypal na CD przez Dostępne tylko dla zarejestrowanych użytkowników. Następnie włóż płytę do napędu -> wejdź w START -> URUCHOM -> CMD -> SFC /SCANNOW. Następnie Dostępne tylko dla zarejestrowanych użytkowników i wprowadź w Niej polecenie -> CHKDSK /R .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-823518204-1757981266-1417001333-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-823518204-1757981266-1417001333-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-823518204-1757981266-1417001333-1002\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-823518204-1757981266-1417001333-1002\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaultenginename: "portaldosites"
FF - prefs.js..browser.search.order.1: "portaldosites"
FF - prefs.js..browser.search.selectedEngine: "portaldosites"
FF - prefs.js..browser.startup.homepage: "http://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=FUJITSUXMHZ2250BHXG1_K61DT8826N81T8826N81X&ts=1365942454"
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O4 - HKU\S-1-5-21-823518204-1757981266-1417001333-1002..\Run: [lollipop] c:\documents and settings\ania\ustawienia lokalne\dane aplikacji\lollipop\lollipop.exe ()
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - Startup: C:\Documents and Settings\Ania\Menu Start\Programy\Autostart\lollipop.lnk = C:\Documents and Settings\Ania\Ustawienia lokalne\Dane aplikacji\Lollipop\Lollipop.exe ()
[2013-04-14 14:07:37 | 000,000,000 | ---D | C] -- C:\Program Files\McAfee Security Scan
[2013-04-14 14:07:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan
[2013-04-14 14:07:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee

:Files
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\Ania\Ustawienia lokalne\Dane aplikacji\Lollipop

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

[Maciak Plock]

daje tylko log z usuwania, bo jestem u dziewczyny i będę się zbierał, i chyba z tego co widzę zainstaluje czysty system, chodź wydaje mi się że to coś może przechodzić właśnie przez te Wi-Fi

Dostępne tylko dla zarejestrowanych użytkowników
resztę jak coś zrobie innym razem

[kominekl]

i chyba z tego co widzę zainstaluje czysty system

Wiesz co? Ściągania tak dużo to tu nie masz . To Twoja decyzja.

chodź wydaje mi się że to coś może przechodzić właśnie przez te Wi-Fi

Mogę się z tym zgodzić wstępnie, ale to już do oceny po zakończeniu działań z logami na systemie, na którym planujesz dalszą pracę .

[Maciak Plock]

A co z tym logiem usunięcia? Laska mówi że na razie nic nie wyskakuje: P Jak będę u niej kolejnym razem to zrobie to co napisałeś

[kominekl]

A co z tym logiem usunięcia? Laska mówi że na razie nic nie wyskakuje: P Jak będę u niej kolejnym razem to zrobie to co napisałeś

Log z usuwania już podałeś. Jest OK. Czekamy na resztę .