5 odpowiedzi w tym temacie

[gosqua]

tytuł: Trojany, przy błędzie z ramem, jedno konto nie widzi plików, pozostałe działają ok.


co i jak się działo:

1. długo nie robione aktualizacje czegokolwiek, ale żadnych problemów nie odczuwałam.

2. problem z RAMem - po starcie na czarnym screenie wiadomość o błędzie - miałam popróbować za instrukcją, ale w końcu jeszcze tego nie zrobiłam,
(289 ECC error at DIMM1 & DIMM 2 - instrukcja za stroną ibm:
"289 Memory error
1. Run the Configuration/Setup Utility program (Using the Configuration/Setup Utility program), disable the problem DIMMs under select Advanced Setup → Memory Settings, and save the settings.
2. If an expansion unit is installed, reseat it. See Removing an optional expansion unit and Installing an optional expansion unit.
3. Replace the following components one at a time, in the order shown, restarting the blade server each time.
1. DIMMs - See Removing a memory module and Installing a memory module.
2. (Trained service technician only) System-board assembly - See Removing the system-board assembly and Installing the system-board assembly.
3. Optional expansion unit (if one is installed) - See Removing an optional expansion unit and Installing an optional expansion unit.")
-to już jakiś czas temu, komp sprawny w miarę potrzeb, większego opóźnienia czy innych niedogodności nie zauważyłam, ale też głównie tylko przeglądanie internetu się na nim odbywa.

3. zainfekowany komp trojanem -wyskakujące okienka i procek obciążony na maksa, było sporo oglądania przez streaming, (z kilkanaście dni temu, zaczęło się spokojnie, wystarczyło procesy pozamykać, i był spokój pozorny, dotyczy to tylko jednego konta)

4. po próbie aktualizacji i skanowaniu AVG się posypało na owym koncie (użytkownik Gosia) -kilka dni temu

5. posypało czyli - wyskoczyły okienka z "malware doctor", zniknęła tapeta (zostało czarne tło), zniknęły skróty na pulpicie, zniknęły skróty z menu startu i podmenu programów, jakby wszytkie "moje dokumenty" itp foldery zniknęły

6. przy skanie avg (na owym koncie) wyskakują trojany i błędy krytyczne dysku, i że niby dane zostały utracone. niestety mogę te skany wyeksportować tylko do pliku .csv

7. na innych kontach avg krzyczy o trojanach. (trojan horse: generic22.qzi, downloader.generic11.uca.dropper, cryptic.crn, generic22.mjw, sheur3.bwxa, generic22.loz) i ma ostrzeżenia a propos rejestru, wszystko pod documentsand settings/Gosia/...

8.pliki których nie widać z tamtego konta, nadal istnieją na dysku, widoczne u innych użytkowników i losowo wybrane działają bez problemu. komp działa bez większych problemów na kontach innych użytkowników.

9. w załączniku logi z otl, proszę o wskazówki jeśli jeszcze jakieś skany są potrzebne.
10. skan gmerem w trakcie, loga załączę jak będzie gotowe.

ogromnie dziękuję za poświęcony czas!
Gosia

Załączone pliki

•  Extrasgosia0429.Txt   38,21 KB   238 Ilość pobrań
•  OTLgosia0429.Txt   66,12 KB   154 Ilość pobrań

[wirusolog]

Po zakończeniu skanowania przez GMER:
Uruchom OTL i w dolne białe pole wklej to:

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-d
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Files 
RECYCLER /alldrives

:OTL
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\SSPORT.sys -- (SSPORT)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\DgiVecp.sys -- (DgiVecp)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-3109896179-756081068-229278897-1005\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-3109896179-756081068-229278897-1005..\Run: [AdobeBridge]  File not found
O4 - Startup: C:\Documents and Settings\Gosia\Start Menu\Programs\Startup\Antimalware Doctor.lnk = C:\Documents and Settings\User1\Application Data\A2A189AAA0D4FFB76A8BCE2859482782\tr700lqqcore.exe File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
[2011/04/27 02:39:45 | 000,573,440 | -H-- | C] (WinTrust) -- C:\Documents and Settings\All Users\Application Data\scIeDgaoTLYN.exe
[2011/04/28 21:24:00 | 000,000,286 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011/04/28 21:20:00 | 000,000,286 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/04/28 21:20:00 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/04/28 21:20:00 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/04/27 05:01:03 | 000,000,344 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\19062580
[2011/04/27 04:56:27 | 000,491,520 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\19062580.exe
[2011/04/27 02:39:06 | 000,573,440 | -H-- | M] (WinTrust) -- C:\Documents and Settings\All Users\Application Data\scIeDgaoTLYN.exe
[2011/04/27 00:49:04 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Gosia\Application Data\A2A189AAA0D4FFB76A8BCE2859482782
[2010/11/20 13:47:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Robert\Application Data\A2A189AAA0D4FFB76A8BCE2859482782
[2011/01/21 20:56:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Robert\Application Data\PriceGong
[2011/01/16 21:27:04 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Gosia\Application Data\PriceGong
[2011/01/11 17:48:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\User1\Application Data\PriceGong

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.

[gosqua]

Log z gmera już jest. Ale to było drugie podejście.
Przy pierwszym komp zawiesił się, i musiałam zresetować, ale były jescze inne programy włączone i chyba po prostu za dużo tego było.
Przy pierwszym scanie wyrzuciło coś na czerwono, ale przy tym drugim podejściu już nic nie było.

zaaplikowałam też skrypt i logi również w załącznikach.

przejrzałam też forum i te niewidoczne ikony brzmią bardzo podobnie to tematu, który już był poruszany: "Trojan-generic-t143133.html"

dziękuję za tak szybką odpowiedź,
Gosia

Załączone pliki

•  gmer2.txt   2,05 KB   162 Ilość pobrań
•  OTLgosia0429bis.Txt   58,9 KB   168 Ilość pobrań
•  04292011_003820gosia.txt   14,31 KB   179 Ilość pobrań

[wirusolog]

Ani w logu GMER, ani w nowym logu OTL, nie widzę już nic podejrzanego.

Ale użyj jeszcze > MBAM
Przed użyciem zrób ręcznie aktualizację bazy danych wirusów.
Na końcu kliknij na Usuń zaznaczone.
Pokaż raport końcowy.
MBAM usuwa blokadę pulpitowych gadźetów nałożoną przez jedną z tych infekcji.

przejrzałam też forum i te niewidoczne ikony brzmią bardzo podobnie to tematu, który już był poruszany: "Trojan-generic-t143133.html"

Nie widzę takiego tematu.

.

[gosqua]

temat został później przeniesiony, ale opis przypadlości bardzo "podobny" do tego co u mnie: searchengines.pl/Trojan-generic-t143133.html

na koncie admina mam domyślnie ustawione "pokaż ukryte" i dlatego wszystko widziałam, chociaż nie zwróciłam większej uwagi że sporo ikon było przycieniowanych

a w załącznikach wyniki z mbam,

update co do stanu kompa po mbam i restarcie:
na koncie gosia:
okna już nie wyskakują, ale tło i tapeta wyresetowane -> brak
no i ikony wciąż poukrywane
przy logowaniu komunikat:
error loading c:/.../gosia/local settings/application data editdpv.dll
the specified module could not be found

na innych kontach:
ikony wciąż poukrywane

jeszcze taka uwaga - to "ukrycie" dotyczy nie tylko pulpitu ale ogółem "skrótów" - i w podmenu start->programy, i w folderach itp.

jeszcze raz ogromnie dziękuję!

Załączone pliki

•  mbam-gosia po.txt   3,29 KB   164 Ilość pobrań
•  mbam-gosiaprzed usunieciem.txt   2,92 KB   182 Ilość pobrań

[wirusolog]

na koncie gosia:
okna już nie wyskakują, ale tło i tapeta wyresetowane -> brak
no i ikony wciąż poukrywane
przy logowaniu komunikat:
error loading c:/.../gosia/local settings/application data editdpv.dll
the specified module could not be found

na innych kontach:
ikony wciąż poukrywane

jeszcze taka uwaga - to "ukrycie" dotyczy nie tylko pulpitu ale ogółem "skrótów" - i w podmenu start->programy, i w folderach itp.

Skoro nie ma już infekcji, to Moderator przesunie temat do innego działu.
Niestety, jak widzę, w podanym przez Ciebie przykładowym temacie, nikt nie pomógł w tym innym dziale Forum, więc i Ty raczej masz nikłe szanse na pomoc.
.