arthy Opublikowano 9 Marca 2012 Zgłoś Opublikowano 9 Marca 2012 C:\Users\user\AppData\Roaming\taskhost.exe [DETECTION] Is the TR/Dropper.Gen Trojan [WARNING] The file was ignored! C:\Windows\system32\user32.DLL [DETECTION] Contains HEUR/Modified.SystemFile suspicious code [NOTE] The detection was classified as suspicious. [WARNING] The file was ignored! Nie usunąłem, bo nie wiem czy to nie są false positiv. Jak można to sprawdzić? Boję się, że jak usunę to kompa nie uruchomię, w końcu jeden to plik systemowy. Ktoś poratuje? (win 7) Czy potrzebne są logi? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 10 Marca 2012 Zgłoś Opublikowano 10 Marca 2012 Sprawdz oba na jotti lub virustotal. Zrob skan przy pomocy mbam oraz cureit i daj oba logi z OTL. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
arthy Opublikowano 10 Marca 2012 Zgłoś Opublikowano 10 Marca 2012 Sprawdz oba na jotti lub virustotal. Zrob skan przy pomocy mbam oraz cureit i daj oba logi z OTL. otl.txt extras.txt Plik user32.dll, jest wykrywany przez Avire, Eset Skaner Online i Dr. Web CureIt! nic nie wykryły. Tak sobie zobaczyłem do katalogu system32 i nie wiem czy to ma jakieś znaczenie, ale pod plikiem user32.dll (który ma datę modyfikacji 28 luty, czyli wtedy kiedy zaczął dawać znać w Avirze), jest plik user32.dll.bak. VT, Lab Aviry i MBAM nic nie pokazały natomiast skannowanie avirą cały czas wywala user32.dll jako wirusa. Boję się usuwać pliku systemowego ręcznie, bo nie wiem jakie to może mieć konsekwencje. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 11 Marca 2012 Zgłoś Opublikowano 11 Marca 2012 (edytowane) Adobe Reader 9, zmien na Foxit. Wykonaj skrypt w OTL: :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = {searchTerms} - Bing IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = {searchTerms} - Bing IE - HKU\S-1-5-21-1555391868-1872542918-1764165259-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-1555391868-1872542918-1764165259-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = {searchTerms} - Bing O4 - HKU\S-1-5-21-1555391868-1872542918-1764165259-1000..\Run: [internet] 1 File not found O4 - HKU\S-1-5-21-1555391868-1872542918-1764165259-1000..\Run: [Windows Task Manager] C:\Users\Artur Machnicki\AppData\Roaming\taskhost.exe File not found Sprawdz czy .bak jest ok, jezeli tak to podmien go z tym zmienionym. Edytowane 12 Marca 2012 przez Kolobos Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
arthy Opublikowano 11 Marca 2012 Zgłoś Opublikowano 11 Marca 2012 bak jest ok, a co robi ten skrypt? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 12 Marca 2012 Zgłoś Opublikowano 12 Marca 2012 To co widac. Jezeli bak jest ok to go podmien tak jak pisalem. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
arthy Opublikowano 12 Marca 2012 Zgłoś Opublikowano 12 Marca 2012 (edytowane) To co widac.(...) Ja tu przyszedłem po pomoc, więc chyba zroumiałe, że chcę wiedzieć co mi będzie robione z komputerem, a pytam, bo się nie znam. Jakby mi ktoś napisał format c: to też mam w ciemno klepać? Edytowane 12 Marca 2012 przez arthy Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 12 Marca 2012 Zgłoś Opublikowano 12 Marca 2012 Wszystko widac, OTL usunie podane wpisy. Mam Ci tlumaczyc co robi kazda linia skryptu? Bez przesady. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
arthy Opublikowano 13 Marca 2012 Zgłoś Opublikowano 13 Marca 2012 No i bosko, dzieki. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
