Spowolnienie ładowania i działania systemu,

[slayne]

Witam

 

Mam następujący problem. W głownym katalogu dysku C: i D: występuje kilkadziesiąt plików exe z losowymi nazwami np. sdfqh.exe, vgyn6ewc.exe i inne. Skanowałem system Comodo antyvirus ale on nie widzi zagrożenia w tych plikach, a nie wiem co to jest. Od jakiegoś czasu nastąpiło także spowolnienie ładowania systemu oraz jego pracy. W czasie ładowania dysk bardzo długo pracuje i podczas pracy także praktycznie cały czas coś szuka.

 

Oto wymagane logi:

 

Extras.Txt

OTL.Txt

 

 

Proszę o pomoc.

[Landuss]

Pliki, o których wspominasz to część infekcji z mediów przenośnych. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

[slayne]

Zrobilem skan USBFix.

 

Log ponizej

UsbFix.txt

 

W miedzyczasie pojawilo sie jeszcze coś innego czego wczesniej nie zauwazylem. Uruchomil sie samoistnie Internet Explorer i pojawila sie strona jakas z krzaczkami. Screen w zalaczniku.

 

IE jest w wersji 6.0, ale nie jest w ogole uzywany, ale jak sie uda uporac z tymi smieciami to zrobie aktualizacje do najnowszej wersji.

[Landuss]

Strona też jest wynikiem z kolei innej infkecji, którą też usuniemy. Urządzenie ma być teraz podpięte jeśli je posiadasz.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-1390067357-362288127-682003330-1003\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Reg Error: Value error. File not found
O4 - HKLM..\Run: [A15F39] C:\WINDOWS\system32\AC58E3\A15F39.EXE ()
O4 - HKU\S-1-5-21-1390067357-362288127-682003330-1003..\Run: [dso32] C:\Documents and Settings\Marek\Ustawienia lokalne\Temp\dsoqq.exe ()
O4 - Startup: C:\Documents and Settings\Marek\Menu Start\Programy\Autostart\A15F39.lnk = C:\WINDOWS\system32\AC58E3\A15F39.EXE ()
 
:Files
09lf.exe /alldrives
0fpdq2dw.exe /alldrives
12gn6id2.exe /alldrives
1gkbvsni.exe /alldrives
1hqup.exe /alldrives
1thes92p.exe /alldrives
1wf.exe /alldrives
31lyx.exe /alldrives
33r.exe /alldrives
3dcs9.exe /alldrives
8xcrbho6.exe /alldrives
9d6tpg.exe /alldrives
9fo3ar0j.exe /alldrives
9qqigqwf.exe /alldrives
9rfpp.exe /alldrives
autorun.inf /alldrives
awb3ryk.exe /alldrives
ba.exe /alldrives
bbjl2g.exe /alldrives
bu8.exe /alldrives
bveijo.exe /alldrives
c2e.exe /alldrives
ca.exe /alldrives
cgaqyi.exe /alldrives
chxnxyx.exe /alldrives
cobn8w3.exe /alldrives
df.exe /alldrives
dqm.exe /alldrives
e9naq.exe /alldrives
eer6ril9.exe /alldrives
eyruu.exe /alldrives
f2kmj.exe /alldrives
f662sjd.exe /alldrives
fk.exe /alldrives
g6jk.exe /alldrives
g8k.exe /alldrives
ggb6w.exe /alldrives
hc3hvi0.exe /alldrives
i8gcgmg.exe /alldrives
i8ikdjwt.exe /alldrives
img8hi.exe /alldrives
iuvvl9f3.exe /alldrives
ji83j.exe /alldrives
k1d.exe /alldrives
kmj.exe /alldrives
lhhr8.exe /alldrives
mh.exe /alldrives
mi9al8rs.exe /alldrives
mvmdh.exe /alldrives
n0qls.exe /alldrives
p3vwxx.exe /alldrives
p6xebrnt.exe /alldrives
p9rs.exe /alldrives
Recycle.exe /alldrives
pbyqfn.exe /alldrives
qhbfqx.exe /alldrives
qkm.exe /alldrives
r3fhr.exe /alldrives
r3x0k.exe /alldrives
RECYCLER /alldrives
RESTORE /alldrives
rfg.exe /alldrives
rhwhin.exe /alldrives
s1.exe /alldrives
sdfqh.exe /alldrives
sywyrl0q.exe /alldrives
tgt.exe /alldrives
twhvna.exe /alldrives
utcddeq.exe /alldrives
vgyn6ewc.exe /alldrives
vi8f.exe /alldrives
wa.exe /alldrives
wkimt.exe /alldrives
ws.exe /alldrives
wyskq6lt.exe /alldrives
x3xh.exe /alldrives
xjb3.exe /alldrives
y6cqb2is.exe /alldrives
yqq8eqil.exe /alldrives
ysyjq1bs.exe /alldrives
C:\WINDOWS\system32\AC58E3
C:\WINDOWS\system32\35DDF5
C:\Documents and Settings\Marek\Ustawienia lokalne\Temp
C:\Documents and Settings\Marek\Menu Start\Programy\Autostart\A15F39.lnk
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z USBFix.

 

 

 

[slayne]

Log po przejsciu skryptu w OTL

otl_skrypt_log.txt

 

nowe logi z OTL

OTL2.Txt

Extras2.Txt

 

Nowy log z USBFix

UsbFix2.txt

 

 

ps. Ja oprócz tego pendrive'a co jest podpięty posiadam jeszcze dysk 2,5" podłączany przez USb ale obecnie go nie mam bo pożyczyłem. Na nim pewnie też są jakieś infekcje ale bede go miał dopiero za jakiś tydzień. Jak będzie trzeba postąpić, żeby komp sie znowu nie zainfekował?

[Landuss]

Wygląda na to, że wszystko poszło jak trzeba. Do wykonania jeszcze poniższe punkty

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Użyj opcji Vaccinate z USBFix w celu zabezpieczenia przed infekcjami z mediów.

 

3. Wykonaj obowiązkowe aktualizacje:

 

Internet Explorer (Version = 6.0.2900.5512)

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11

"{1BC4026B-1957-4514-9058-2B542557F143}" = Opera 9.63

 

Szczegółowe instrukcje: INSTRUKCJE.

 

 

 

 

.

[slayne]

Ok.

 

Zrobiłem 1 i 2 punkt. Aktualizacje właśnie się sciągają.

 

Ponawiam jeszce pytanie co do tego zewnetrznego dysku co posiadam. Czy jak go podłączę to nawet jakby były na nim jakieś infekcje to nie przejdą na komputer bo za pomocą USBFix zabezpieczyliśmy dyski? Po podłączeniu po prostu usunać te pliki z losowymi nazwami?

 

ps. na dysku D: pozostał mi taki folder recovery z dziwnymi plikami i zajmuje około 1,5 GB. Czy mogę to usunąć? Co to jest?

 

Poniżej screen listy plików.

[Landuss]

Jak będziesz miał dysk zewnętrzny to możesz go podpiąć i wykonać log z USBFix. Temat pozostawię ci otwarty.

 

ps. na dysku D: pozostał mi taki folder recovery z dziwnymi plikami i zajmuje około 1,5 GB. Czy mogę to usunąć? Co to jest?

 

Nie wiem co to jest i ja bym tego nie usuwał.

[slayne]

Odzyskałem dysk i po podłączeniu okazało się, że na nim są także takie pliki jak były na dyskach. Zapuściłem Avirę i usunęła 77 plików.

 

Log z aviry:

 

avira.txt

 

Potem zrobiłem log z USBFix na wszelki wypadek.

 

UsbFix3.txt

[Landuss]

USBFix nie wykazuje infekcji więc sprawa wygląda na zakończoną.

[picasso]

Dopowiem w tej kwestii:

 

ps. na dysku D: pozostał mi taki folder recovery z dziwnymi plikami i zajmuje około 1,5 GB. Czy mogę to usunąć? Co to jest?

 

To wygląda na dane odzyskane jakimś programem do ratowania skasowanych plików, aka "szczątki". Wskazuje na to: nazwa katalogu, formuła nazewnicza plików, a także ich charakter = przykładowo są tu pliki z ikoną dokumentu tekstowego czy IrfanView, co mi sugeruje, że to są odzyskane z dysku pliki TXT i graficzne. Mógłbyś spróbować podejrzeć przykładowe, co w nich w ogóle jest np. w Notatniku otworzyć plik o nazwie ,(00002), a w IrfanView plik o nazwie 0(00007).

Poza tym, "do pary" niejako mi się łączy inny folderek widzialny w drzewie po lewej, o wymownej nazwie "odratowane doci". Taka nazwa mi mówi, że jakieś ratowanie danych tu kiedyś było. Więc?

 

 

 

.

Edytowane 26 Września 2010 przez picasso
27.09.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso