Undeadrice Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 Witam, od paru dni mój komputer w widocznym stopniu został spowolniony. W dodatku Antywirus jaki posiadam, a dokładniej Avast co chwilę wyświetla informacje o zablokowaniu niebezpiecznego adresu URL. Prosiłbym o pomoc w usunięciu wirusa, ponieważ moje próby zakończyły się nie powodzeniem. Wstawiam Logi tylko z OTL ponieważ podczas skanu Gmer'em komputer wywala blue screena, jeśli jednak uda mi się to wstawie też i log z niego. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 W starcie jest szkodliwy wpis "Gaeku". Ponadto, system jest bardzo zabrudzony adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={06066900-910C-11E1-BF5E-F180F3E346F6}" IE - HKU\S-1-5-21-1676619715-1261724957-2306065445-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6R8wMLGEkN&i=26" IE - HKU\S-1-5-21-1676619715-1261724957-2306065445-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={06066900-910C-11E1-BF5E-F180F3E346F6}" O4 - HKU\S-1-5-21-1676619715-1261724957-2306065445-1001..\Run: [Gaeku] C:\Users\brucek\AppData\Roaming\Hivop\idyw.exe (Cli19Soft ©) O3 - HKU\S-1-5-21-1676619715-1261724957-2306065445-1001\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1676619715-1261724957-2306065445-1001..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk () O4 - HKLM..\Run: [CCUTRAYICON] FactoryMode File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\zntport.sys -- (zntport) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) :Files C:\Users\brucek\AppData\Roaming\Hivop C:\Users\brucek\AppData\Roaming\Lurira C:\Users\brucek\AppData\Roaming\Hivop C:\Users\brucek\AppData\Roaming\Fimae C:\Users\brucek\Desktop\Search the Web.url C:\Users\brucek\AppData\Local\Temp*.html C:\Users\brucek\AppData\Roaming\mozilla\Firefox\Profiles\g3ko8u1j.default\extensions\ffxtlbr@incredibar.com C:\Users\brucek\AppData\Roaming\mozilla\Firefox\Profiles\g3ko8u1j.default\extensions\ffxtlbra@softonic.com C:\Users\brucek\AppData\Roaming\mozilla\Firefox\Profiles\g3ko8u1j.default\extensions\OneClickDownload@OneClickDownload.com C:\Users\brucek\AppData\Roaming\mozilla\Firefox\Profiles\g3ko8u1j.default\extensions\plugin@videofiledownload.com C:\Users\brucek\AppData\Roaming\mozilla\Firefox\Profiles\g3ko8u1j.default\extensions\plugin@yontoo.com C:\Users\brucek\AppData\Roaming\mozilla\firefox\profiles\g3ko8u1j.default\extensions\OneClickDownloader@OneClickDownloader.com.xpi C:\Users\brucek\AppData\Roaming\mozilla\firefox\profiles\g3ko8u1j.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi C:\Users\brucek\AppData\Roaming\mozilla\firefox\profiles\g3ko8u1j.default\searchplugins\MyStart Search.xml C:\Users\brucek\AppData\Roaming\mozilla\firefox\profiles\g3ko8u1j.default\searchplugins\sweetim.xml C:\Program Files\Mozilla Firefox\extensions\adapter@babylontc.com C:\Program Files\Mozilla Firefox\extensions\ocr@babylon.com C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Program Files\Przyspiesz Komputer netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Search Bar"=- "Search Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{336D0C35-8A85-403a-B9D2-65C292C39087}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przez Panel sterowania odinstaluj adware / śmieci: 1ClickDownloader, Babylon, Internet Explorer Toolbar 4.6 by SweetPacks, Softonic toolbar on IE and Chrome, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, V9 HomeTool, VideoFileDownload, Web Assistant 2.0.0.455, Yontoo 1.10.02. 3. Otwórz Google Chrome i przejdź do ustawień. W Rozszerzeniach odinstaluj 1Click Downloader, OneClickDownload, SweetIM for Facebook, SweetPacks Chrome Extension, Montiera Chrome Toolbar. W zarządzaniu wyszukiwarkami przestaw domyślną z SweetIM Search na Google, po tym SweetIM Search usuń z listy. 4. Zresetuj plik preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit ten plik: C:\Users\brucek\AppData\Roaming\mozilla\Firefox\Profiles\g3ko8u1j.default\prefs.js Uruchom Firefox (stworzy nowy czysty prefs.js). Ustawienia będą domyślne, toteż ręcznie ustaw sobie takie rzeczy jak strona startowa etc. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Mam też pytanie - w systemie są obecne elementy czegoś co wygląda na Anonimity Gateway (KLIK ), czy taka aplikacja była i została odinstalowana? SRV - [2010-01-26 11:22:42 | 002,740,224 | ---- | M] () [On_Demand | Running] -- C:\Windows\System32\PrivacyProvider.exe -- (PrivacyProvider)O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Windows\System32\PrivacyProvider.dll ()O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Windows\System32\PrivacyProvider.dll ()O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Windows\System32\PrivacyProvider.dll ()O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Windows\System32\PrivacyProvider.dll ()O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\Windows\System32\PrivacyProvider.dll () podczas skanu Gmer'em komputer wywala blue screena, jeśli jednak uda mi się to wstawie też i log z niego Spróbuj odznaczyć w skanie sekcję IAT/EAT i ponowić próbę. . Odnośnik do komentarza
Undeadrice Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 A więc zrobiłem wszystko krok po kroku, co do anonimity gateway, to nie przypominam sobie abym coś takiego kiedykolwiek ściągał. Dołączam logi z adwcleaner i otl Co do komunikatów w avast, to tak, ustały AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Zadania wykonane i zostały poprawki. Skoro nie przypominasz sobie w ogóle tego Anonimity, to jego komponenty zostaną usunięte. 1. W pierwszej kolejności należy wypiąć z łańcucha sieciowego PrivacyProvider.dll. Start > w polu szukaniu wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset i zresetuj system w celu wdrożenia zmiań. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services PrivacyProvider :Files C:\Windows\System32\PrivacyProvider.exe C:\Windows\System32\PrivacyProvider.dll :Reg [HKEY_USERS\S-1-5-21-1676619715-1261724957-2306065445-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Odinstaluj też McAfee Security Scan, jakoś go ominęłam. Przypuszczalnie też instalacja typu adware jako sponsor instalatorów Adobe. 4. Zrób nowy log OTL z opcji Skanuj. . Odnośnik do komentarza
Undeadrice Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Wszystko wykonane, oto log. Wstawić też extras czy samo otl? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Nie, Extras po raz kolejny zbędny. Co do głównego raportu, to potwierdza on zmiany. Możemy przejść już do tej części: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Windows i wyliczone poniżej oprogramowanie: KLIK. W Twoim logu widać zainstalowane: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 7.0.6000.16982) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 18"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java SE Runtime Environment 6 Update 1"{32A3A4F4-B792-11D6-A78A-00B0D0160180}" = Java SE Development Kit 6 Update 18"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"avast5" = avast! Free Antivirus"CometBird (3.5.5)" = CometBird (3.5.5)"Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Przede wszystkim krytyczny poziom aktualizacji systemu, brak pakietów SP1+SP2, IE9 i łat wydanych po. Wszystko do nadrobienia. Następnie, wszystkie wyliczone wystąpienia Adobe, Java i Silverlight do deinstalacji (przed wprowadzeniem najnowszych wersji). Reszta do aktualizacji. Zgłoś się tu po wykonaniu całości, bo tak niski stan aktualizacji Windows brzmi podejrzanie, może jest tu jakiś błąd zapobiegający instalacji z Windows Update ... PS. Jest i mało sensowna kombinacja Gadu-Gadu 6.1 + Gadu-Gadu 10. To pierwsze tak stare, że szok, dziurawe i mało bezpieczne (brak szyfrowanych połączeń = możliwość podsłuchu), nie obsługuje już własnej sieci (problem wysokich numerów i wielu innych nieobsługiwanych cech nowego protokołu). To drugie to zasobożerny potwór, którego główny cel to reklamy a nie komunikacja. Zamiast takiego kalekiego połączenia proponuję alternatywę. Opisy: Darmowe komunikatory. Programy, które się nadają do zastępczej obsługi sieci Gadu: WTW, Kadu, AQQ, Miranda. Pogrubiony jest tu polecany. . Odnośnik do komentarza
Undeadrice Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Co do pakietów SP1 i SP2, to instalowałem je na 100%, dość dawno temu. Pozatym podczas aktualizacji windowsa wyświetla mi informacje że mam SP 2. Jak znajdę czas to od razu zajmę się aktualizacją reszty programów. Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 1. W Panelu sterowania w sekcji systemu wyświetla się napis Service Pack? Pokaż mi co jest w rejestrze. Uruchom SystemLook i do okna wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows Klik w Look. 2. Poza tym, nawet jeśli jest tu pakiet SP2, to nie ma wszystkich aktualizacji z Windows Update. Popatrz na datę procesu explorer.exe w logu: PRC - [2008-10-29 07:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe A już były aktualizacje nadpisujące ten plik ... . Odnośnik do komentarza
Undeadrice Opublikowano 29 Października 2012 Autor Zgłoś Udostępnij Opublikowano 29 Października 2012 Mała pomyłka, okazało się że jednak ich nie zainstalowałem, chociaż je ściągnąłem. Jednak pojawił się drugi problem.... Otóż włączyłem automatyczne aktualizacje windowsa, ściągnął najpierw 40 pomniejszych aktualizacji po czym ściągnął SP1 i zaczął go instalować, po instalacji komputer się zrestartował lecz... system się nie uruchomił, jedynym sposobem było użycie przywracania systemu. Co może powodować taki problem? Próbować ponownie zainstalować SP? Odnośnik do komentarza
picasso Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 (edytowane) ściągnął SP1 i zaczął go instalować, po instalacji komputer się zrestartował lecz... system się nie uruchomił, jedynym sposobem było użycie przywracania systemu. Co może powodować taki problem? Próbować ponownie zainstalować SP? Hmmm... Sprawdź to ponownie, czy instalacja SP1 skutkuje dokładnie tym samym problemem. Jeśli tak, to trzeba będzie zanalizować dzienniki zdarzeń, bo sam opis problemu nic nie daje (tysiące możliwości co może być nie tak). . Edytowane 30 Listopada 2012 przez picasso 30.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi