Queboocha Opublikowano 1 Listopada 2012 Zgłoś Udostępnij Opublikowano 1 Listopada 2012 Dobry wieczór. Mam problem z infekcją (prawdopodobnie) w komputerze rodziców. Objawia się istotnym spowolnieniem ładowania stron internetowych. Poza tym, z wybranymi adresami nie mogę się połączyć (próba wejścia na stronę online scannera F-Secure czy ESET skutkuje wyświetleniem googlowego komunikatu 404: The requested URL was not found on this server). Wśród procesów działających w systemie wykryłem niepokojące wpisy: cozewooh.exe, cudoovumoo.exe, a także dwa o dziwnej nazwie z rozszerzeniem .tmp (widoczne w załączonych logach). Dodam, że komputer nie jest użytkowany zbyt często (pierwsze wpisy pochodzące od wspomnianych wyżej plików sprzed miesiąca, nieaktualna wersja SO, itd.) - w nieodległej perspektywie czasu rozważam format i postawienie nowego Windowsa, ale aktualnie chcę się uporać z tym problemem. Proszę o pomoc. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2012 Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Istotnie, mamy tu infekcję, ale to ciekawe, że nie zgłaszasz blokady UKASH, bo ona też tu jest ... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-1004336348-2000478354-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-1004336348-2000478354-725345543-1003\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKU\S-1-5-21-1004336348-2000478354-725345543-1003\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM..\Run: [sNTSearch] C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1179\SNTSearch.exe () O4 - HKLM..\Run: [zemommo] C:\WINDOWS\system32\cozewooh.exe () O4 - HKU\S-1-5-21-1004336348-2000478354-725345543-1003..\Run: [Ledeozyped] C:\Documents and Settings\Ja\Dane aplikacji\Ifnyi\inev.exe () SRV - [2012-09-27 10:11:33 | 000,154,624 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cudoovumoo.exe -- (ux2aetuiaieby) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Ja\USTAWI~1\Temp\sony_ssm.sys -- (sony_ssm.sys) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Gry\Gry Strategiczne\Lineage II Oath of Blood\system\npkcusb.sys -- (npkcusb) DRV - File not found [Kernel | Auto | Stopped] -- D:\Gry\Gry Strategiczne\Lineage II Oath of Blood\system\npkcrypt.sys -- (npkcrypt) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Programy użytkowe\MediaCoder\SysInfo.sys -- (CrystalSysInfo) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab" (Reg Error: Key error.) :Files C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1179 C:\Documents and Settings\Ja\Dane aplikacji\Alulme C:\Documents and Settings\Ja\Dane aplikacji\Ifnyi C:\Documents and Settings\Ja\Dane aplikacji\Ogiw C:\Documents and Settings\Ja\Dane aplikacji\FVDToolbar C:\Documents and Settings\All Users\Dane aplikacji\~9QuOBZOT3T C:\Documents and Settings\All Users\Dane aplikacji\~9QuOBZOT3Tr C:\Documents and Settings\All Users\Dane aplikacji\9QuOBZOT3T C:\Documents and Settings\Ja\Y=Y= :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przez Panel sterowania odinstaluj zbędny Logitech Desktop Messenger. 3. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + GMER. . Odnośnik do komentarza
Queboocha Opublikowano 3 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2012 "Znany" komunikat o blokadzie komputera się nie ujawniał. Po wykonaniu skryptu wspomniane przeze mnie objawy ustały. Załączam logi. OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 3 Listopada 2012 Zgłoś Udostępnij Opublikowano 3 Listopada 2012 Przejdź do kolejnej porcji zadań: 1. Nie wygląda na to, że usunąłeś śmiecia Logitech Desktop Messenger. Nadal widzę jego protokoły zarejestrowane. 2. Ostał się (już pusty) wpis po infekcji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1004336348-2000478354-725345543-1003..\Run: [Ledeozyped] "C:\Documents and Settings\Ja\Dane aplikacji\Ifnyi\inev.exe" File not found Klik w Wykonaj skrypt. Gdy zadanie się ukończy, uruchom Sprzątanie kasujące kwarantannę i program. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. W razie wykrycia czegoś przedstaw raport. . Odnośnik do komentarza
Queboocha Opublikowano 3 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2012 Wykonane. MBAM nie wykrył żadnego zagrożenia; wydaje się, że już jest wszystko w porządku. Dzięki za pomoc Jeszcze tylko apropos Logitech Messengera: zleciłem wcześniej usunięcie poprzez Panel sterowania (i teoretycznie usuwanie zakończyło się pomyślnie) - ale faktycznie w logu pozostało O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Klawiatura\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (Logitech Inc.) Czy w tej sytuacji powinienem usunąć powyższy wpis ręcznie z pozycji OTL? Odnośnik do komentarza
picasso Opublikowano 3 Listopada 2012 Zgłoś Udostępnij Opublikowano 3 Listopada 2012 Na początek sprawdź prostą derejestrację pliku. W Start > Uruchom wklej komendę: regsvr32 /u "C:\Program Files\Logitech\Klawiatura\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll" Po tym zrób nowy skan OTL i sprawdź czy nadal widać O18. . Odnośnik do komentarza
Queboocha Opublikowano 3 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2012 Derejestracja się udała, w nowym logu brak tamtego wpisu. Jeszcze raz dziękuję Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2012 Zgłoś Udostępnij Opublikowano 5 Listopada 2012 Dodam, że komputer nie jest użytkowany zbyt często (pierwsze wpisy pochodzące od wspomnianych wyżej plików sprzed miesiąca, nieaktualna wersja SO, itd.) - w nieodległej perspektywie czasu rozważam format i postawienie nowego Windowsa, ale aktualnie chcę się uporać z tym problemem. Przy stawianiu nowego Windows nie zapomnij o aktualizacji Windows, bo tu oglądany system ma katastrofalny poziom załatania: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Temat rozwiązany, zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi