Skocz do zawartości

Zarżnięty system


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Brak oznak infekcji, choć nie dałeś obowiązkowego raportu z GMER. OTL go nie zastąpi, OTL nie widzi rzeczy ukrytych. Komentarze do tego co opowiada OTL:

 

1. Widoczne tylko adware, ale to nie ma związku z głównymi problemami. Doczyszczanie adware, wpisów pustych i szczątków Firefox (wygląda na odinstalowany) oraz innych aplikacji w spoilerze.

 

 

 

1. Przez Panel sterowania odinstaluj adware MediaBar 2.0, Vuze Toolbar oraz naciągacza Wru! 1.1.1.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\Mozilla Firefox
C:\Documents and Settings\xxx\Dane aplikacji\Mozilla
C:\Documents and Settings\All Users\Dane aplikacji\3038A
C:\Documents and Settings\All Users\Dane aplikacji\Fighters
C:\Documents and Settings\All Users\Dane aplikacji\Hitman Pro
C:\Documents and Settings\All Users\Dane aplikacji\MyHeritage
C:\Documents and Settings\xxx\Dane aplikacji\MyHeritage
C:\Documents and Settings\xxx\Dane aplikacji\Opera
C:\WINDOWS\tasks\SLOW-PCfighter.job
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:OTL
IE - HKLM\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}"
IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q={searchTerms}&crm=1"
IE - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}"
IE - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}"
IE - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q={searchTerms}&crm=1"
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found
O4 - HKU\S-1-5-21-1957994488-1563985344-725345543-1004..\Run: [Wru] C:\Program Files\Wru\Wru.exe File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Następnie w OTL zastosuj Sprzątanie.

 

3. Uruchom AdwCleaner i zastosuj Delete. Po ukończeniu pracy z narzędziem zastosuj Uninstall.

 

4. Poprawka na domyślne wyszukiwarki IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{A9725E0F-2D2A-4885-BE2A-F746EF85130B}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

 

2. W Dzienniku zdarzeń błąd Office:

 

[ Application Events ]

Error - 2012-11-11 17:51:50 | Computer Name = XXX-200D9881551 | Source = MsiInstaller | ID = 11706

Description = Produkt: Microsoft Office 2000 Standard -- Błąd 1706. Nie można znaleźć

właściwego źródła dla produktu Microsoft Office 2000 Standard. Program Windows

installer nie może kontynuować.

 

Widać tę pozycję na liście jakoby zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{00020415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Standard

 

Pozbądź się tego za pomocą narzędzia: KLIK.

 

3. System zapuszczony, wykazuje archaiczne cechy. eDonkey (rok 2003/2004) uruchomiony?! Odinstaluj tę śmierć. Podobnie jak przestarzały Avast. Do deinstalacji też stare wtyczki Adobe i aktualizacja reszty:

 

Internet Explorer (Version = 7.0.5730.13)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.1

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)

"Gadu-Gadu" = Gadu-Gadu 7.7

"Google Chrome" = Google Chrome

 

4. Nędza z miejscem na dysku. Alarmująco niski poziom wolnego:

 

Drive C: | 39,06 Gb Total Space | 0,57 Gb Free Space | 1,45% Space Free | Partition Type: NTFS

 

Przy ~500MB wolnego o nieznanym stopniu fragmentacji można się spodziewać spowolnienia i zamulenia systemu. Być może nieco więcej wolnego pojawi się po wykonaniu czyszczenia ze spoilera (jest tam uwzględnione czyszczenie lokalizacji tymczasowych i folderów Przywracania systemu).

 

 

Maszyna po awarii zasilania, w następstwie której padła grafika. System jak w temacie tzn. problemy z uruchamianiem (restarty), w drzewie procesów uruchomione nieznane mi procesy ( 45-50 po starcie)

 

To co temat robi w dziale diagnostyki infekcji? Przecież awaria zupełnie innej skali. I przybliż bardziej szczegółowo zdarzenia. A te "nieznane mi procesy" to nawet nie napisałeś o co Ci chodzi, które masz na myśli. Jeśli doświadczasz BSOD, to do wykonania diagnostyka rozpisana w punkcie 5: KLIK.

 

 

 

 

.

Odnośnik do komentarza

Temat dałem w dziale diagnostyka, ponieważ restarty nie przypominają BSOD ( nie ma blue screen ). Oczywiście o GMER zapomniałem, a zgłosił możliwość rootkit podczas skanowania! Biję się w pierś i zał. log.

Procesy z menedżera zadań, zredukowały się po przeprowadzeniu procedur ze spoilera (Cześci tego nie udało się odinstalować). Maszyna nadal zachowuje się niestabilnie/niewydajnie ( restarty, spowolnienie, nadużywanie zasobów CPU ).

Proszę o analizę logów ( dodaje też nowe z OTL po czyszczeniu/aktualizacji ) i pomoc.

gmrlog.txt

Extras.Txt

OTL.Txt

Odnośnik do komentarza

GMER nie wygląda dobrze.

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile: 
C:\WINDOWS\system32\msxun1er9.dll
C:\WINDOWS\System32\msw-n0ode.dll
 
DeleteFolder: 
"C:\Program Files\Kergpthwexmxz"
 
DeleteRegValue: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\15518
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\15518
 
DeleteRegKey:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1247C5-43CB-F9A4-32E1-52DEE1FDE352}

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

O3 - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.

O3 - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\Toolbar\WebBrowser: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - No CLSID value found.

[2012-11-12 22:41:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\121C5

[2009-08-19 18:33:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Wru

 

:Reg

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

:Commands

[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Zrób nowy log z GMER + OTL z opcji Skanuj (bez Extras). Wklej do posta zawartość raportu BlitzBlank.

 

 

.

Odnośnik do komentarza

BlitzBlank 1.0.0.32

File/Registry Modification Engine native application

MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\msxun1er9.dll", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\msw-n0ode.dll", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\aysfudh.exe", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\help.chm", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz\Log", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz\Log\Audio", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz\Log\Text", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Text\aiocht.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Text\aiotxt.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Text\aioweb.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz\Log\Visual", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04192010.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04202010.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04212010.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04222010.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04232010.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04252010.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\unins000.dat", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\unins000.exe", destinationFile = "(null)", replaceWithDummy = 0

DeleteRegistryValueOnReboot: keyName = "\Registry\Machine\hkey_local_machine\software\microsoft\windows\currentversion\run", valueName = "15518", backupFile = "(null)", replaceWithDummy = 0

DeleteRegistryValueByDriver: keyName = "\Registry\Machine\hkey_local_machine\software\microsoft\windows\currentversion\run", valueName = "15518", backupFile = "(null)", replaceWithDummy = 0

DeleteRegistryValueOnReboot: keyName = "\Registry\Machine\hkey_current_user\software\microsoft\windows\currentversion\run", valueName = "15518", backupFile = "(null)", replaceWithDummy = 0

DeleteRegistryValueByDriver: keyName = "\Registry\Machine\hkey_current_user\software\microsoft\windows\currentversion\run", valueName = "15518", backupFile = "(null)", replaceWithDummy = 0

DeleteRegistryKeyOnReboot: keyName = "\Registry\Machine\hkey_local_machine\software\classes\clsid\{6a1247c5-43cb-f9a4-32e1-52dee1fde352}", backupFile = "(null)", replaceWithDummy = 0

DeleteRegistryKeyByDriver: keyName = "\Registry\Machine\hkey_local_machine\software\classes\clsid\{6a1247c5-43cb-f9a4-32e1-52dee1fde352}", backupFile = "(null)", replaceWithDummy = 0

grm.txt

OTL.Txt

Odnośnik do komentarza

Infekcja rootkit pomyślnie usunięta. Czy po tej operacji notujesz poprawę w działaniu systemu?

 

1. Poprawka, bo puste wpisy po infekcji zostały. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [15518] C:\Program Files\Kergpthwexmxz\aysfudh.exe ay File not found
O4 - HKU\S-1-5-21-1957994488-1563985344-725345543-1004..\Run: [15518] C:\Program Files\Kergpthwexmxz\aysfudh.exe ay File not found
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Nastąpi restart.

 

2. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, a komponenty BlitzBlank skasuj ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na ten punkt zejdzie dużo czasu. Wykonaj skany dla pewności, za pomocą trzech aplikacji: Hitman Pro, Kaspersky Virus Removal Tool, Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). MBAM i Kasperskiego przekonfiguruj w opcjach na pełny skan. Jeżeli coś zostanie wykryte przez te skanery, przedstaw ich raporty.

 

 

 

.

Edytowane przez picasso
14.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...