Dziwne zacinki

[Grendzior]

Witam. Od niedawna mam pewien problem, a mianowicie: podczas gry w mało wymagajaca gierke na wystarczajaco dobrym komputerze mam "zacinki", a ,gdy juz duzo sie dzieje na monitorze (podczas gry) to mam takie lagi ze nie da sie nic zrobić. Od razu dodam, ze nie sa to problemy zwiazane z internetem wiec moze jakis szkodliwy wirus.. Problemy pojawily się niedawno takze prosilbym o pomoc. W linkach zalaczam logi.

 

otl.txt

http://www.wklej.org/id/898664/

 

extras.txt

http://www.wklej.org/id/898665/

[picasso]

Nie został dostarczony obowiązkowy raport z GMER. W OTL brak oznak infekcji. Komentarze na temat raportów:

 

1. Używałeś ComboFix (nie został nawet prawidłowo odinstalowany) i na ten temat: KLIK. Na dodatek był to ComboFix pobrany z serwisu, który nie ma autoryzacji (C:\ComboFix_www.INSTALKI.pl_). Instalki nie mają pozwolenia na rehostowanie pliku, a konsekwencje umieszczania na własnym serwerze to m.in. kompletna niezdolność podążania za aktualizacjami. Już tu była masa przypadków, że użytkownicy uruchamiali starą wygasłą wersję, podczas gdy na serwerze domowym najnowsza w pełni sprawna. Pobieranie ComboFix z Instalek = nigdy.

 

2. Jest tu nieprawidłowo odinstalowany Symantec, skombinowany z Avastem i COMODO Internet Security. Rzeźnia! Z poziomu Dodaj/Usuń Programy odinstaluj pozycje LiveUpdate. Następnie wejdź w Tryb awaryjny Windows i zastosuj narzędzie Norton Removal Tool.

 

3. Dziwne rzeczy z Avast. Nie wygląda na prawidłowo zainstalowany / zaktualizowany. Otóż uruchamiają się dwa wystąpienia, stare + nowe:

 

========== Processes (SafeList) ==========
 
PRC - [2012-07-03 18:21:30 | 004,273,976 | ---- | M] (AVAST Software) -- C:\Program Files\AVAST Software\Avast\AvastUI.exe
PRC - [2009-11-25 00:51:35 | 000,138,680 | ---- | M] (ALWIL Software) -- C:\Program Files\Alwil Software\Avast4\ashServ.exe

 

Z Poziomu Panelu sterowania odinstaluj Avast. Następnie w Trybie awaryjnym popraw narzędziem Avast Uninstall Utility.

 

4. Wyczyść też inne drobne rzeczy i adware. Instrukcje w spoilerze.

 

 

 

1. Przez Dodaj/Usuń programy odinstaluj śmieci adware DAEMON Tools Toolbar, Deinstalator Strony V9 oraz archaiczny Skaner on-line mks_vir.

 

2. Otwórz Google Chrome i zarządzaniu wyszukiwarkami przestaw domyślną ze SweetIM Search na Google, po tym SweetIM Search usuń z listy.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}"
IE - HKU\S-1-5-21-823518204-1770027372-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=48df5920-7600-11e1-b0bf-00248c3fce2b&q={searchTerms}"
IE - HKU\S-1-5-21-823518204-1770027372-1417001333-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=stonicla&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-823518204-1770027372-1417001333-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-823518204-1770027372-1417001333-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKU\S-1-5-21-823518204-1770027372-1417001333-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}"
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O15 - HKU\S-1-5-21-823518204-1770027372-1417001333-1003\..Trusted Domains: mks.com.pl ([]http in Zaufane witryny)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Oskar\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\36B6A76C00017E38699563250CDF108C
C:\Documents and Settings\All Users\Dane aplikacji\67B889C8005404E0BCF2348581CB3EF3
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\All Users\Dane aplikacji\nE13602DnAoL13602
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Delete. AdwCleaner pobierz ze strony domowej, a nie Instalek!

 

5. Skoryguj domyślne wyszukiwarki Internet Explorer po użyciu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{7D559B48-DAC5-4B6F-87CC-1A15261D6538}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{7D559B48-DAC5-4B6F-87CC-1A15261D6538}"

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

 

 

 

 

podczas gry w mało wymagajaca gierke na wystarczajaco dobrym komputerze mam "zacinki", a ,gdy juz duzo sie dzieje na monitorze (podczas gry) to mam takie lagi ze nie da sie nic zrobić

 

1. Od strony systemu: Jeśli czyszczenie Symantec i Avast nie odniesie skutku, do sprawdzenia potencjalny wpływ COMODO Internet Security.

 

2. Od strony sprzętu: Podaj konkrety na temat "wystarczająco dobrego komputera" (KLIK), bo na razie lanie wody jak się patrzy.

 

 

 

.

[Grendzior]

Wykonalem powyzsze kroki i nie przynioslo to jednak wymaganego rezultatu . W odpowiedzi zalaczam log GMER i informacje na temat komputera z CPU-Z. Dodam przy okazji wymagania gry: Rekomendowane:

procesor Pentium III 600 MHz, 256 MB RAM, karta graficzna 32 MB jak widac wymagania sa male takze nie powinno byc problemow z lagami ....

GMER.txt

WILDE-7A8B64B85.txt

[picasso]

GMER sugeruje rootkita Rloader (patch sterownika systemowego acpi.sys):

 

---- Kernel code sections - GMER 1.0.15 ----
 
.text           ACPI.sys           F7241300 24 Bytes  [00, 00, 00, 00, 00, 00, 8B, ...]
.text           ACPI.sys           F7241319 7 Bytes  [00, 6A, 0C, E8, AD, 13, 01]
.text           ACPI.sys           F7241321 5 Bytes  [56, 68, CA, 46, 24]
.text           ACPI.sys           F7241327 3 Bytes  [68, 5B, 2A]
.text           ACPI.sys           F7241339 7 Bytes  [56, 6A, 0B, E8, 8D, 13, 01]
.text           ...                                                                                                                        
 
 
---- Threads - GMER 1.0.15 ----
 
Thread          System [4:148]           8AB5839F
Thread          System [4:452]           8A6F90F4

 

Wykonaj skan za pomocą Kaspersky TDSSKiller. Jeśli coś wykryje, nic jeszcze nie usuwaj = daj Skip i przedstaw log, który Kaspersky utworzy.

 

 

.

[Grendzior]

Zalaczam log z kaspersky

TDSSKiller.2.8.15.0_17.12.2012_15.57.36_log.txt

[picasso]

Diagnoza potwierdzona, rootkit czynny.

 

1. Uruchom TDSSKiller i tym razem dla wyniku Virus.Win32.Rloader.a wybierz akcję Cure. Zresetuj system.

 

2. Zrób nowy log z GMER, ale tym razem w prawidłowy sposób, bo poprzednim razem nie wykonałeś w ogóle ogłoszenia i sterownika SPTD nie ściągnąłeś: KLIK. Czyli: deinstalacja emulatorów + deinstalacja SPTD za pomocą SPTDInst + reset systemu. Po tym dopiero uruchamiasz GMER.

 

3. Zrób także nowy log OTL z opcji Skanuj, który przedstawi jak wykonałeś wcześniejsze zalecenia.

 

 

 

.

[Grendzior]

Tak więc log z OTL oraz GMER.

 

 

otl

 

http://www.wklej.org/id/899951/

GMER2.txt

[picasso]

Rootkit został pomyślnie usunięty. Tak więc czy problemy nadal występują? Natomiast co do OTL, to zostały małe poprawki. Na dysku jest także plik keyloggera z Tibia:

 

[2012-05-07 14:14:30 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\spdg.dll

 

Plik ten podmienia systemowy plik ws2_32.dll. Ale to tu raczej nie ma już miejsca, bo nie widać tego pliku w załadowanych modułach, ani w GMER nie ma takich nagrań. Plik można więc bezpiecznie usunąć. Przeprowadź następujące działania:

 

1. Przez Dodaj/Usuń programy odinstaluj archaiczny i problematyczny firewall NVIDIA ForceWare Network Access Manager.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\spdg.dll
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\Oskar\Dane aplikacji\ArcaBit
C:\Documents and Settings\Oskar\Dane aplikacji\ArcaVirMicroScan
C:\Documents and Settings\Oskar\Ustawienia lokalne\Dane aplikacji\NPE
C:\Documents and Settings\All Users\Dane aplikacji\Norton
rd /s /q C:\TDSSKiller_Quarantine /C
rd /s /q C:\ComboFix_www.INSTALKI.pl_ /C
 
:Services
cpuz135
 
:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. W Google Chrome ostała się wtyczka po adware LiveVDO:

 

========== Chrome  ==========
 
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Jej usunięcie wymaga już edycji kodu pliku preferencji. Skopiuj na Pulpit ten plik:

 

C:\Documents and Settings\Oskar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Ja plik zedytuję i odeślę z powrotem do podstawienia. Po tym poproszę o nowy log OTL.

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso