piN Opublikowano 28 Września 2010 Zgłoś Udostępnij Opublikowano 28 Września 2010 Witam serdecznie! Od niedawna komp zaczął mi wolno chodzić... Po zalogowaniu się na konto ikonki traya nie ładują się a po najechaniu na pasek zadań mam klepsydre. Dopóki klepsydra nie zniknie nie mogę nic zrobić (otworzyć folder, włączyć program, wejść w menu start). Niedawno program "Malwarebytes' Anti-Malware" znalazł mi jakiegoś 'Trojan.gen', próbowałem go usunąć ale nie wiem czy coś to pomogło. Brak logu z GMERa spowodowany jest zawieszaniem programu podczas skanowania. Oto logi (hasło do pobrania w każdym pliku to "logi"): http://www.przeklej.pl/plik/defogger-disable-log-0021cb8ig6jo http://www.przeklej.pl/plik/otl-txt-0021cb8u52mv http://www.przeklej.pl/plik/extras-txt-0021cb94f1dc http://www.przeklej.pl/plik/rootrepeal-report-09-28-10-16-11-20-txt-0021cb9b640i Proszę o pomoc! Pozdrawiam! Odnośnik do komentarza
Landuss Opublikowano 28 Września 2010 Zgłoś Udostępnij Opublikowano 28 Września 2010 Zacznijmy od tego że tu był stosowany ComboFix i nic o tym nie wspominasz. Pokaz log z jego pracy bo musi być wiadome co on tam robił. Gmerem się nie przejmuj. Dałeś RootRepeal a to jest wlaściwie to samo i wystarczy. W logach nie widać czynnej infekcji, ale jest podejrzenie, że tu była infekcja podstawiająca sterowniki co jest widoczne w logu: DRV - [2004-08-03 23:00:14 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\changer.sys -- (Changer) DRV - [2004-08-03 22:59:34 | 000,034,688 | ---- | M] (Toshiba Corp.) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\lbrtfdc.sys -- (lbrtfdc) Plików changer.sys + lbrtfdc.sys normalnie na XP być nie powinno. Normalne zjawisko to puste usługi bez plików. Twój objaw spowolnienia pracy systemu pasuje do tej infekcji. 1. Wchodzisz w start >>> uruchom >>> devmgmt.msc i na liście usuwasz wszystkie urządzenia mające pytajnik lub wykrzyknik (o ile takie będą). 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\XVSROXXBIUVV.exe -- (XVSROXXBIUVV) SRV - File not found [On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\XEJX.exe -- (XEJX) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\mklmon32.exe -- (Mklmonservice) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\vitality.sys -- (Vitality) DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\SAS_SelfExtract\SASKUTIL.sys -- (SASKUTIL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\SAS_SelfExtract\SASENUM.SYS -- (SASENUM) DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\SAS_SelfExtract\SASDIFSV.SYS -- (SASDIFSV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\admin\Pulpit\xqz ring0 by dedi\xqz ring0 by dedi\injectDLL.sys -- (injectDLL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ftser2k.sys -- (FTSER2K) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ftdibus.sys -- (FTDIBUS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ENTECH.sys -- (ENTECH) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\CnxTgNW.sys -- (CnxTgNW) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\CnxEtU.sys -- (CnxEtU) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\CnxEtP.sys -- (CnxEtP) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\ChangeMe.sys -- (ChangeMe) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPANEL.SYS -- (Cardex) O3 - HKU\S-1-5-21-1229272821-73586283-839522115-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. :Files C:\WINDOWS\System32\drivers\changer.sys C:\WINDOWS\System32\drivers\lbrtfdc.sys :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokarz wynikowy log. Odnośnik do komentarza
piN Opublikowano 29 Września 2010 Autor Zgłoś Udostępnij Opublikowano 29 Września 2010 Oto logi z Combofixa: http://www.przeklej.pl/plik/combofix-txt-0021dv30p1dc 1. Żadnych wykrzykników ani pytajników nie było. 2. OTL wykonal skrypt. A oto log ktory ukazal sie po restarcie: http://www.przeklej.pl/plik/09292010-165021-log-0021dv9t07tb Co dalej ? Pozdrawiam! Odnośnik do komentarza
Landuss Opublikowano 29 Września 2010 Zgłoś Udostępnij Opublikowano 29 Września 2010 Czy coś się poprawiło po tych zabiegach? Wykonaj jeszcze log z OTL na takim ustawieniu - sekcja Usługi i sekcja Sterowniki zaznacz Wszystko, a reszte ustaw na brak i wykonaj log. Odnośnik do komentarza
piN Opublikowano 5 Października 2010 Autor Zgłoś Udostępnij Opublikowano 5 Października 2010 Komputer dalej muli się podczas włączania Oto log: http://www.przeklej.pl/plik/otl-txt-0021l26he96u Może ten trojan.gen którego kiedyś znalazłem daje o sobie znać? Pozdrawiam! Odnośnik do komentarza
Landuss Opublikowano 5 Października 2010 Zgłoś Udostępnij Opublikowano 5 Października 2010 (edytowane) Może ten trojan.gen którego kiedyś znalazłem daje o sobie znać? Nie masz aktywnej infekcji. Wejdź w start >>> uruchom >>> cmd i wklej kolejno: SC DELETE njtifoe SC DELETE zqshg W dalszej kolejności możesz pozbyć się Hamachi. Sprawdzić też należy czy to aby NOD nie powoduje tego spowolnienia. Sprawdź też jak się zachowuje komputer w trybie awaryjnym. Edytowane 5 Listopada 2010 przez picasso 5.11.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi