zelgawis2 Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 witam od wczoraj komputer strasznie zamula, nawet kiedy nie ma wlaczonych zadnych programow zuzycie procesora w menedzerze zadan jest rzedu min. 50%, czesto 100%. jest to prawdopodobnie wiona wirusow(?) prosze o pomoc, w zalaczniku zamiescilem potrzebne logi. Extras.Txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 Log z GMER zrobiłeś w złych warunkach, nie odinstalowałeś emulatora DAEMON Tools i sterownika SPTD (KLIK): DRV:64bit: - [2010-12-24 17:03:34 | 000,834,544 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd) Śmietnisko ogromne: infekcje (w tym coś w typie keyloggera z opisem "mIRC"), masa adware zainstalowana. I czuję że się powtarzam, sytuacja podobna do wcześniejszego tematu: KLIK. Wprawdzie inny system, ale nader podobny zestaw infekcji i śmieci, co sugeruje że jest "wspólne" źródło, rzeczy które powtarzasz. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{1495B365-273C-4677-9384-4FE904E11572}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=f80566c3-24fc-11e1-b1ba-002622e9499f&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3225826 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={113E8AAF-0D4C-11E2-B190-002622E9499F} IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=119535&tt=gc_&babsrc=SP_ss&mntrId=409C0026B646B5B2 IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\SearchScopes\{1495B365-273C-4677-9384-4FE904E11572}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=f80566c3-24fc-11e1-b1ba-002622e9499f&q={searchTerms} IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=f80566c3-24fc-11e1-b1ba-002622e9499f&q={searchTerms} IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\SearchScopes\{77131D86-49D5-42BA-9F7C-BD9196B83691}: "URL" = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms} IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3225826 IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\SearchScopes\{ECFE5DAF-F50E-43AC-A3E4-7A8C1EF308FE}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=A35A9EBC-8BD8-4ED5-B89D-DAC23F88905E&apn_sauid=5B06C41D-FEF5-4C69-A2EB-3D20D1F84D6B IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={113E8AAF-0D4C-11E2-B190-002622E9499F} O2 - BHO: (DealPly Shopping) - {4B6ACEA2-308A-4876-AD36-57CEC5B4FCC7} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly) O3 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKLM..\Run: [A4786424] C:\Users\Toshiba\AppData\Roaming\A4786424.exe () O4 - HKLM..\Run: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe File not found O4 - HKLM..\Run: [falcon] C:\Windows\SysWOW64\87p3MrKn.exe () O4 - HKLM..\Run: [updateShield] C:\Windows\SysWOW64\r2c\mirc.exe (mIRC Co. Ltd.) O4 - HKLM..\Run: [VVSN] C:\Program Files (x86)\VVSN\VVSN.exe (WhenU.com) O4 - HKLM..\Run: [Windows Update] C:\Program Files (x86)\Common Files\System\win32.exe (Vérifiera emergées http://www.Menteurs.com) O4 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000..\Run: [A4786424] C:\Users\Toshiba\AppData\Roaming\A4786424.exe () O4 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000..\Run: [Carup] C:\Users\Toshiba\AppData\Roaming\Eqby\xiofi.exe (Корпорация Майкрософт) O4 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000..\Run: [ChomikBox] C:\Program Files (x86)\ChomikBox\chomikbox.exe File not found O4 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000..\Run: [iniciarProgramas] C:\Windows\system\run.bat () O4 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000..\Run: [Mnamay] C:\Users\Toshiba\AppData\Roaming\Mnamay.exe ( ) O4 - HKLM..\RunOnce: [A4786424] C:\Users\Toshiba\AppData\Roaming\A4786424.exe () O4 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000..\RunOnce: [A4786424] C:\Users\Toshiba\AppData\Roaming\A4786424.exe () F3:64bit: - HKU\S-1-5-18 WinNT: Run - (c:\windows\syswow64\explorer\scvhost.exe) - c:\Windows\SysWOW64\Explorer\scvhost.exe (mIRC Co. Ltd.) F3 - HKU\S-1-5-18 WinNT: Run - (c:\windows\syswow64\explorer\scvhost.exe) - c:\Windows\SysWOW64\Explorer\scvhost.exe (mIRC Co. Ltd.) O7 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = SRV - [2013-05-08 13:06:41 | 000,122,880 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\Ji9Tf6jV.exe -- (Sshdaemon) SRV - [2013-04-11 11:04:58 | 000,159,744 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\adblock.exe -- (BannerBlocker2) SRV - [2005-08-09 11:58:50 | 000,061,440 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\inetcfg\sd.exe -- (ssv) SRV - [2005-08-09 11:58:50 | 000,061,440 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\inetcfg\sd.exe -- (lsass) :Files C:\Windows\SysWow64\wmpktb32.exe C:\Windows\SysWow64\8rHvBLjB.exe C:\Windows\SysWow64\Explorer C:\Windows\SysWow64\inetcfg C:\Windows\SysWow64\r2c C:\Windows\SysWow64\logs C:\Windows\SysWow64\inst.bat C:\Windows\SysWow64\libcurl-4.dll C:\Windows\SysWow64\libidn-11.dll C:\Windows\SysWow64\librtmp.dll C:\Windows\SysWow64\zlib1.dll C:\Windows\SysWow64\libgcc_s_dw2-1.dll C:\Windows\SysWow64\mingwm10.dll C:\Windows\SysWow64\adnav.exe C:\Windows\SysWow64\adstop.exe C:\Windows\SysWow64\ltserial.dll C:\Windows\System\system.lg* C:\Windows\System\system.xdcc C:\Windows\System\system.state C:\Windows\System\system.xdcc~ C:\Windows\System\system.state~ C:\Windows\System\lsass.dll C:\Windows\System\svchost.dll C:\Windows\System\cygwin1.dll C:\Windows\System\cygiconv-2.dll C:\Windows\System\cygcrypto-0.9.8.dll C:\Windows\System\cygruby18.dll C:\Windows\System\cyggnutls-26.dll C:\Windows\System\cyggcrypt-11.dll C:\Windows\System\cygcurl-4.dll C:\Windows\System\cygssl-0.9.8.dll C:\Windows\System\cygidn-11.dll C:\Windows\System\cygssh2-1.dll C:\Windows\System\cygz.dll C:\Windows\System\cygtasn1-3.dll C:\Windows\System\cyggcc_s-1.dll C:\Windows\System\cygintl-8.dll C:\Windows\System\cygGeoIP-1.dll C:\Windows\System\cyggpg-error-0.dll C:\Windows\System\cygcrypt-0.dll C:\Users\Toshiba\AppData\Local\Lollipop C:\Users\Toshiba\AppData\Roaming\*.exe C:\Users\Toshiba\AppData\Roaming\BabSolution C:\Users\Toshiba\AppData\Roaming\DealPly C:\Users\Toshiba\AppData\Roaming\Eqby C:\Users\Toshiba\AppData\Roaming\Ifdat C:\Users\Toshiba\AppData\Roaming\Ocuwpy C:\Users\Toshiba\AppData\Roaming\PerformerSoft C:\Users\Toshiba\AppData\Roaming\Systweak C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A4786424.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\A4786424.exe C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly C:\ProgramData\IBUpdaterService C:\Program Files (x86)\DealPly C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\VVSN C:\Windows\tasks\Lyrmix Update.job C:\Windows\tasks\DSite.job C:\Windows\tasks\ROC_JAN2013_TB_rmv.job netsh advfirewall reset /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware: 1ClickDownloader, Babylon Chrome Toolbar, Bitlord 1.2 Toolbar, BitTorrentControl_v12 Toolbar, Browsers Protector, Contextual Tool Extrafind, Delta toolbar, facemoods, Internet Explorer Toolbar 4.6 by SweetPacks, LiveVDO plugin 1.3, Lyrmix, McAfee Security Scan Plus, Norton Security Scan, SweetIM for Messenger 3.7, Update for Codec Pack oraz zbędny Akamai NetSession Interface. Odinstaluj również mIRC, to mi nie wygląda zdrowo patrząc na to co było w logu... 3. Otwórz Google Chrome, wejdź do ustawień i w Rozszerzeniach odinstaluj: BitTorrentControl_v12, DealPly Shopping, Funmoods, Facemoods, GoPhoto.it, Lyrmix, OneClickDownload, SweetIM for Facebook, SweetPacks Chrome Extension. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Uruchom Autoruns i w karcie Scheduled Tasks usuń wszystkie zadania o statusie "not found". 6. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KLIK. 7. Zrób nowy poprawiony GMER (po odinstalowaniu emulacji i SPTD) oraz nowy log OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj hklm\Software\Microsoft\Active Setup\Installed Components|scvhost.exe /RS Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. . Odnośnik do komentarza
zelgawis2 Opublikowano 25 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2013 komputer nie jest mój, tylko kolegi. ja nigdy z niego nie korzystałem osobiście, wiec mnie tez zdziwiła obecność plików o podobnej nazwie. kolega nawet nie wie co to jest mIRC, wiec 100% jest to jakaś niepożądana aplikacja. odinstalowałem daemon tools (wcześniej nie zauważyłem, ze jest - jw. komp nie mój) 1. ok 2. ok. 3. ok. 4. ok. log w załączniku. 5. Karta była pusta. 6. ok. 7. logi w załączniku. skan 2.txt OTL.Txt AdwCleanerS1.txt abc.txt Odnośnik do komentarza
picasso Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 (edytowane) Duża poprawa. Ale wymagane korekty: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System\lsass.exe C:\Users\Toshiba\AppData\Roaming\DSite C:\Users\Toshiba\AppData\Roaming\mozilla :OTL IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\URLSearchHook: {8c5878d0-6106-423b-aaa8-144c143dbf44} - No CLSID value found IE - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\URLSearchHook: {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - No CLSID value found O3 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\Toolbar\WebBrowser: (no name) - {8C5878D0-6106-423B-AAA8-144C143DBF44} - No CLSID value found. O3 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\..\Toolbar\WebBrowser: (no name) - {B6AC5E3C-5CEB-4E72-B451-F0E1BA983C14} - No CLSID value found. O4 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000..\Run: [Akamai NetSession Interface] "C:\Users\Toshiba\AppData\Local\Akamai\netsession_win.exe" File not found O4 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000..\Run: [ares] "C:\Program Files (x86)\Ares\Ares.exe" -h File not found O4 - HKU\S-1-5-21-2754264385-1261652437-1540506145-1000..\Run: [Mnamay] C:\Users\Toshiba\AppData\Roaming\Mnamay.exe File not found :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. W eksploratorze Windows w pasku adresów wklej i ENTER: C:\Users\Toshiba\AppData\Local W środku jest taki dziwny plik o "uszkodzonej" nazwie. Przez SHIFT+DEL skasuj ręcznie. Nie mogę go zadać w skrypcie, bo forum obcina i to by oznaczało przetworzenie katalogu Local a nie pliku w nim. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Edytowane 2 Lipca 2013 przez picasso 2.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi