CzaryMary Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Witam. Od jakiegoś czasu mam ogromny problem z moim komputerem, otóż zaczął tragicznie chodzić i strasznie topornie reaguje na moje najmniejsze polecenie. Przykładowo gdy chcę otworzyć folder muszę poczekać na to z 5 sekund po kliknięciu. Nie wiem co może być problemem, dodam też że komputer jest leciwy ale jeszcze działa i chciałbym żeby było tak jak najdłużej. Prosiłbym o pomoc i doprowadzenie mojej maszyny do ładu w miarę możliwości. Poniżej załączam skan z OTL'a. Pozdrawiam Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 System jest w fatalnym stanie i zainfekowany. Po pierwsze, są tu ślady okropnego wirusa Sality, który infekuje wszystkie wykonywalne na wszystkich dyskach. Obecność Sality oznajmia ten sterownik oraz mnóstwo autoryzacji w Zaporze systemowej z opisem "ipsec": DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtsif.sys -- (amsint32) Jest tu także trojan btcl.exe oraz pliki JAR wskazujące na obecność trojana kradnącego hasła (wszystko prawdopodobnie nabyłeś z lewej paczki do którejś gry): O4 - HKU\S-1-5-21-682003330-1897051121-1417001333-1004..\Run: [btcl] C:\Documents and Settings\Krzysiek\Dane aplikacji\dist9\btcl.exe () [2013-01-14 19:27:06 | 001,335,014 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Dane aplikacji\sqlite.jar [2013-01-14 19:27:02 | 000,800,787 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Dane aplikacji\java_u.jar Poza tym, są i śmieci adware. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-682003330-1897051121-1417001333-1004\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://search.filebulldog.com/results/1/vmn/DA0608D875C7691481350C513A624401?q={searchTerms} IE - HKU\S-1-5-21-682003330-1897051121-1417001333-1004\..\SearchScopes\{A4C79C43-F733-47EE-BE8A-39E278E4453E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=5A7150FA-CF20-452A-8191-CEE6E74E51A6&apn_sauid=9E2CD728-E09B-4716-9E32-A0EF2C153FC8 IE - HKU\S-1-5-21-682003330-1897051121-1417001333-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2031308 O3 - HKLM\..\Toolbar: (StylerToolBar) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programy i gry\Styler\TB\StylerTB.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [vProt] "C:\Programy i gry\AVG Secure Search\vprot.exe" File not found O4 - HKU\S-1-5-21-682003330-1897051121-1417001333-1004..\Run: [btcl] C:\Documents and Settings\Krzysiek\Dane aplikacji\dist9\btcl.exe () O4 - HKU\S-1-5-21-682003330-1897051121-1417001333-1004..\Run: [PCSpeedUp] C:\Programy i gry\Przyspiesz Komputer\PCSpeedUp.lnk () O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtsif.sys -- (amsint32) DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\5689.sys -- (5689) DRV - File not found [File_System | On_Demand | Stopped] -- C:\Programy i gry\IObit\Game Booster 3\Driver\WinRing0.sys -- (WinRing0_1_2_0) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igxpmp32.sys -- (ialm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - [2013-02-11 14:47:06 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp) SRV - [2013-02-11 14:47:06 | 000,965,296 | ---- | M] () [Auto | Running] -- C:\Programy i gry\Common Files\AVG Secure Search\vToolbarUpdater\14.1.7\ToolbarUpdater.exe -- (vToolbarUpdater14.1.7) :Files C:\WINDOWS\kb680802.exe C:\WINDOWS\kb210068.exe C:\WINDOWS\kb763382.exe C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\WINDOWS\tasks\ROC_JAN2013_TB_rmv.job C:\WINDOWS\tasks\Game_Booster_AutoUpdate.job C:\WINDOWS\tasks\Your File Updater.job C:\WINDOWS\tasks\BearShareNAG.job C:\WINDOWS\System32\theowl.dll C:\Programy i gry\wisptis.exe C:\Programy i gry\trustedinstaller.exe C:\Programy i gry\ntvdm.exe C:\Programy i gry\install.exe C:\Programy i gry\dwm.exe C:\Programy i gry\webscanx.exe C:\Programy i gry\terraria.exe C:\Programy i gry\igfxtray.exe C:\Programy i gry\spoolsv.exe C:\Programy i gry\edit.exe C:\Programy i gry\start.exe C:\Programy i gry\ielowutil.exe C:\Programy i gry\Przyspiesz Komputer C:\Programy i gry\mozilla firefox\searchplugins\fcmdSrchstonicla.xml C:\Programy i gry\mozilla firefox\searchplugins\filebulldogtb.xml C:\Programy i gry\mozilla firefox\searchplugins\Search the web.src C:\Programy i gry\Common Files\AVG Secure Search C:\Documents and Settings\Krzysiek\Dane aplikacji\sqlite.jar C:\Documents and Settings\Krzysiek\Dane aplikacji\java_u.jar C:\Documents and Settings\Krzysiek\Dane aplikacji\BHOTS C:\Documents and Settings\Krzysiek\Dane aplikacji\Chrome_manager C:\Documents and Settings\Krzysiek\Dane aplikacji\dist9 C:\Documents and Settings\Krzysiek\Dane aplikacji\Lob C:\Documents and Settings\Krzysiek\Dane aplikacji\PriceGong C:\Documents and Settings\Krzysiek\Dane aplikacji\Uninstal.exe C:\Documents and Settings\Krzysiek\dsetup.dll C:\Documents and Settings\Krzysiek\artpclnt.dll C:\Documents and Settings\All Users\Dane aplikacji\Common Files :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Uruchom SalityKiller. Jeśli program wykryje Sality, skan masz wykonywać skan do skutku, dopóki nie uzyskasz zwrotu zero zainfekowanych. 3. Odinstaluj adware i inne: - Przez Dodaj/Usuń programy: Ask Toolbar, Ask Toolbar Updater, DigitalPowered Toolbar, File Bulldog Anti-phishing Domain Advisor, File Bulldog Toolbar, McAfee Security Scan Plus, Tibia MULTI-ip changer, toolplugin. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (ma powstać po raz drugi plik Extras) oraz zaległy GMER. Przed uruchomieniem GMER masz odinstalować programy emulujące napędy oraz sterownik SPTD: KLIK. DRV - File not found [Kernel | On_Demand | Unknown] -- -- (av1w33s2) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (agb6a4zl) DRV - [2012-12-19 16:21:11 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller, podaj mi też czy działa Tryb awaryjny (Sality go kasuje). . Odnośnik do komentarza
CzaryMary Opublikowano 3 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Mam problem, gdy wklejam do otl'a skrypt który mi dałaś w poście wyżej i klikam wykonaj skrypt to komputer się zawiesza i nic kompletnie nie mogę zrobić. Tryb awaryjny nie działa. Odnośnik do komentarza
Anonim8 Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Zmień w skrypcie ostatnią linijkę :Commands [emptytemp] na :Commands [reboot] a jak dalej bedzie się wieszał wklej skrypt bez tej linijki Odnośnik do komentarza
CzaryMary Opublikowano 3 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2013 wykonałem powyższe instrukcje oto powstałe logi ( w załącznikach) Co do Sality Killer'a przy pierwszym skanie wykryło coś więc zeskanowałem po raz drugi i tym razem nic nie znalazło . Co do stanu awaryjnego oraz log GMER podam Jutro. AdwCleanerR3.txt OTL skrypt po wykonaniu.txt AdwCleaner log.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Nie wypowiadasz się nic na temat pracy systemu. Czy jest jakaś poprawa po przeprowadzonych tu działaniach? I kolejne akcje: 1. Zrekonstruuj Tryb awaryjny skasowany przez Sality. Z paczki Sality_RegKeys uruchom plik SafeBootWinXP.reg i potwierdź import do rejestru. Zresetuj system i sprawdź czy Tryb awaryjny się ładuje. 2. Nie były tu czyszczone Tempy, więc skrypt wykonasz w Trybie awaryjnym. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Krzysiek\Dane aplikacji\support@mozilla.com C:\Documents and Settings\Mama\Dane aplikacji\filebulldogtb :Reg [HKEY_CURRENT_USER\Software\mozilla\Firefox\Extensions] "support@mozilla.com"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. W Google Chrome nadal strona startowa adware + adnotacja o uszkodzonych preferencjach: ========== Chrome ========== CHR - homepage: http://search.filebulldog.com/vmn/DA0608D875C7691481350C513A624401 CHR - plugin: Error reading preferences file Zamknij Google Chrome. W pasku adresów eksploratora Windows wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default Przenieś z tego folderu plik Preferences na Pulpit. Następnie uruchom Google Chrome, wejdź do ustawień i przestaw cokolwiek (to ma zregenerować plik Preferences). 4. Plik HOSTS jest w podejrzanym stanie (ukryty i zawartość odpowiadająca systemowi Vista a nie XP): O1 HOSTS File: ([2013-03-21 15:12:42 | 000,000,761 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost Uruchom GrantPerms, w oknie wklej co poniżej i klik w Unlock: C:\WINDOWS\system32\drivers\etc\hosts Następnie zresetuj plik HOSTS narzędziem Fix-it: KB972034. 5. Zrób nowy log OTL z opcji Skanuj (bez Extras) + zaległy GMER (muszę go sprawdzić). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Więc zacznę od pracy systemu , nie zauważyłem żadnej zmiany w pracy maszyny gdyż cały wczorajszy dzień skanował GMER , który po zakończeniu skanowania (bez żadnych czerwonych błędów) chciałem zapisać , kiedy kliknąłem w zapisz aby utworzył się skrypt komputer zawiesił się , więc nie mogę pokazać skryptu . Tryb awaryjny został naprawiony. W załączniku jest OTl pkt.5 Skrpyt pkt.2 : All processes killed ========== FILES ========== C:\Documents and Settings\Krzysiek\Dane aplikacji\support@mozilla.com\content folder moved successfully. C:\Documents and Settings\Krzysiek\Dane aplikacji\support@mozilla.com folder moved successfully. C:\Documents and Settings\Mama\Dane aplikacji\filebulldogtb folder moved successfully. ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\mozilla\Firefox\Extensions\\support@mozilla.com deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found. Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56468 bytes User: Kamila User: Krzysiek ->Temp folder emptied: 3981418883 bytes ->Temporary Internet Files folder emptied: 29665774 bytes ->Java cache emptied: 70616 bytes ->FireFox cache emptied: 384048530 bytes ->Google Chrome cache emptied: 196948508 bytes ->Opera cache emptied: 16541816 bytes ->Flash cache emptied: 200437 bytes User: LocalService ->Temp folder emptied: 66172 bytes ->Temporary Internet Files folder emptied: 4978554 bytes User: Mama ->Temp folder emptied: 1617512 bytes ->Temporary Internet Files folder emptied: 621555 bytes ->FireFox cache emptied: 134814244 bytes ->Flash cache emptied: 2552 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Tata ->Temp folder emptied: 1975597 bytes ->Temporary Internet Files folder emptied: 22274998 bytes ->FireFox cache emptied: 128732000 bytes ->Flash cache emptied: 2615 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2597838 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 487183272 bytes RecycleBin emptied: 6175704685 bytes Total Files Cleaned = 11 034,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 07042013_142217 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Zadania wykonane, jeszcze: 1. W poprzednim logu nie było widać tych plików adware: [2011-05-02 21:57:23 | 000,002,051 | ---- | M] () -- C:\Programy i gry\mozilla firefox\searchplugins\fcmdSrchstonicla.xml [2013-03-09 00:15:42 | 000,002,143 | ---- | M] () -- C:\Programy i gry\mozilla firefox\searchplugins\filebulldogtb.xml [2012-02-12 01:20:15 | 000,000,158 | ---- | M] () -- C:\Programy i gry\mozilla firefox\searchplugins\Search the web.src Przez SHIFT+DEL je skasuj. 2. Google Chrome nadal nie wygląda dobrze, teraz widać tylko: CHR - Extension: No name found = C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj\1.5.0.7_0\ CHR - Extension: No name found = C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fohlobpjdcjjcnpdpfjcdfofgkoaemjc\1.6_0\ CHR - Extension: No name found = C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jmolcgpienlcieaajfkkdamlngancncm\6.15.5_0\ CHR - Extension: No name found = C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\oiokahphinmbmakkehgelkmpolmnbkdh\1.0.80.5_0\ Proponuję przeinstalować przeglądarkę Google Chrome. nie zauważyłem żadnej zmiany w pracy maszyny gdyż cały wczorajszy dzień skanował GMER , który po zakończeniu skanowania (bez żadnych czerwonych błędów) chciałem zapisać , kiedy kliknąłem w zapisz aby utworzył się skrypt komputer zawiesił się , więc nie mogę pokazać skryptu Sprecyzuj mi dokładnie: czy system jest powolny nawet po restarcie systemu? Muszę sprawdzić system pod kątem infekcji rootkit, m.in. dlatego że plik HOSTS wyglądał niepokojąco (ukryte atrybuty), a ta modyfikacja może występować z rootkitem Rloader. Skoro GMER siadł, zrób zamiennie skan w Kaspersky TDSSKiller. Jeśli program coś wykryje, nic nie usuwaj i daj Skip, przedstaw log utworzony na dysku C. Jeśli program nic nie wykryje, raport zbędny. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Powiem tak , Gdy GMER zakończył skan siostra mówiła , że komputer bardzo zamula , gdy oglądała film widać było zacięcia nawet po restarcie systemu. Oto raport z Kaspersky TDSSKiller: TDSSKiller.txt Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Raporty proszę umieszczaj w załącznikach. I tak jak podejrzewałam po tym nienormalnym pliku HOSTS. Jest tu rootkit Rloader, który zmodyfikował sterownik systemowy ACPI.SYS. To jest prawdopodobna przyczyna zamulenia Windows. Akcja: 1. Uruchom Kaspersky TDSSKiller ponownie i tym razem dla wyniku Virus.Win32.Rloader.a dobierz akcję Cure. Zresetuj system. Po restarcie uruchom ponownie TDSSKiller i sprawdź czy już nie widzi infekcji. 2. Jeśli po wyleczeniu z rootkita system nadal będzie bardzo ślamazarny: Gdy GMER zakończył skan siostra mówiła , że komputer bardzo zamula , gdy oglądała film widać było zacięcia nawet po restarcie systemu. Wróć do opisu GMER do sekcji Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP). . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Po zresetowaniu Komputera odrazu ponownie włączyłem Kaspersky TDSSKiller , tym razem nic nie zostało wykryte , Sprawdziłem jak szybko otwierają się foldery i widzę znaczną poprawę. Szybciej pokazują się okna. Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 widzę znaczną poprawę Dla formalności sprawdź jednak transfer dysku czy Bieżącym trybem jest na pewno DMA. Potwierdź mi to, a zadam czynności finalizujące czyszczenie systemu. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 A czy mogę zapytać jak mam sprawdzić ten transfer ? Jestem zielony w tych sprawach . Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Wróć do opisu GMER do sekcji Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP). Tam jest wszystko wyjaśnione. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Więc, musiałem odinstalować kanał i teraz już jest DMA. Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 A więc jednak złożenie przyczyn spowolnienia: rootkit + transfer dysku równy PIO. Lecimy dalej: Czy wykonałeś ostatnie zalecenia dotyczące plików Firefox i przeglądarki Google Chrome? Jeśli Google Chrome zostało odinstalowane / przeinstalowane, pokaż mi nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Usunąłem te 3 pliki z Firefox oraz odlinstalowałem Google Chrome. Zamieszczam załącznik z OTL: OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Kolejna porcja zadań: 1. Porządki po narzędziach. Przez SHIFT+DEL skasuj te foldery: C:\Documents and Settings\Krzysiek\Pulpit\Stare dane programu Firefox C:\TDSSKiller_Quarantine W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Resztę dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Sprawdź na wszelki wypadek system za pomocą trzech skanerów: zaktualizowany Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool oraz HitmanPro. Jeśli narzędzia coś wykryją, przedstaw ich raporty. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 1 i 2 zadanie wykonane , Udało mi się , załącznik jest. HitmanPro.txt Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 W wynikach m.in. pliki z genami wirusów wykonywalnych Sality i Virut... A te ciastka i Babylon do wyrzucenia. Przejdź do skanu Kasperskym, ale w związku z tym, że jednak infekcje w wykonywalnych są tu jakby niedoczyszczone, skonfiguruj skan inaczej niż proponowane domyślnie. Domyślnie Kaspersky robi tylko ekspresowy skan, a w widzianej tu sytuacji należy wykonać skan wszystkich dysków. Dysków jest sporo: Drive C: | 62,50 Gb Total Space | 15,71 Gb Free Space | 25,14% Space Free | Partition Type: NTFS Drive D: | 62,50 Gb Total Space | 29,25 Gb Free Space | 46,80% Space Free | Partition Type: NTFS Drive E: | 62,50 Gb Total Space | 44,42 Gb Free Space | 71,08% Space Free | Partition Type: NTFS Drive F: | 45,37 Gb Total Space | 21,94 Gb Free Space | 48,36% Space Free | Partition Type: NTFS Wejdź do konfiguracji Kasperskiego i po kolei zaznacz każdy dysk z osobna, by go w pełni przeskanować. Skan potrwa długo, ale da większą pewność. Jeśli Kaspersky znajdzie jakieś wirusy, przeklej wyniki do oceny. I się zastanawiam czy nie lepiej zrobić format dysku systemowego (skan pozostałych dysków swoją drogą)... Infekcja w wykonywalnych mogła coś uszkodzić na tyle, że żadne skany antywirusami już nie zaradzą i trzeba będzie podmieniać określone pliki. Szkody mogą nie wyjść na jaw od razu... . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 A nie lepiej zrobić całkowity format maszyny ? Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Pewnie, że to lepiej. Tylko jedna ważna uwaga: dyski były zaprawione wirusem w wykonywalnych, HitmanPro wykazał, że sprawa nie jest zamknięta i co więcej są geny dwóch różnych wirusów wykonywalnych. Nie wolno Ci z tych dysków skopiować żadnych plików wykonywalnych (instalek / sterowników) do kopii zapasowej, a skoro Hitman widział i geny Viruta, to są podejrzane też pliki innego rodzaju (graficzne, archiwa, PDF...). Jeśli choć jeden zainfekowany plik po formacie uruchomisz, infekcja się zacznie od nowa. I po formacie pozmieniaj hasła we wszystkich serwisach (poczta / serwisy społecznościowe / bank / gry etc.). . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Okey , dziekuję za pomoc i czas poświęcony na moją maszynę Odnośnik do komentarza
Rekomendowane odpowiedzi