CzaryMary Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Witam. Od jakiegoś czasu mam ogromny problem z moim komputerem, otóż zaczął tragicznie chodzić i strasznie topornie reaguje na moje najmniejsze polecenie. Przykładowo gdy chcę otworzyć folder muszę poczekać na to z 5 sekund po kliknięciu. Nie wiem co może być problemem, dodam też że komputer jest leciwy ale jeszcze działa i chciałbym żeby było tak jak najdłużej. Prosiłbym o pomoc i doprowadzenie mojej maszyny do ładu w miarę możliwości. Poniżej załączam skan z OTL'a. Pozdrawiam Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 System jest w fatalnym stanie i zainfekowany. Po pierwsze, są tu ślady okropnego wirusa Sality, który infekuje wszystkie wykonywalne na wszystkich dyskach. Obecność Sality oznajmia ten sterownik oraz mnóstwo autoryzacji w Zaporze systemowej z opisem "ipsec": DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtsif.sys -- (amsint32) Jest tu także trojan btcl.exe oraz pliki JAR wskazujące na obecność trojana kradnącego hasła (wszystko prawdopodobnie nabyłeś z lewej paczki do którejś gry): O4 - HKU\S-1-5-21-682003330-1897051121-1417001333-1004..\Run: [btcl] C:\Documents and Settings\Krzysiek\Dane aplikacji\dist9\btcl.exe () [2013-01-14 19:27:06 | 001,335,014 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Dane aplikacji\sqlite.jar [2013-01-14 19:27:02 | 000,800,787 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Dane aplikacji\java_u.jar Poza tym, są i śmieci adware. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-682003330-1897051121-1417001333-1004\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://search.filebulldog.com/results/1/vmn/DA0608D875C7691481350C513A624401?q={searchTerms} IE - HKU\S-1-5-21-682003330-1897051121-1417001333-1004\..\SearchScopes\{A4C79C43-F733-47EE-BE8A-39E278E4453E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=5A7150FA-CF20-452A-8191-CEE6E74E51A6&apn_sauid=9E2CD728-E09B-4716-9E32-A0EF2C153FC8 IE - HKU\S-1-5-21-682003330-1897051121-1417001333-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2031308 O3 - HKLM\..\Toolbar: (StylerToolBar) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programy i gry\Styler\TB\StylerTB.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [vProt] "C:\Programy i gry\AVG Secure Search\vprot.exe" File not found O4 - HKU\S-1-5-21-682003330-1897051121-1417001333-1004..\Run: [btcl] C:\Documents and Settings\Krzysiek\Dane aplikacji\dist9\btcl.exe () O4 - HKU\S-1-5-21-682003330-1897051121-1417001333-1004..\Run: [PCSpeedUp] C:\Programy i gry\Przyspiesz Komputer\PCSpeedUp.lnk () O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtsif.sys -- (amsint32) DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\5689.sys -- (5689) DRV - File not found [File_System | On_Demand | Stopped] -- C:\Programy i gry\IObit\Game Booster 3\Driver\WinRing0.sys -- (WinRing0_1_2_0) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igxpmp32.sys -- (ialm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - [2013-02-11 14:47:06 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp) SRV - [2013-02-11 14:47:06 | 000,965,296 | ---- | M] () [Auto | Running] -- C:\Programy i gry\Common Files\AVG Secure Search\vToolbarUpdater\14.1.7\ToolbarUpdater.exe -- (vToolbarUpdater14.1.7) :Files C:\WINDOWS\kb680802.exe C:\WINDOWS\kb210068.exe C:\WINDOWS\kb763382.exe C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\WINDOWS\tasks\ROC_JAN2013_TB_rmv.job C:\WINDOWS\tasks\Game_Booster_AutoUpdate.job C:\WINDOWS\tasks\Your File Updater.job C:\WINDOWS\tasks\BearShareNAG.job C:\WINDOWS\System32\theowl.dll C:\Programy i gry\wisptis.exe C:\Programy i gry\trustedinstaller.exe C:\Programy i gry\ntvdm.exe C:\Programy i gry\install.exe C:\Programy i gry\dwm.exe C:\Programy i gry\webscanx.exe C:\Programy i gry\terraria.exe C:\Programy i gry\igfxtray.exe C:\Programy i gry\spoolsv.exe C:\Programy i gry\edit.exe C:\Programy i gry\start.exe C:\Programy i gry\ielowutil.exe C:\Programy i gry\Przyspiesz Komputer C:\Programy i gry\mozilla firefox\searchplugins\fcmdSrchstonicla.xml C:\Programy i gry\mozilla firefox\searchplugins\filebulldogtb.xml C:\Programy i gry\mozilla firefox\searchplugins\Search the web.src C:\Programy i gry\Common Files\AVG Secure Search C:\Documents and Settings\Krzysiek\Dane aplikacji\sqlite.jar C:\Documents and Settings\Krzysiek\Dane aplikacji\java_u.jar C:\Documents and Settings\Krzysiek\Dane aplikacji\BHOTS C:\Documents and Settings\Krzysiek\Dane aplikacji\Chrome_manager C:\Documents and Settings\Krzysiek\Dane aplikacji\dist9 C:\Documents and Settings\Krzysiek\Dane aplikacji\Lob C:\Documents and Settings\Krzysiek\Dane aplikacji\PriceGong C:\Documents and Settings\Krzysiek\Dane aplikacji\Uninstal.exe C:\Documents and Settings\Krzysiek\dsetup.dll C:\Documents and Settings\Krzysiek\artpclnt.dll C:\Documents and Settings\All Users\Dane aplikacji\Common Files :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Uruchom SalityKiller. Jeśli program wykryje Sality, skan masz wykonywać skan do skutku, dopóki nie uzyskasz zwrotu zero zainfekowanych. 3. Odinstaluj adware i inne: - Przez Dodaj/Usuń programy: Ask Toolbar, Ask Toolbar Updater, DigitalPowered Toolbar, File Bulldog Anti-phishing Domain Advisor, File Bulldog Toolbar, McAfee Security Scan Plus, Tibia MULTI-ip changer, toolplugin. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (ma powstać po raz drugi plik Extras) oraz zaległy GMER. Przed uruchomieniem GMER masz odinstalować programy emulujące napędy oraz sterownik SPTD: KLIK. DRV - File not found [Kernel | On_Demand | Unknown] -- -- (av1w33s2) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (agb6a4zl) DRV - [2012-12-19 16:21:11 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller, podaj mi też czy działa Tryb awaryjny (Sality go kasuje). . Odnośnik do komentarza
CzaryMary Opublikowano 3 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Mam problem, gdy wklejam do otl'a skrypt który mi dałaś w poście wyżej i klikam wykonaj skrypt to komputer się zawiesza i nic kompletnie nie mogę zrobić. Tryb awaryjny nie działa. Odnośnik do komentarza
Anonim8 Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Zmień w skrypcie ostatnią linijkę :Commands [emptytemp] na :Commands [reboot] a jak dalej bedzie się wieszał wklej skrypt bez tej linijki Odnośnik do komentarza
CzaryMary Opublikowano 3 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2013 wykonałem powyższe instrukcje oto powstałe logi ( w załącznikach) Co do Sality Killer'a przy pierwszym skanie wykryło coś więc zeskanowałem po raz drugi i tym razem nic nie znalazło . Co do stanu awaryjnego oraz log GMER podam Jutro. AdwCleanerR3.txtPobieranie informacji ... OTL skrypt po wykonaniu.txtPobieranie informacji ... AdwCleaner log.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Nie wypowiadasz się nic na temat pracy systemu. Czy jest jakaś poprawa po przeprowadzonych tu działaniach? I kolejne akcje: 1. Zrekonstruuj Tryb awaryjny skasowany przez Sality. Z paczki Sality_RegKeys uruchom plik SafeBootWinXP.reg i potwierdź import do rejestru. Zresetuj system i sprawdź czy Tryb awaryjny się ładuje. 2. Nie były tu czyszczone Tempy, więc skrypt wykonasz w Trybie awaryjnym. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Krzysiek\Dane aplikacji\support@mozilla.com C:\Documents and Settings\Mama\Dane aplikacji\filebulldogtb :Reg [HKEY_CURRENT_USER\Software\mozilla\Firefox\Extensions] "support@mozilla.com"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. W Google Chrome nadal strona startowa adware + adnotacja o uszkodzonych preferencjach: ========== Chrome ========== CHR - homepage: http://search.filebulldog.com/vmn/DA0608D875C7691481350C513A624401 CHR - plugin: Error reading preferences file Zamknij Google Chrome. W pasku adresów eksploratora Windows wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default Przenieś z tego folderu plik Preferences na Pulpit. Następnie uruchom Google Chrome, wejdź do ustawień i przestaw cokolwiek (to ma zregenerować plik Preferences). 4. Plik HOSTS jest w podejrzanym stanie (ukryty i zawartość odpowiadająca systemowi Vista a nie XP): O1 HOSTS File: ([2013-03-21 15:12:42 | 000,000,761 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost Uruchom GrantPerms, w oknie wklej co poniżej i klik w Unlock: C:\WINDOWS\system32\drivers\etc\hosts Następnie zresetuj plik HOSTS narzędziem Fix-it: KB972034. 5. Zrób nowy log OTL z opcji Skanuj (bez Extras) + zaległy GMER (muszę go sprawdzić). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Więc zacznę od pracy systemu , nie zauważyłem żadnej zmiany w pracy maszyny gdyż cały wczorajszy dzień skanował GMER , który po zakończeniu skanowania (bez żadnych czerwonych błędów) chciałem zapisać , kiedy kliknąłem w zapisz aby utworzył się skrypt komputer zawiesił się , więc nie mogę pokazać skryptu . Tryb awaryjny został naprawiony. W załączniku jest OTl pkt.5 Skrpyt pkt.2 : All processes killed ========== FILES ========== C:\Documents and Settings\Krzysiek\Dane aplikacji\support@mozilla.com\content folder moved successfully. C:\Documents and Settings\Krzysiek\Dane aplikacji\support@mozilla.com folder moved successfully. C:\Documents and Settings\Mama\Dane aplikacji\filebulldogtb folder moved successfully. ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\mozilla\Firefox\Extensions\\support@mozilla.com deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found. Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56468 bytes User: Kamila User: Krzysiek ->Temp folder emptied: 3981418883 bytes ->Temporary Internet Files folder emptied: 29665774 bytes ->Java cache emptied: 70616 bytes ->FireFox cache emptied: 384048530 bytes ->Google Chrome cache emptied: 196948508 bytes ->Opera cache emptied: 16541816 bytes ->Flash cache emptied: 200437 bytes User: LocalService ->Temp folder emptied: 66172 bytes ->Temporary Internet Files folder emptied: 4978554 bytes User: Mama ->Temp folder emptied: 1617512 bytes ->Temporary Internet Files folder emptied: 621555 bytes ->FireFox cache emptied: 134814244 bytes ->Flash cache emptied: 2552 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Tata ->Temp folder emptied: 1975597 bytes ->Temporary Internet Files folder emptied: 22274998 bytes ->FireFox cache emptied: 128732000 bytes ->Flash cache emptied: 2615 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2597838 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 487183272 bytes RecycleBin emptied: 6175704685 bytes Total Files Cleaned = 11 034,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 07042013_142217 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Zadania wykonane, jeszcze: 1. W poprzednim logu nie było widać tych plików adware: [2011-05-02 21:57:23 | 000,002,051 | ---- | M] () -- C:\Programy i gry\mozilla firefox\searchplugins\fcmdSrchstonicla.xml [2013-03-09 00:15:42 | 000,002,143 | ---- | M] () -- C:\Programy i gry\mozilla firefox\searchplugins\filebulldogtb.xml [2012-02-12 01:20:15 | 000,000,158 | ---- | M] () -- C:\Programy i gry\mozilla firefox\searchplugins\Search the web.src Przez SHIFT+DEL je skasuj. 2. Google Chrome nadal nie wygląda dobrze, teraz widać tylko: CHR - Extension: No name found = C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj\1.5.0.7_0\ CHR - Extension: No name found = C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fohlobpjdcjjcnpdpfjcdfofgkoaemjc\1.6_0\ CHR - Extension: No name found = C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jmolcgpienlcieaajfkkdamlngancncm\6.15.5_0\ CHR - Extension: No name found = C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\oiokahphinmbmakkehgelkmpolmnbkdh\1.0.80.5_0\ Proponuję przeinstalować przeglądarkę Google Chrome. Cytat nie zauważyłem żadnej zmiany w pracy maszyny gdyż cały wczorajszy dzień skanował GMER , który po zakończeniu skanowania (bez żadnych czerwonych błędów) chciałem zapisać , kiedy kliknąłem w zapisz aby utworzył się skrypt komputer zawiesił się , więc nie mogę pokazać skryptu Sprecyzuj mi dokładnie: czy system jest powolny nawet po restarcie systemu? Muszę sprawdzić system pod kątem infekcji rootkit, m.in. dlatego że plik HOSTS wyglądał niepokojąco (ukryte atrybuty), a ta modyfikacja może występować z rootkitem Rloader. Skoro GMER siadł, zrób zamiennie skan w Kaspersky TDSSKiller. Jeśli program coś wykryje, nic nie usuwaj i daj Skip, przedstaw log utworzony na dysku C. Jeśli program nic nie wykryje, raport zbędny. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Powiem tak , Gdy GMER zakończył skan siostra mówiła , że komputer bardzo zamula , gdy oglądała film widać było zacięcia nawet po restarcie systemu. Oto raport z Kaspersky TDSSKiller: TDSSKiller.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Raporty proszę umieszczaj w załącznikach. I tak jak podejrzewałam po tym nienormalnym pliku HOSTS. Jest tu rootkit Rloader, który zmodyfikował sterownik systemowy ACPI.SYS. To jest prawdopodobna przyczyna zamulenia Windows. Akcja: 1. Uruchom Kaspersky TDSSKiller ponownie i tym razem dla wyniku Virus.Win32.Rloader.a dobierz akcję Cure. Zresetuj system. Po restarcie uruchom ponownie TDSSKiller i sprawdź czy już nie widzi infekcji. 2. Jeśli po wyleczeniu z rootkita system nadal będzie bardzo ślamazarny: Cytat Gdy GMER zakończył skan siostra mówiła , że komputer bardzo zamula , gdy oglądała film widać było zacięcia nawet po restarcie systemu. Wróć do opisu GMER do sekcji Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP). . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Po zresetowaniu Komputera odrazu ponownie włączyłem Kaspersky TDSSKiller , tym razem nic nie zostało wykryte , Sprawdziłem jak szybko otwierają się foldery i widzę znaczną poprawę. Szybciej pokazują się okna. Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Cytat widzę znaczną poprawę Dla formalności sprawdź jednak transfer dysku czy Bieżącym trybem jest na pewno DMA. Potwierdź mi to, a zadam czynności finalizujące czyszczenie systemu. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 A czy mogę zapytać jak mam sprawdzić ten transfer ? Jestem zielony w tych sprawach . Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 picasso napisał(a): Wróć do opisu GMER do sekcji Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP). Tam jest wszystko wyjaśnione. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Więc, musiałem odinstalować kanał i teraz już jest DMA. Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 A więc jednak złożenie przyczyn spowolnienia: rootkit + transfer dysku równy PIO. Lecimy dalej: Czy wykonałeś ostatnie zalecenia dotyczące plików Firefox i przeglądarki Google Chrome? Jeśli Google Chrome zostało odinstalowane / przeinstalowane, pokaż mi nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Usunąłem te 3 pliki z Firefox oraz odlinstalowałem Google Chrome. Zamieszczam załącznik z OTL: OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Kolejna porcja zadań: 1. Porządki po narzędziach. Przez SHIFT+DEL skasuj te foldery: C:\Documents and Settings\Krzysiek\Pulpit\Stare dane programu Firefox C:\TDSSKiller_Quarantine W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Resztę dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Sprawdź na wszelki wypadek system za pomocą trzech skanerów: zaktualizowany Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool oraz HitmanPro. Jeśli narzędzia coś wykryją, przedstaw ich raporty. . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 1 i 2 zadanie wykonane , Udało mi się , załącznik jest. HitmanPro.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 W wynikach m.in. pliki z genami wirusów wykonywalnych Sality i Virut... A te ciastka i Babylon do wyrzucenia. Przejdź do skanu Kasperskym, ale w związku z tym, że jednak infekcje w wykonywalnych są tu jakby niedoczyszczone, skonfiguruj skan inaczej niż proponowane domyślnie. Domyślnie Kaspersky robi tylko ekspresowy skan, a w widzianej tu sytuacji należy wykonać skan wszystkich dysków. Dysków jest sporo: Drive C: | 62,50 Gb Total Space | 15,71 Gb Free Space | 25,14% Space Free | Partition Type: NTFS Drive D: | 62,50 Gb Total Space | 29,25 Gb Free Space | 46,80% Space Free | Partition Type: NTFS Drive E: | 62,50 Gb Total Space | 44,42 Gb Free Space | 71,08% Space Free | Partition Type: NTFS Drive F: | 45,37 Gb Total Space | 21,94 Gb Free Space | 48,36% Space Free | Partition Type: NTFS Wejdź do konfiguracji Kasperskiego i po kolei zaznacz każdy dysk z osobna, by go w pełni przeskanować. Skan potrwa długo, ale da większą pewność. Jeśli Kaspersky znajdzie jakieś wirusy, przeklej wyniki do oceny. I się zastanawiam czy nie lepiej zrobić format dysku systemowego (skan pozostałych dysków swoją drogą)... Infekcja w wykonywalnych mogła coś uszkodzić na tyle, że żadne skany antywirusami już nie zaradzą i trzeba będzie podmieniać określone pliki. Szkody mogą nie wyjść na jaw od razu... . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 A nie lepiej zrobić całkowity format maszyny ? Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Pewnie, że to lepiej. Tylko jedna ważna uwaga: dyski były zaprawione wirusem w wykonywalnych, HitmanPro wykazał, że sprawa nie jest zamknięta i co więcej są geny dwóch różnych wirusów wykonywalnych. Nie wolno Ci z tych dysków skopiować żadnych plików wykonywalnych (instalek / sterowników) do kopii zapasowej, a skoro Hitman widział i geny Viruta, to są podejrzane też pliki innego rodzaju (graficzne, archiwa, PDF...). Jeśli choć jeden zainfekowany plik po formacie uruchomisz, infekcja się zacznie od nowa. I po formacie pozmieniaj hasła we wszystkich serwisach (poczta / serwisy społecznościowe / bank / gry etc.). . Odnośnik do komentarza
CzaryMary Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Okey , dziekuję za pomoc i czas poświęcony na moją maszynę Odnośnik do komentarza
Rekomendowane odpowiedzi