mtkk Opublikowano 18 Października 2013 Zgłoś Udostępnij Opublikowano 18 Października 2013 Witajcie Nie wiedziałem jak najlepiej zawrzeć wszystko w temacie posta więc ująłem najważniejsze elementy. Komputer należy do przyjaciółki. Z tego co się dowiedziałem komputer jej mocno spowolnił i zaczęły pojawiac się komunikaty o wirusach. Niestety poprosiła sąsiada specjalistę o pomoc i po jego działaniach komp wogóle przestał się uruchamiać. Udało mi sie pokonać uruchomienie i komputer teoretycznie działa. Jest sporo śmieci "oficjalnych" jak oprogramowanie Asusa czy gierki (chyba z FB), ale widać też pozostałości po działaniu ComboFix'a. Podejrzewam że ten gość po prostu odpalił ComboFix'a. Bardzo prosze w wolnej chwili o sprawdzenie logów. Może zauważycie coś na co należy zwrócić uwagę. Na razie wstrzymam się z aktualizacjami i odinstalowywaniem śmieci. Do tego wszystkiego okazuje się że po uruchomieniu kompa system się wiesza i nie można normalnie pracować. Jednak żaden proces nie obciąża systemu ani użycie procesora i pamięci nie jest wysokie. FRST Addition OTL Extras Gmer A poniżej wyniki Security Check Results of screen317's Security Check version 0.99.74 Windows 7 x64 (UAC is enabled) Out of date service pack!!``````````````Antivirus/Firewall Check:``````````````Kaspersky Anti-Virus Antivirus out of date! `````````Anti-malware/Other Utilities Check:````````` Adobe Flash Player 11.5.502.149 Flash Player out of Date! Mozilla Firefox (24.0) Google Chrome 24.0.1312.56 Google Chrome 24.0.1312.57 Google Chrome plugins... ````````Process Check: objlist.exe by Laurent```````` Kaspersky Lab Kaspersky Anti-Virus 2013 avp.exe Trend Micro Titanium TiMiniService.exe Trend Micro Titanium TiResumeSrv.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Odnośnik do komentarza
mtkk Opublikowano 20 Października 2013 Autor Zgłoś Udostępnij Opublikowano 20 Października 2013 Z najświeższych informacji (od właścicielki laptopa) dowiedziałem się że gość który robił coś przy kompie usunął ponad 200 wirusów. (Tak jej powiedział) Próbowałem skanować DR WEB Cure It ale nic nie znalazł. Przeskanowałem go AdwCleaner'em. Logi poniżej AdwCleaner[R0] AdwCleaner[s0] Odnośnik do komentarza
picasso Opublikowano 26 Października 2013 Zgłoś Udostępnij Opublikowano 26 Października 2013 - Był uruchamiany ComboFix, jest na dysku jego log C:\ComboFix.txt. - Logi są zrobione z poziomu świeżo utworzonego konta Administrator a nie konta użytkownika Kristina. To oznacza brak widoczności wpisów relatywnych do konkretnego konta. Logi muszą powstać z poziomu konta Kristina. - AdwCleaner użyty także na Administratorze (nie adresował wpisów innego konta). Poza tym, jego użycie nastąpiło przed prawidłową deinstalacją adware via Panel sterowania oraz zmieniło zawartość dostarczonych wcześniej logów i dane nie są zgodne. Utrudniłeś mi pracę tym działaniem, gdyż podany dalej skrypt do FRST musiał zostać nagięty do zmian. Na razie w podanym tu zestawie brak oznak infekcji, tylko adware, ale większe spectrum widoczności na innym koncie. Przed wytworzeniem raportów ponownie przeprowadź jednak te działania: Do tego wszystkiego okazuje się że po uruchomieniu kompa system się wiesza i nie można normalnie pracować. Jednak żaden proces nie obciąża systemu ani użycie procesora i pamięci nie jest wysokie. Na początek skoryguj sytuację w antywirusach, bo to najsilniejszy podejrzany dla problemów: 1. Jest tu dramatyczne zestawienie Kaspersky Anti-Virus 2013 + Trend Micro Titanium Internet Security, co samo w sobie może być przyczyną blokowania Windows i zamulenia. Odinstaluj stary Trend, proponuję też sprawdzić dodatkowo i deinstalację Kasperskiego oraz SUPERAntiSpyware, by całkowicie wykluczyć wszystkie programy zabezpieczające jako przyczynę. 2. Usuń sterownik Avast: R1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [19600 2012-07-03] (AVAST Software) Cytuję akcje do wykonania z poziomu Trybu awaryjnego Windows: - Start > w polu szukania wpisz regedit > wejdź do klucza klasy klawiatur: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie ruszaj systemowego kbdclass. - Start > w polu szukania wpisz cmd > wpisz te komendy (każdą potwierdzając ENTER): sc stop aswKbd sc delete aswKbd Po tym możesz skasować z dysku plik C:\Windows\system32\drivers\aswKbd.sys. Po powyższych działaniach kolejna porcja. Pobierz najnowszą wersję FRST. Zaloguj się na konto Kristina. I przeprowadź te akcje: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [Praetorian] - C:\Users\Kristina\AppData\Local\Yandex\Updater\praetorian.exe [1582976 2012-07-17] (Yandex LLC) Task: {106B6F0E-5021-4412-B485-02679E2A49DF} - \AdobeFlashPlayerUpdate 2 No Task File Task: {2D9D0170-BD12-4886-913F-9868797AE27D} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe Task: {73F1741F-73A4-4B75-A10F-8060ADA48158} - System32\Tasks\DealPly => C:\Users\Kristina\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {8E827658-D1EF-4777-AA64-CE6D7F53D5A4} - System32\Tasks\EPUpdater => C:\Users\Kristina\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe Task: {E08F1C36-CAAC-40A0-9F3A-F4901365DD1F} - \AdobeFlashPlayerUpdate No Task File HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=592 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= SearchScopes: HKLM-x32 - Yandex URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} SearchScopes: HKLM-x32 - {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm007^YY^pl&si=COeN48e_rLQCFUNa3godwmIAAQ&ptb=03655EC0-1DC8-4999-9491-F0F89F062B76&ind=2013012015&n=77fc202f&psa=&st=sb&searchfor={searchTerms} BHO-x32: No Name - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No File BHO-x32: No Name - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - No File S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 usbbus; system32\DRIVERS\lgx64bus.sys [x] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [x] S3 USBModem; system32\DRIVERS\lgx64modem.sys [x] C:\Users\Kristina\AppData\Local\newhb2.crx C:\Users\Kristina\AppData\Local\BargainJoy.crx C:\Users\Kristina\AppData\Local\Yandex C:\Users\Kristina\AppData\Roaming\Yandex C:\Users\Kristina\Downloads\avast-Free-Antivirus(13266).exe C:\Program Files\AVAST Software C:\ProgramData\AVAST Software Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (zaznacz by powstał ponownie plik Addition). Dołącz plik fixlog.txt oraz zaległy ComboFix. . Odnośnik do komentarza
mtkk Opublikowano 27 Października 2013 Autor Zgłoś Udostępnij Opublikowano 27 Października 2013 Picasso Jest gorzej. dziewczyna bardzo potrzebowala kompa wiec go jej oddalem. podalem tez linka do tego watku, bo stwierdzila z mezem ze powinni dac sobie rade. dzis z samego rana przybiegli mowiac ze nic nie dziala. okazuje sie ze klawiatura i touchpad nie dzialaja po uruchomieniu windowsa. w menu pod F8 i w "naprawianiu systemowym" dziala. powiedzieli ze nie mogli odinstalowac ktoregos antywira, a po usunieciu pliku o ktorym pisalas i resecie juz nie dzialalo. jest jakas opcja by przywrocic ten sterownik z konsoli? pytam bo akurat moj laptop dokonczyl zywota i na razie jestem zmuszony korzystac z telefonu. czytalem w watkach o "zero access" aby wypalic plytke startowa. jesli musze zrobic podobnie to pobiegne do kogos i ja nagram. Odnośnik do komentarza
picasso Opublikowano 27 Października 2013 Zgłoś Udostępnij Opublikowano 27 Października 2013 okazuje sie ze klawiatura i touchpad nie dzialaja po uruchomieniu windowsa. w menu pod F8 i w "naprawianiu systemowym" dziala. powiedzieli ze nie mogli odinstalowac ktoregos antywira, a po usunieciu pliku o ktorym pisalas i resecie juz nie dzialalo. jest jakas opcja by przywrocic ten sterownik z konsoli? To sugeruje, że nie został poprawnie usunięty filtr aswKbd z urządzeń. A skoro "nie mogli odinstalować jakiegoś antywira", to prawdopodobnie może tu być też problem ze sterownikami Kasperskiego, które również filtrowały urządzenia klawiatur i myszy: R3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [29280 2013-10-15] (Kaspersky Lab ZAO) R3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [29280 2013-10-15] (Kaspersky Lab ZAO) Daj im wstępnie takie instrukcje: 1. Pobierz FRST i zapisz na pendrive. Przygotuj plik naprawczy. Otwórz Notatnik i wklej: Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f Reg: reg query HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Reg: reg query HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST i na początek opcja Scan, a gdy on się ukończy opcja Fix. Powstaną pliki FRST.txt + Fixlog.txt. Przedstaw oba. 3. Sprawdź czy działa klawiatura / touchpad przy wchodzeniu do Windows. . Odnośnik do komentarza
mtkk Opublikowano 27 Października 2013 Autor Zgłoś Udostępnij Opublikowano 27 Października 2013 Dziękuję za pomoc Poniżej logi FRST oraz Fixlog Klawiatura po restarcie nadal nie działa Odnośnik do komentarza
mtkk Opublikowano 29 Października 2013 Autor Zgłoś Udostępnij Opublikowano 29 Października 2013 ps. Picasso, komp jest znow u mnie wiec jesli moge cos zrobic w miedzy czasie zeby przyspieszyc naprawe to jestem za Zastanawialem sie nad przeinstalowanie systemu z krazka ale nie chcialbym znowu skomplikowac czegos. przepraszam za nie edytowanie postow, ale jestem zmuszony korzystac z wersji mobilnej a tu nie widze takiej opcji. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się