Skocz do zawartości

Win32:Malware-gen oraz freezy


Rekomendowane odpowiedzi

Witam od padu dni zmagam się z problemem wymienionym w temacie. Avast po każdym uruchomienu komputera wykrywa tego samego rootkita czyli Win32:Malware-gen. Usuwanie nic nie daje, ale co dziwne to przeskanowanie komputera nic nie daje, Avast nie wykrywa go. Dokuczją mi też freezy, które ostatnio ustąpiły, ale nadal zdażają sie, mianowicie przy próbie włączenia Firefoxa mysz i klawiatura ,,stoją w miejscu'' czyli nic nie odpowiada a komputer działa bo godzina się zmienia, to samo tyczy gier, które czasami nie włączają się wcale, mam na myśli GTA : San Andreas multiplayer, który nie uruchamia się wcale a Gothci 2 uruchomi się dopiero gdy w procesach zakończę pracę firefox.exe, a jak się gra uruchomi to też czasami złapie freeza.

Mój komp to AMD Athlon XP 2000+ 1,6GHz, karta ATI Radeon 9200 128MB pamięci, 1GB RAM, system Widnows JG 32 bitowy.

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Avast po każdym uruchomienu komputera wykrywa tego samego rootkita czyli Win32:Malware-gen. Usuwanie nic nie daje, ale co dziwne to przeskanowanie komputera nic nie daje, Avast nie wykrywa go.

Myszor, proszę podaj w czym jest widziana ta infekcja, sama nazwa nie wystarczy, musi być podana ścieżka dostępu do pliku. Wygrzeb to z Dzienników skanowania Avast.

 

A infekcję owszem widzę, numeryczne serwisy i wpis Appinit_Dlls. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
R2 31181965; C:\Documents and Settings\All Users\Dane aplikacji\Windows net-clean\Windowsnet-cleanSvc.dll [180048 2013-12-31] ()
R2 93bcfb25; C:\Documents and Settings\All Users\Dane aplikacji\Filteligent\FilteligentSvc.dll [173904 2013-12-31] ()
R2 b3457450; C:\Documents and Settings\All Users\Dane aplikacji\WinFilter\WinFilterSvc.dll [178000 2013-12-31] ()
R2 c81eb536; C:\Documents and Settings\All Users\Dane aplikacji\Fast And Safe\FastAndSafeSvc.dll [181584 2013-12-27] ()
AppInit_DLLs: C:\Documents and Settings\All Users\Dane aplikacji\Windows net-clean\Windowsnet-clean.dll [4155904 2013-12-31] ()
c:\Program Files\Ss-Helper
HKCU\...\Run: [] - [x]
HKCU\...\Policies\Explorer: [NoSaveSettings] 0
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
BHO: No Name - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - No File
Toolbar: HKCU - No Name - {EEF280F3-B6ED-46D8-A8FD-57BD0C4A9ECF} - No File
S0 mv61xx; No ImagePath
S0 mv64xx; No ImagePath
U4 WinRM;
C:\Documents and Settings\Administrator\trial_setup.msi
C:\Documents and Settings\Administrator\trial_setup.exe
C:\Documents and Settings\Administrator\trial_setup.ini
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{A7DF592F-6E2A-45C4-9A87-4BD217D714ED}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A7DF592F-6E2A-45C4-9A87-4BD217D714ED}" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj niepożądane obiekty Fast And Safe, Filteligent, Performance Optimizer, Windows net-clean, WinFilter.

 

3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej.

 

4. Preferencje Firefox są rozgrzebane i wpisy adware w środku też są obecne, konkretne czyszczenie: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła intactum, ale używane rozszerzenia trzeba będzie przeinstalować.

 

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

.

Odnośnik do komentarza

Wszystko wykonałem jak poleciałaś. Ale znów ten freez mi się przytrafił w momęcie gdy najechałem na ikonke FRST to znowu wszystko mysz i klawiatura nie działay a godzina się zmieniała. A co do lokalizacji infekcji mam dla Ciebie 2 screeny. Co do resetu firefoxa to po kliknięcu zresetuj program przeglądarka się wyłacza i nic się nie dzieje.

ty8c.jpg

zv7g.jpg

FRST.txt

AdwCleanerR1.txt

Fixlog.txt

Odnośnik do komentarza

Co do zgłoszeń Avasta one ciągle mają miejsce. Raport GMER nie mogłem wykonać wyskoczył mi błąd, screen na dole, log z Farbar Service Scanner w załaczniku.

m5ve.jpg

 

Kolejna dziwna sprawa, mimo iż GMER nie udało mi się wykonać to komputer się zmulił. Start trawa o wiele dłużej niż przed próbą GMER'a, oraz delikatnie przycinają mi się filmiki na YouTube oraz nie działa mi przewijanie, przy próbie przeskoczenia w głąb klipu on nie przeskakuje tylko wraca na sam początek.

FSS.txt

Odnośnik do komentarza

Myszor, jeśli chcesz uzupełnić post o nowe dane, a nikt jeszcze nie odpisał, stosuj opcję Edytuj zamiast post pod postem. Wszystko skleiłam.

 

 

Co do resetu firefoxa to po kliknięcu zresetuj program przeglądarka się wyłacza i nic się nie dzieje.

Na razie Firefox zostawiam, będę go radykalnie ożywiać (czysta instalacja) w dalszej fazie. Skupmy się na nieustających komunikatach Avast.

 

 

Raport GMER nie mogłem wykonać wyskoczył mi błąd

Czy próba skanu w Trybie awaryjnym zwraca ten sam błąd? I skoro nie jest możliwe uruchomienie GMER, to sprawdź co powie Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, ustaw Skip i dostarcz wynikowy log utworzony na dysku C. Jeśli nic nie wykryje, log zbędny.

 

 

Kolejna dziwna sprawa, mimo iż GMER nie udało mi się wykonać to komputer się zmulił. Start trawa o wiele dłużej niż przed próbą GMER'a, oraz delikatnie przycinają mi się filmiki na YouTube oraz nie działa mi przewijanie, przy próbie przeskoczenia w głąb klipu on nie przeskakuje tylko wraca na sam początek.

Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

log z Farbar Service Scanner w załaczniku

Usługa BITS oraz Windows Update są wyłączone. Log wskazuje też na brak jednego z podkluczy Zapory Windows oraz całkowity brak usługi Centrum zabezpieczeń, ale w tym przypadku podejrzewam, że to fabryczna wada Twojego Windows, gdyż widać w raportach liczne ślady w postaci specyficznych polityk, które sugerują, że to jakiś tweakowany na poziomie źródła instalacyjnego niedomyślny XP.

 

 

 

.

Odnośnik do komentarza

Przepraszam za posta pod postem. Co do GMER'a tryb awaryjny też nie dał rady i wyskoczył ten sam błąd. Kaspersky TDSSKiller też nic nie wykrył, skan trwał 1 minute. Co do ostatniego akapitu, który mówi o braku Centrum zabezpieczeń oraz błędów zapory może być to spowodowane tym iż obecnie mam zainstalowany system Windows JG, jest to zmodyfikowana wersja systemu Windows XP, która ma na celu uzyskanie jak najszybsze działanie tego że systemu. Z systemu jestem zadowolony, różnica jak dla mnie jest widoczna w porównaniu z oryginalnym WIN XP a WIN JG na korzyść JG.

Co dalej mam wykonać. Czy został tylko format jako jedyna deska ratunku ??

Kolejna dziwna sprawa. Chcąc ,,naprawić'' dyski spowodowane działaniem GMER'a, które spowodowały spowolnienie komputera wartości, na które trzeba zmienić są ustawione jako standardowe, czyli niby wszystko jest OK, ale nie jest bo system załącza się strasznie długo oraz nagrywanie płyt trwa strasznie długo. Zazwyczaj nagrywanie pełnej płyty DVD trwało około 5 minut, teraz trwa to 30 minut :o

Edytowane przez Myszor
Odnośnik do komentarza

1. Co do problemu spowolnienia po skanie GMER, to czy sprawdziłeś transfer dysku?

 

2. Co do wyników Avast: w pierwszej kolejności uruchom TFC - Temp Cleaner, następnie zrób skan alternatywnym narzędziem antywirusowym Kaspersky Virus Removal Tool. Domyślnie Kaspersky robi skan ekspresowy, w konfiguracji zaznacz skan pełny dysku C:\.

 

 

 

 

Z systemu jestem zadowolony, różnica jak dla mnie jest widoczna w porównaniu z oryginalnym WIN XP a WIN JG na korzyść JG.

Pomijając aspekt piracki, nie jestem fanem takich przeróbek (to cudze a nie własne, brak kontroli nad przeprowadzonymi manipulacjami). Potem przy diagnostyce problemów są duże trudności, bo trzeba wymyślić co wycięto z tego Windows, co zmanipulowano i co jest inne w stosunku do standardu, a co może mieć znaczenie dla problemu. Wszystko wygląda dobrze tylko do pewnego momentu, gdy nie ma problemów. Np. tutaj wcale nie jestem pewna co jest przyczyną, że GMER zwraca ten błąd (i to na dodatek w Trybie awaryjnym) oraz co oznaczają te zamrożenia. To może być w ogóle nie powiązane z infekcją.

 

Przy okazji, o ile to możliwe, czas powoli rozmyślać nad zmianą systemu połączoną ze zmianą sprzętu (tu widziane parametry są zbyt słabe, by uciągnąć nowszy system w sposób komfortowy). XP to bardzo archaiczny system, którego wsparcie wygaśnie już za trzy miesiące. Potem już jedna wielka niewiadoma co się stanie w świecie malware (ciągle duży procent XP w przyrodzie robi z niego łasy kąsek, opłaca się szukać luk i je wykorzystać).

 

 

 

.

Odnośnik do komentarza

Nie zauważyłam edycji w poprzednim poście:

 

Kolejna dziwna sprawa. Chcąc ,,naprawić'' dyski spowodowane działaniem GMER'a, które spowodowały spowolnienie komputera wartości, na które trzeba zmienić są ustawione jako standardowe, czyli niby wszystko jest OK, ale nie jest bo system załącza się strasznie długo oraz nagrywanie płyt trwa strasznie długo.

Pokaż mi zrzuty ekranu z ustawień, które sprawdzasz.

 

 

Co do freezów to one już parę lat temu mi się przytrafiały, ale z wgraniem systemu ustąpiły. Jak myślisz czy wgranie normalnego Windowsa XP naprawiło by moje kłopoty z działaniem komputera?

Jak mówię, nie wiem co jest powodem tutaj tych freezów, teoretyzuję. Prócz infekcji jest możliwy także Avast czy sprzęt. Na razie diagnozuję te dziwne zgłoszenia Avast. Reszta tonie w mrokach.

 

 

A co sądzisz czy ten komputer dał by sobie rade z Windowsem 7?

Minimalne wymagania na pierwszy rzut oka spełnia: KLIK. Do sprawdzania dokładniej możesz się posłużyć narzędziem "Doradca uaktualnienia systemu Windows 7": KLIK.

 

Jednakże między minimalnymi a praktyką jest ogromna różnica. Na podstawowe operacje może i starczy, ale komfortu brak, miejsca na dysku C: też raczej szybko zabraknie. A zbyt starego komputera nie opłaca się modernizować na zasadzie wymiany / dokładania części. To już lepiej uzbierać w spokoju i kupić nowy sprzęt.

 

 

 

.

Odnośnik do komentarza

Myszor, podajesz mi zrzut ekranu na którym jawnie widać usterkę i degradację transferu do poziomu PIO. Ty zdaje się patrzysz na "Tryb transferu: DMA jeżeli dostępne", a to nie tę linię się sprawdza lecz Bieżący tryb transferu: Tryb PIO. Czyli deinstalujesz Podstawowy kanał IDE + restart systemu. A po tym zalecenia związane z czyszczeniem Temp i skanem Kaspersky,.

 

 

.

Odnośnik do komentarza

No jak to co. Masz w pełni ukończyć skan Kaspersky Virus Removal Tool. Czekam na te rezultaty, bo chcę sprawdzić czy Kaspersky też wykryje infekcję tam gdzie Avast. Nie podejmę innych działań bez opinii alternatywnego skanera antywirusowego.

 

Mówiłam o zupełnie innym narzędziu TDSSKiller, że niepotrzebnie ponownie go uruchomiłeś, skoro poprzednio nic nie wykrył.

 

 

.

Odnośnik do komentarza

Doczekałem się zakończenia skanowania Kaspersky, znalazło 13 plików zainfekowanych.

 

Status: Quarantined (events: 10)

2014-01-18 18:01:10 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{970E7A0F-850C-40AD-A718-711BDD414ED5}\RP64\A0073682.dll High

2014-01-18 18:01:41 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{970E7A0F-850C-40AD-A718-711BDD414ED5}\RP64\A0073679.dll High

2014-01-18 18:02:24 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{970E7A0F-850C-40AD-A718-711BDD414ED5}\RP64\A0073681.dll High

2014-01-18 18:02:18 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{970E7A0F-850C-40AD-A718-711BDD414ED5}\RP64\A0073684.dll High

2014-01-18 18:03:32 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{970E7A0F-850C-40AD-A718-711BDD414ED5}\RP64\A0073686.dll High

2014-01-18 18:06:59 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\TMP\tf18be6784.dll High

2014-01-18 18:08:50 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\TMP\tf00294823.dll High

2014-01-18 18:07:54 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\TMP\tf2cd672ae.dll High

2014-01-18 18:08:01 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\TMP\tf4ae13d6c.dll High

2014-01-18 18:10:11 Quarantined Trojan program HEUR:Trojan.Win32.Generic C:\TMP\tf69525f90.dll High

Status: Detected (events: 3)

2014-01-18 18:03:57 Detected Trojan program Trojan.Win32.Agent.aeaar C:\TMP\dn155.tmp High

2014-01-18 18:04:01 Detected Trojan program Trojan.Win32.Agentb.aoab C:\TMP\dn177.tmp High

2014-01-18 18:04:03 Detected Trojan program Trojan.Win32.Agent.advhr C:\TMP\dn171.tmp High

Odnośnik do komentarza

Myszor, załączyłeś cały potężny raport z masą nieprzydatnych rekordów typu "OK". Mnie interesują tylko wyniki z zagrożeniami i te wkleiłam do posta. Hmm, Kaspersky widzi wyniki w Temp (inny katalog niż uprzednio zgłaszał Avast) oraz kopie w Przywracaniu systemu (to jest bez znaczenia dla stanu bieżącego, czyszczenie zadaję na końcu). Przez SHIFT+DEL skasuj cały folder C:\TMP.

 

Nie wiem co o tym wszystkim sądzić. Avast jak rozumiem zgłasza cały czas te same zastrzeżenia? Czy tu przypadkiem nie ma jakiegoś fałszywego alarmu na pliku msdtc.exe? Na wszelki wypadek dodaj skan na wystąpienia tego pliku. Uruchom SystemLook i do okna wklej:

 

:filefind
msdtc.exe

 

Klik w Look.

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

Ten wynik z SystemLook jest dla mnie niejasny, w kontekście także faktu, że Windows został sztucznie przygotowany (trudno oceniać inne sumy kontrolne niż zwykle, bo część takich akcji może być pochodną owego preparowania płyty). Plik ma prawie że unikalną sumę kontrolną, a prawie oznacza dokładnie trzy wyniki na Google, w tym Twój log... Dwa pozostałe logi są stare z 2012. Na wszelki wypadek podmień plik moją kopią:

 

1. Przesyłam plik: KLIK. Przejdź w Tryb awaryjny i ręcznie podmień pliki. Nie biorę pod uwagę Ochrony systemu plików, bo tu prawdopodobnie jest ona ukatrupiona na tym sztucznie preparowanym XP, co widać choćby po braku replikatu pliku w dllcache.

 

2. Zastosuj ponownie TFC - Temp Cleaner. Zrób skan SystemLook na ten sam warunek co poprzednio. Wypowiedź się też wyraźnie co się obecnie dzieje: czy Avast coś nadal zgłasza, czy system się zacina.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...