Skocz do zawartości

Komputer zainfekowany confickerem(?)


Rekomendowane odpowiedzi

Witam wszystkich,

mam ogromny problem. Dostałem komputer z całą zawartością, miedzy innymi ogromną liczbę wirusów(prawdopodobnie).

Mam następujące problemy.

-brak możliwości skorzystania z przywracania systemu.

-gdy próbuje otworzyć któryś z dysków, wtedy wyskakuje mi okno "otwieranie za pomocą" i lista programów.

-otwierając niektóre programy (firefox etc.) wyskakuje mi błąd "nie znaleziono punktu wejścia procedury _except_handler4_common w bibliotece msvcrt.dll"

i wiele wiele innych.

 

Próbowałem zażegnać te problemy programami antywirusowymi:

- AVG 2013

- Malwarebytes Anti-Malware

- Odkurzacz

- EConfickerRemover

 

Tu są moje logi do waszego przeglądu:

 

OTL LOG - http://wklej.org/id/1258447/ <- mogę również wrzucić z 360 dni bo komputer był dawno używany

AVGREP LOG - http://wklej.org/id/1258417/ <-- dokonałem skanu na trybie awaryjnym i oto log z AVG

AdwCleaner LOG - http://wklej.org/id/1258236/

FRST LOG - http://wklej.org/id/1258442/

 

Jesteście moją przedostatnia deską ratunku. Mam wielką nadzieje, że pomożecie mi się uporać z tą sprawą i nie będzie potrzebna całkowita kasacja dysków.

Z góry dziękuję za pomoc, jeżeli ktoś z Lublina to chętnie mu za to postawie piwo lub dwa :)

 

 

@Edytowane - Przepraszam za niedopatrzenie, logi z OTL i FRST zostały uzupełnione.

 

FRST log - http://wklej.org/id/1262906/

Addition log - http://wklej.org/id/1262908/

 

oraz odświeżam OTL, ponieważ od tamtego czasu trochę wyczyściłem komputer.

 

OTL log - http://wklej.org/id/1262910/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jest problem z Centrum zabezpieczeń. System widzi następującw antyviry:

 

==================== Security Center ========================

 

AV: AVG Internet Security 2013 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

AV: Norton AntiVirus (Disabled - Up to date) {E10A9785-9598-4754-B552-92431C1C35F8}

AV: Kaspersky Internet Security (Disabled - Up to date) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: AVG Internet Security 2013 (Disabled) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FW: Kaspersky Internet Security (Disabled) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

 

W tym temacie jest opisana naprawa https://www.fixitpc.pl/topic/1431-niezgodne-dane-w-centrum-zabezpieczen-centrum-akcji/

 

Jest też trochę, albo bardziej niż trochę namieszane z politykami zabezpieczeń. Jak uporasz się z pierwszym problemem to odinstaluj poprzez Panel sterowania-->Programy i funkcje wszystkie antywirusy. Reset komputera.

Usuń też stary HijackThis_2.0.4.exe.

Edytowane przez picasso
Usuwam fragment relatywny do skryptu FRST. //picasso
Odnośnik do komentarza

muzyk75

 

Jest problem z Centrum zabezpieczeń.

Te multi rejestracje antywirusów w Centrum to błaha sprawa w kontekście problemów. Derejestrację z WMI potrafi robić FRST.

 

 

Jest też trochę, albo bardziej niż trochę namieszane z politykami zabezpieczeń.

Owe polityki są tu naturalnym zjawiskiem. Tu jest zmutowany nieoryginalny Windows zrobiony przez nLite. Owe polityki są obecne out-of-box.

 

 

Jokeyy

 

Bezużyteczny log HijackThis usuwam, niektóre posty scalam do oczekiwanej na starcie formy. Nie został dodany obowiązkowy log z GMER, skoro pod kątem infekcji temat założony.

 

 

Dostałem komputer z całą zawartością, miedzy innymi ogromną liczbę wirusów(prawdopodobnie).

(...)

Mam następujące problemy.

-brak możliwości skorzystania z przywracania systemu.

-gdy próbuje otworzyć któryś z dysków, wtedy wyskakuje mi okno "otwieranie za pomocą" i lista programów.

-otwierając niektóre programy (firefox etc.) wyskakuje mi błąd "nie znaleziono punktu wejścia procedury _except_handler4_common w bibliotece msvcrt.dll"

i wiele wiele innych.

W żadnym z podanych tu logów nie ma oznak czynnej infekcji, są jedynie drobne nieczynne odpadki, które nie mają zbyt dużego znaczenia i z pewnością nie odpowiadają za wszystkie problemy. Rozwiń wątek "i wiele innych", a te opisane:

- Przywracanie systemu: nie podałeś co oznacza konkretnie "brak możliwości". Został podany niekompletny log OTL (brak pliku Extras), więc nie wiem czy są w systemie jakieś blokady. Ale tu definitywnie jest sztucznie preparowany nieoryginalny Windows, co sugeruje od razu, że funkcja Przywracania systemu mogła zostać celowo z niego trwale wyłączona lub całkowicie wycięta. Skoro komputer otrzymałeś, to i nie wiesz czy kiedykolwiek to działało.

- Otwieranie dysków: Skutki infekcji z pendrive (mapowanie MountPoints), ale to jedynie historyczne resztki. Dedykuję je poniżej w skrypcie FRST.

- Błąd wskazuje na starą wersję któregoś wystąpienia biblioteki msvcrt.dll (od Microsoft Visual C++). Tu jest również strsznie stary Internet Explorer.

 

W podsumowaniu: na razie nie ma tu żadnych dowodów, by problemem głównym była infekcja. Za to w Dzienniku zdarzeń jest taki oto odczyt błędów złych bloków dysku (czyli problem sprzętowy):

 

System errors:

=============

Error: (01/29/2014 06:13:26 PM) (Source: 0) (User: )

Description: \Device\Harddisk0\D

 

Z tym, że nieco mi się nie zgadza numerowanie. Jest tu wskazywany dysk 0, który wg wyciągu nie jest dyskiem systemowym (ale mogą być przekłamania numerowania):

 

==================== Drives ================================

 

Drive c: () (Fixed) (Total:17.58 GB) (Free:10.39 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive d: () (Fixed) (Total:19.66 GB) (Free:12.93 GB) NTFS

Drive g: () (Fixed) (Total:4.01 GB) (Free:0.03 GB) NTFS

 

==================== MBR & Partition Table ==================

 

========================================================

Disk: 0 (Size: 4 GB) (Disk ID: FB8BDDEF)

Partition 1: (Not Active) - (Size=4 GB) - (Type=07 NTFS)

 

========================================================

Disk: 1 (Size: 37 GB) (Disk ID: 00160016)

Partition 1: (Active) - (Size=18 GB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=20 GB) - (Type=OF Extended)

 

Więc ja tu na razie zajmuję się tylko usunięciem drobnych odpadków po programach (antywirusy / Firefox / adware) i infekcjach:

 

1. Otwórz Notatnik i wklej w nim:

 

Toolbar: HKCU - No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File
S3 AVPsys; \??\C:\WINDOWS\system32\drivers\cdaudio.sys [X]
S1 Cdaudio; No ImagePath
NETSVC: qdjtufyaa -> No Registry Path.
AV: AVG Internet Security 2013 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: Kaspersky Internet Security (Disabled - Up to date) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: AVG Internet Security 2013 (Disabled) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: Kaspersky Internet Security (Disabled) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
C:\$AVG
C:\Documents and Settings\All Users\Dane aplikacji\17119
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\AVG2013
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro
C:\Documents and Settings\All Users\Dane aplikacji\NCOTEMP
C:\Documents and Settings\All Users\Menu Start\Programy\AVG
C:\Documents and Settings\Administrator\.android
C:\Documents and Settings\Administrator\daemonprocess.txt
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla
C:\Documents and Settings\Administrator\Dane aplikacji\TuneUp Software
C:\Documents and Settings\Administrator\Moje dokumenty\Mobogenie
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\genienext
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\MFAData
C:\Program Files\Mozilla Firefox
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przejdź w Tryb awaryjny Windows i zastosuj Kaspersky Remover. To ma w zamiarze usunąć czynny sterownik Kasperskiego klim5.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST - zaznacz ponownie pole Addition, by powstały dwa logi - oraz Farbar Service Scanner. Dołącz plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...