Skocz do zawartości

Zdezelowany system


Rekomendowane odpowiedzi

Witam.

Problemy z komputerem właściciel zauważył w momencie kiedy przestała mu działać myszka. Od momentu kiedy wziąłem go w "swoje łapska" wykonałem instalację nakładkową, co dopiero pomogło odzyskać władzę w myszy i klawiaturze, odinstalowałem multum pasków i innych wg. mnie niepotrzebnych programów(cześć pozostała ponieważ nie ma ich na liście). Podsyłam logi do sprawdzenia w celu sprawdzenia czy nie pozostał jakiś syf ponieważ IE się wogóle nie otwiera a dopóki się otwierało to wyskakiwał jakiś komunikat o kluczu wyszukiwania(nie zapisałem, nie pamiętam dokładnie treści), natomiast chrome nie otwiera stron od google(komunikat:nie można się połączyć z prawdziwą stroną google.pl i coś tam o intruzie i kradzieży danych). Dodatkowo w opcjach internetowych zauważyłem jakąś dziwną stronę startową a mianowicie hxxp://www.goglle.com.pl/. 

Z góry dziękuje za zainteresowanie tematem.

 

 

EDIT: Problemy ze stroną google wzięły sie z jakiegoś z d..y wziętego czasu w systemie. Już naprawione. Pozostał problem IE który przy kazdej próbie uruchomienia wywala błąd.

 

Pozdrawiam 

marian2069

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

EDIT: Problemy ze stroną google wzięły sie z jakiegoś z d..y wziętego czasu w systemie. Już naprawione.

Otóż to:

 

Ran by Właściciel (administrator) on DOM-4FFD9B055B7 on 12-01-2014 08:14:09

 

Logi są więc zrobione ze złego zakresu czasowego, dlatego są takie duże. Nowa porcja raportów po wykonaniu poniższych działań będzie bardziej dopasowana do sytuacji.

 

 

Od momentu kiedy wziąłem go w "swoje łapska" wykonałem instalację nakładkową, co dopiero pomogło odzyskać władzę w myszy i klawiaturze

(...)

Pozostał problem IE który przy kazdej próbie uruchomienia wywala błąd.

Po pierwsze: nakładkowa instalacja uszkodziła Internet Explorer brutalnie cofając go z wersji IE8 do zintegrowanej z XP archaicznej wersji IE6 i trzeba będzie potem (po wyczyszczeniu systemu) nadpisać nakładowo instalatorem IE8 z Windows Update. Ślady uprzedniego pobytu IE8 są w logu:

 

2014-05-03 19:06 - 2010-07-06 17:12 - 00000000 ____D () C:\WINDOWS\ie8updates

 

Po drugie: dodatkowy problem to listowanie określonych katalogów na dysku podwójnie (przykład poniżej). Widziałam to już kilka razy i nie udało mi się tego jeszcze naprawić. Ten efekt sugeruje problem ze strukturą systemu plików i jakieś uszkodzenie dysku.

 

2014-01-09 11:01 - 2013-09-04 14:50 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVAST Software

2014-01-09 11:01 - 2013-09-04 14:50 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVAST Software

 

Kolejna sprawa to forma nazwy folderu użytkownika: C:\Documents and Settings\Właściciel.DOM-4FFD9B055B7.010. Taka nazewnicza konstrukcja powstaje, gdy jest problem z dostępem do katalogu konta. Potencjalne przyczyny: brak uprawnień, błędy dysku...

 

 


W systemie nie widać czynnej infekcji w rodzaju trojanów czy wirusów, ale odpadków adware multum. Są też ślady po infekcji robakiem Brontok (zmodyfikowany plik HOSTS trzymający sieczkę HTML). Wstępne działania:

 

1. Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe Flash Player 13 ActiveX, Java 7 Update 51.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {3de9eb9c-a833-42cb-b66f-841b954aebef}Gt; C:\WINDOWS\System32\drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}Gt.sys [55224 2014-04-24] (StdLib)
R1 {3de9eb9c-a833-42cb-b66f-841b954aebef}t; C:\WINDOWS\System32\drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}t.sys [55864 2014-09-24] (StdLib)
R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [37664 2013-12-13] (AVG Technologies)
R2 vToolbarUpdater17.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\17.2.0\ToolbarUpdater.exe [1771544 2013-12-13] (AVG Secure Search)
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S2 Update BringStar; "C:\Program Files\BringStar\updateBringStar.exe" [X]
HKLM\...\Run: [vProt] => C:\Program Files\AVG Secure Search\vprot.exe [2471448 2013-12-13] ()
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKU\S-1-5-21-448539723-2111687655-1801674531-1003\...\Run: [Odkurzacz-MCD] => C:\Documents and Settings\Bukasz.AUKASZ\Pulpit\odk_mcd.exe
HKU\S-1-5-21-448539723-2111687655-1801674531-1003\...\Run: [RGSC] => C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\WACICI~1\DANEAP~1\BabMaint.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goglle.com.pl/
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com
URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Toolbar: HKCU - No Name - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No File
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\17.2.0\ViProtocol.dll No File
CHR HKLM\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files\DealPly\DealPly.crx [2013-01-15]
CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG Secure Search\ChromeExt\17.2.0.38\avg.crx [2013-12-13]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
GroupPolicy: Group Policy on Chrome detected 
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG Secure Search
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\OnlineUpdate
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP
C:\Documents and Settings\Właściciel.DOM-4FFD9B055B7.010\Dane aplikacji\Mozilla
C:\Documents and Settings\Właściciel.DOM-4FFD9B055B7.010\Dane aplikacji\systweak
C:\Documents and Settings\Właściciel.DOM-4FFD9B055B7.010\Pulpit\Wyczyść rejestr za darmo!.lnk
C:\Documents and Settings\Właściciel.DOM-4FFD9B055B7.010\Ustawienia lokalne\Dane aplikacji\*.exe
C:\Documents and Settings\Właściciel.DOM-4FFD9B055B7.010\Ustawienia lokalne\Dane aplikacji\Mozilla
C:\Program Files\Mozilla Firefox
C:\Program Files\AVG Secure Search
C:\Program Files\AnyProtectEx
C:\Program Files\Common Files\AVG Secure Search
C:\Program Files\BringStar
C:\Program Files\MarkSoft
C:\Program Files\GUM134.tmp
C:\Program Files\*.tmp
C:\WINDOWS\jumpshot.com
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\roboot.exe
C:\WINDOWS\System32\drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}Gt.sys
C:\WINDOWS\System32\drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}t.sys
C:\WINDOWS\system32\drivers\avgtpx86.sys
RemoveDirectory: C:\Documents and Settings\TEMP
RemoveDirectory: C:\Documents and Settings\łukasz
RemoveDirectory: C:\Documents and Settings\łukasz.ŁUKASZ
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj odpadki: AVG Security Toolbar, BringStar, DealPly
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną wyszukiwarkę Google, następnie skasuj z listy Ask Search i inne niedomyślne śmieci (o ile będą).
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

Odnośnik do komentarza

Wszystko pomyślnie przetworzone. Widzę też, że IE8 wrócił na miejsce. Kolejna porcja czynności:

 

1. Był uruchamiany GMER, toteż na wszelki wypadek sprawdź transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: del /q C:\WINDOWS\system32\sqlite3.dll
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\WINDOWS\jumpshot.com
DeleteQuarantine:
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostacz wynikowy fixlog.txt.

 

3. Wyłącz zbędne wpisy ze startu. W Autoruns w karcie Logon odfajkuj:

 

HKLM\...\Run: [ASUS Camera ScreenSaver] => C:\WINDOWS\ASScrProlog.exe [37232 2013-01-22] ()

HKLM\...\Run: [WinampAgent] => D:\Wszystko Z Dysku ' C '\Winamp\winampa.exe [74752 2011-03-22] (Nullsoft, Inc.)

HKLM\...\Run: [Alcmtr] => C:\WINDOWS\ALCMTR.EXE [69632 2005-05-05] (Realtek Semiconductor Corp.)

HKU\S-1-5-21-448539723-2111687655-1801674531-1003\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation)

Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\InterVideo WinCinema Manager.lnk

 

W karcie Services wyłącz wpis WMPNetworkSvc. Zresetuj system.

 

Opisz jak się sprawuje system. W planie jest jeszcze diagnostyka dysku.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...