Kondzios Opublikowano 14 Lutego 2011 Zgłoś Udostępnij Opublikowano 14 Lutego 2011 Witam! Dzisiaj mam straszny problem mianowicie Komputer laguje jak głupi, Gogle chrome się zawiesza gdy tylko je uruchamiam, raiilu.exe wyciska procka a wszystko zaczęło się od pendrive kolegi na którym był conficker... Najbardziej denerwuje mnie jednak problem z google chrome. Gdy je włączam i wpisuję strone to piszę: Kurza twarz Google Chrome się zawiesił... Zapodaję logi z OTL(zaraz dorzuce z GMERA) Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2011 Zgłoś Udostępnij Opublikowano 14 Lutego 2011 Czekam na log z GMER. Na teraz zadaję usuwanie tego co widzę: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [raiilu] C:\Documents and Settings\Konrad\raiilu.exe () [2011-01-23 19:02:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\OY7GPY7GPY7GPY7G O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - No CLSID value found. O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab" (Reg Error: Key error.) O20 - AppInit_DLLs: (? ??d) - File not found O20 - Winlogon\Notify\avldr: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O34 - HKLM BootExecute: (MACHINE BootExecut) - File not found SRV - File not found [Disabled | Stopped] -- -- (gupdate) Usługa Google Update (gupdate) :Commands [emptyflash] [emptytemp] Rozpocznij przez Wykonaj skrypt. Po restarcie otrzymasz z tego log. 2. Przejdź do Dodaj / Usuń programy i odmontuj: SweetIM Toolbar + vShare Plugin. 3. Generujesz nowe logi z OTL opcją Skanuj. Dołącz także log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
Kondzios Opublikowano 14 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2011 Tak więc: GMER Bardzo długo skanuje(3h) Może lepiej użyć RootReapal? EDIT: Ponieważ w Gmerze nie ma żadnych odczytów oprócz sptd w rejestrze(SPTD Usunięty jednak śłady w rejestrze zostały) To zapodaję dotychczasowe wyniki Gmera Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2011 Zgłoś Udostępnij Opublikowano 14 Lutego 2011 Tak więc: GMER Bardzo długo skanuje(3h) Może lepiej użyć RootReapal? Nie przerywaj GMERowi, niech skanuje. RootRepeal jest awaryjnym skanerem, tylko gdy nie można uruchomić GMER wcale i od dość dawna nie był aktualizowany (wersja 2 ciągle beta i jakoś nie wychodzi.....). Aktualnie bardziej wierzę w GMER niż RootRepeal. oprócz sptd w rejestrze(SPTD Usunięty jednak śłady w rejestrze zostały) To zawsze będzie pokazane, mimo zdjęcia aktywności sterownika SPTD. To inny rodzaj wyniku, czyli statyczny brak dostępu do klucza rejestru. . Odnośnik do komentarza
Kondzios Opublikowano 14 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2011 Dobra Gmer się ogarnął i ja zapodaję z niego loga końcowego Skrypt wykonany, SweetIm odinstalowany( vshare jest mi potrzebny do oglądanie meczy w necie) Tak więc : Google Chrome działają, pewnie to raiilu.exe go blokowało, komputer działa normalnie, raiilu.exe zostało usuniętę więc pozostaje pokazać nowe logi. gmer.txt 02142011_202020.txt OTL1.Txt Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2011 Zgłoś Udostępnij Opublikowano 14 Lutego 2011 Poprawka do OTL, bo wpis po infekcji się odtworzył (jako pusty) + SweetIM niestety nie odinstalował się na tyle dobrze: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - File not found FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.1.0.2 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties" [2011-01-17 15:44:48 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Konrad\Application Data\mozilla\Firefox\Profiles\1tiyvoie.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2011-01-17 15:44:44 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Konrad\Application Data\Mozilla\Firefox\Profiles\1tiyvoie.default\searchplugins\sweetim.xml [2011-01-17 15:44:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\SweetIM O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - File not found O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - File not found O4 - HKCU..\Run: [raiilu] File not found O20 - AppInit_DLLs: (? ??d) - File not found O34 - HKLM BootExecute: (MACHINE BootExecut) - File not found SRV - File not found [Disabled | Stopped] -- -- (gupdate) ( vshare jest mi potrzebny do oglądanie meczy w necie) + O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files\vShare\vshare_toolbar.dll () Cóż, wg tego spisu {numer} widziany u Ciebie jest sklasyfikowany jako obiekt niepożądany: KLIK. Plus dodatkowy link: KLIK. Więc jestem ciekawa skąd pobierałeś ów plugin dodający pasek narzędziowy do IE + Firefox. . Odnośnik do komentarza
Kondzios Opublikowano 14 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2011 Hmm oglądałem na adthenet.tv wybrałem mecz pisało że żeby oglądać potrzeby jest ten plugin a że derby Włoch to byłem zdesperowany by to oglądnąć Anyway radzisz odinstalować? Dobra Robię skrypta, dam log z usuwania + nowy. EDIT: Log z usuwania +nowy 02142011_221341.txt OTL2.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2011 Zgłoś Udostępnij Opublikowano 15 Lutego 2011 Anyway radzisz odinstalować? Tak. Ten "vShare plugin" robi zastanawiające (niepożądane) rzeczy tzn. rekonfiguruje ustawienia stron startowych / wyszukiwarek obu przeglądarek oraz keyword.URL Firefoxa na vshare.toolbarhome.com (u Ciebie nie było to widoczne, zamiennie siedział tam SweetIM). Do "meczyków" to wcale nie pasuje, tzn. bagaż funkcji, które z meczykami nie mają nic wspólnego. 1. Czyli w pierwszej kolejności pozbądź się vShare Plugin, by następny log OTL przedstawiał czy odpadki nie zostały, a kolejny log na widoku, gdyż: 2. ... są oporne wpisy wracające po usuwaniu (choć i tak przypuszczam, że ten drugi się odtworzy, a do dziś nie wiem czego to pochodna): O20 - AppInit_DLLs: (? ??d) - File not foundO34 - HKLM BootExecute: (MACHINE BootExecut) - File not found Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"=- "AppInit_DLLs"="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\ 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik > restart komputera 3. Po restarcie systemu uruchamiasz OTL i robisz końcowy log do oceny. . Odnośnik do komentarza
Kondzios Opublikowano 15 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2011 Daję log OTL OTL3.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2011 Zgłoś Udostępnij Opublikowano 15 Lutego 2011 Import do rejestru zlikwidował oba zapisy. Natomiast usuwanie vShare nie było kompletne, gdyż pozostał w Firefox. 1. Zamknij przeglądarkę Firefox. Szybka operacja w OTL, w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 [2011-02-13 21:36:32 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\Konrad\Application Data\mozilla\Firefox\Profiles\1tiyvoie.default\extensions\vshare@toolbar Klik w Wykonaj skrypt. Po ukończeniu przetwarzania wywołaj Sprzątanie. 2. Zaktualizuj Java: INSTRUKCJE. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. . Odnośnik do komentarza
Kondzios Opublikowano 15 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2011 Wszystko zrobione. Lecz proszę o niezamykanie tematu gdyż mój kolega ma to samo, niebawem dołączę logi z tamtego komputera. Odnośnik do komentarza
Kondzios Opublikowano 18 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Cóż chyba jednak można zamknąć. Mój kolega miał tyle syfu na kompie(z moich pobieżnych przeglądów loga wyglądało to na Sality(C:\Windows\system32\explorer.exe) +Conficker(Żadna strona z antywirusami nie chciała się włączyć(Być może Sality to blokowało)+Pendrivowy wirus, który strasznie się rozmnożył nawet nie mogłem dać wykonaj skrypt w OTL bo OTL się wyłączał) Tak czy owak kolega robi format bo powiedział że go to nie obchodzi, komp ma działać. Pozostaje mi podziękować za pomoc, tak więc dziękuję Picasso:) Odnośnik do komentarza
Rekomendowane odpowiedzi