przemekk121 Opublikowano 24 Marca 2011 Zgłoś Udostępnij Opublikowano 24 Marca 2011 Witam, od niedawna mój komputer zaczął wolniej działać i dłużej się włącza. Nie mogę również nic usunąć przez "Dodaj, usuń programy" (lista się nie zapełnia) oraz podczas korzystania z Internetu co jakiś czas ładuje się strona "http://www.cyberzation.com" (używam Chrome ale dzieje się też tak na IE). Mam logi z OTL: Extras.txt: http://wklej.org/id/499135/ OTL.txt http://wklej.org/id/499136/ GMERA nie mogę dodać, ponieważ mam zainstalowanego DAEMONa (nie idzie go usunąć). Malwarebytes' Anti-Malware podczas szybkiego skanowania wykrył jakiegoś robala ale go usunął. Jeżeli jeszcze coś mam podać to piszcie.. Pozdrawiam i czekam na szybką odpowiedź. Odnośnik do komentarza
Landuss Opublikowano 24 Marca 2011 Zgłoś Udostępnij Opublikowano 24 Marca 2011 GMERA nie mogę dodać, ponieważ mam zainstalowanego DAEMONa (nie idzie go usunąć) Próbowałeś narzędziem SPTDinst tak jak opisane na forum? I napisz co to znaczy ze nie możesz go usunąć, bardziej konkretnie. W logach głównie infekcja z mediów przenośnych. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files w9.exe /alldrives autorun.inf /alldrives C:\WINDOWS\system32\arking0.dll C:\WINDOWS\System32\arking1.dll C:\Documents and Settings\Admin\fswagz.exe :OTL IE - HKU\S-1-5-21-1708537768-1604221776-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.entretieneteds.vze.com FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.defaultthis.engineName: "PageRage Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNxmk142YYPL&ptb=c7bvz1hAul0KB1K9O3PKSg&psa=&ind=2010120613&ptnrS=ZNxmk142YYPL&si=46776&st=kwd&n=77d001a5&searchfor=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties" [2010-02-10 21:52:24 | 000,000,000 | ---D | M] (HyperCam Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2010-04-06 18:09:32 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2010-09-22 21:45:50 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\vshare@toolbar [2010-04-06 18:09:28 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\searchplugins\sweetim.xml O4 - HKU\S-1-5-21-1708537768-1604221776-839522115-1003..\Run: [] File not found O4 - HKU\S-1-5-21-1708537768-1604221776-839522115-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe () [2010-03-04 16:25:24 | 000,000,304 | ---- | M] () -- C:\WINDOWS\Tasks\expressburnSevenDaysInit.job [2011-03-24 14:54:08 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\PCConfidential.job [2010-09-14 17:16:02 | 000,000,298 | ---- | M] () -- C:\WINDOWS\Tasks\expressburnShakeIcon.job :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj vShare Plugin. Jest oceniany jako szkodliwy: KLIK 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
przemekk121 Opublikowano 24 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2011 Ok udało mi się usunąć DAEMONa. Już wiem też czym było spowodowane spowolnienie pracy komputera. Od jakiegoś czasu muszę walnąć co 1-2 tygodnie format partycji E, ponieważ robi się ona "niesformatowana". GMER: http://wklej.org/id/499229/ Extras: http://wklej.org/id/499234/ OTL: http://wklej.org/id/499235/ (Cały czas co 2-3h wyskakuje ta strona cyberzation.) Odnośnik do komentarza
Landuss Opublikowano 24 Marca 2011 Zgłoś Udostępnij Opublikowano 24 Marca 2011 Wykonaj kolejny skrypt bo nie wszystko poszło jak należy: :Files C:\Documents and Settings\Admin\fswagz.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- :OTL [2011-03-24 16:48:20 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\vshare@toolbar O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Admin\fswagz.exe) - C:\Documents and Settings\Admin\fswagz.exe () :Commands [emptytemp] Wklejasz nowe logi z OTL. Odnośnik do komentarza
przemekk121 Opublikowano 25 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2011 http://wklej.org/id/499505/ - po wykonanym skrypcie http://wklej.org/id/499510/ - skan po rebocie Odnośnik do komentarza
Landuss Opublikowano 25 Marca 2011 Zgłoś Udostępnij Opublikowano 25 Marca 2011 OTL nie może jakoś sobie poradzić z tym ustrojstwem: O20 - HKLM Winlogon: TaskMan - (c:\documents and settings\admin\fswagz.exe) - c:\Documents and Settings\Admin\fswagz.exe () Trzeba zmienić metode. Pobierz Avenger i wklej do okna taki tekst: Files to delete: c:\Documents and Settings\Admin\fswagz.exe Registry values to delete: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | TaskMan Klik w Execute i restart komputera. Do pokazania log z Avengera i nowy log z OTL. Odnośnik do komentarza
przemekk121 Opublikowano 25 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2011 http://wklej.org/id/499674/ - avenger (nie znam się ale chyba coś nie tak poszło) http://wklej.org/id/499675/ - OTL Odnośnik do komentarza
Landuss Opublikowano 25 Marca 2011 Zgłoś Udostępnij Opublikowano 25 Marca 2011 Infekcja została pomyślnie usunięta. Pytanie czy problemy minęły? Do wykonania poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Masz mało miejsca wolnego na partycji systemowej i w dodatku system plików to stary FAT: Drive C: | 18,55 Gb Total Space | 1,66 Gb Free Space | 8,96% Space Free | Partition Type: FAT32 Przeanalizuj dysk za pomocą SpaceSniffer aby sprawdzić co ewentualnie można z tej partycji usunąć i co zajmuje najwięcej miejsca. Po uzyskaniu większej ilości miejsca wykonaj szybką konwersję FAT do NTFS Start > Uruchom > cmd i w linii komend wpisz polecenie convert C: /fs:ntfs Na pytanie o dezinstalację woluminu odpowiedz twierdząco. 4. Wykonaj aktualizacje Firefoxa i Adobe Rader: KLIK. 5. Na końcu wyzeruj stan przywracania systemu: KLIK Odnośnik do komentarza
przemekk121 Opublikowano 25 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2011 Skoro twierdzisz, że usunięta to dobrze. Nie zauważyłem żeby wyświetlały się samoczynnie jakieś strony internetowe. Już zabieram się za dalsze polecenia. Mam jednak pytanie co do partycji E: Czym mogę ją przeskanować aby sprawdzić co jest z nią nie tak? Jak już wcześniej pisałem to co jakiś tydzień, może dwa muszę ją formatować bo się gubi :/ Wielkie DZIĘKI za pomoc w czyszczeniem kompa.. teraz jeszcze tylko to E: . Odnośnik do komentarza
Rekomendowane odpowiedzi