Skocz do zawartości

Samoczynnie poruszająca się mysz


Rekomendowane odpowiedzi

http://wklej.org/id/507246/-SecurityCheck

http://wklej.org/id/507238/-GMER

Ad-Report-SCAN.txt

OTL.Txt

Extras.Txt

 

 

Internet bardzo wolny,strony się zawieszają,bardzo długi czas na otworzenie się stron,wskaźnik myszy czasami porusza się samoczynnie.

Podczas działania OTL się zawiesił na ok 2 min.,a wcześniej skanowanie NOD-32 niczego nie wykryło.

Malwarebytes wykrył 2 infekcje. Logi poniżej, proszę o sprawdzenie.

 

Mój system oper. WIN 7/ 32 x86

NOD-32

firewall windows

pozdrawiam i dziękuję

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Podałeś mi błędne linki do GMER i SecurityCheck, nie podałeś wyniku skanu z Malwarebytes, który "wykrył 2 infekcje". Dostarcz te materiały.

 

 

1. Jedyne co ja tu widzę podejrzanego (udając że nie widzę cracka do Office), to ten sterownik:

 

DRV - [2011-03-24 12:25:00 | 000,022,016 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)

[2011-03-24 12:24:59 | 000,022,016 | ---- | C] () -- C:\cpu.sys

On sugeruje infekcję, której elementem jest również rekonfiguracja ścieżki katalogu powłoki Autostart na "My applications". Aczkolwiek w Twoim logu brak znaków, że taki foler został wygenerowany. Poproszę o wykonanie skanu dostosowanego w OTL. Uruchom OTL i wszystkie sekcje ustaw na Brak + wyszukiwanie plików na Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Klik w Skanuj (a nie Wykonaj skrypt) i przedstaw log. Log krótki = do posta wklejasz bezpośrednio.

 

 

2. Ponadto, widzę bezsensowność naszych poczynań tutaj:

 

Hosts file not found

+ zażalenia systemu przy próbie odczytu fantoma:

 

Error - 2011-04-06 04:17:34 | Computer Name = tom-pc | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Wystąpił błąd podczas próby odczytu lokalnego pliku hosts.

Nie wiem co się tu dzieje. Dostałeś instrukcję ręcznej odbudowy pliku HOSTS ode mnie w poprzednim temacie: KLIK. Następnie założyłeś drugi temat (który dołączyłam do pierwszego) i tam było to samo i dostałeś po raz drugi instrukcję przebudowy od Landussa: KLIK. Teraz zakładasz trzeci temat i nadal to samo. Co tu się u licha dzieje? Czy Ty na pewno ten plik odtwarzasz prawidłowo i ma on nadawane właściwe rozszerzenie (czyli = bez rozszerzenia)?

 

Jaki jest powód usunięcia wszystkich logów z poprzedniego tematu? Takich rzeczy się nie robi, psujesz temat (i odcinasz drogę do porównań własnych tematów = my często wracamy wstecz, by sprawdzić co było wtedy w logach i jak się to ma do sytuacji aktualnej), a mnie puszczają nerwy. Będę przywracać wszystkie pliki z kopii zapasowej. Jeśli powodem usunięcia było przekroczenie pojemności Załączników, należało wszystkie aktualne logi dać na hosting.

 

O2 - BHO: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()

O3 - HKLM\..\Toolbar: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()

O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files\vShare\vshare_toolbar.dll ()

W kółko u Ciebie usuwamy vShare Toolbar. Co widzę w trzecim temacie? vShare Toolbar. Nie podejmuję się usuwania po raz trzeci, dopóki się nie dowiem czego to wynik, że to jest przez Ciebie przywracane pomimo tego, że jawnie widać jakie operacje tu prowadzimy. Co ja sądzę na temat vShare Toolbar: KLIK. AdRemover również pokazuje to do usuwania:

 

Folder found: C:\Users\tom\AppData\Local\AskToolbar

Folder found: C:\Users\tom\AppData\Local\Conduit

Folder found: C:\Users\tom\AppData\LocalLow\Conduit

Folder found: C:\Users\tom\AppData\LocalLow\PriceGong

Folder found: C:\Users\tom\AppData\LocalLow\vShare

Folder found: C:\Program Files\vShare

Zresztą po owym logu widać, że jest jakaś nieuwaga instalacyjna. Widziane tu obiekty są wprowadzane na własne życzenie użytkownika, poprzez zatwierdzenie instalacji sponsora na ekranie instalacji programu, który adware wpuszcza. Z tematu na temat obserwuję to samo zachowanie, pojawianie się w systemie niepożądanych pasków narzędziowych, tylko w różnych konfiguracjach.

 

 

3. Nie widzę COMODO w spisie zainstalowanych, ale ciągle startuje sterownik COMODO:

 

DRV - [2009-12-07 10:49:38 | 000,017,664 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EnumProcessesDriver.sys -- (EnumProcessesDriver)

Podobnie z Iolo, a Winsock pozostał w formie zmodyfikowanej i pliki walające się na dysku:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Windows\System32\iavlsp.dll (iolo technologies, LLC)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Windows\System32\iavlsp.dll (iolo technologies, LLC)

O10 - Protocol_Catalog9\Catalog_Entries\000000000040 - C:\Windows\System32\iavlsp.dll (iolo technologies, LLC)

 

[2011-04-05 12:54:43 | 000,118,784 | ---- | C] (iolo technologies, LLC) -- C:\Windows\System32\iavlsp.dll

[2011-04-05 12:52:46 | 000,000,000 | ---D | C] -- C:\Users\tom\AppData\Roaming\iolo

[2011-04-05 12:52:46 | 000,000,000 | ---D | C] -- C:\ProgramData\iolo

[2011-04-05 12:59:44 | 000,000,406 | ---- | C] () -- C:\Windows\System32\ioloBootDefrag.cfg

 

Samoczynnie poruszająca się mysz

 

Jeśli wyjdzie w praniu, że cpu.sys nie ma związku, nasuwa się pytanie: typ myszy? Jeśli optyczna, to się przyjrzyj na podkładkę. Dla takich myszek podkładka musi być w jednolitym kolorze bez żadnych wzorów, gdyż te powodują złe odbijanie się światła, czego skutkiem jest zupełna dyskordynacja myszki. Najprostszy test w świecie: podłożyć białą kartkę papieru i sprawdzić wtedy czy mysz sama się rusza / ucieka.

 

 

 

 

.

Odnośnik do komentarza

W GMER nic podejrzanego. W MBAM to nie infekcja:

 

HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

To detekcja innego niż domyślne otwierania widocznych tu rozszerzeń SCR i REG. Było ustawione na Notatnik, MBAM przekonfigurował to na powrót do domyślnych otwieraczy.

 

 

"wyszukiwanie plików na Żadne"-------- -----OTL nie mogę znaleźć takiej funkcji

z funkcją "Zadne"sąjedynie "pliki utworzone w przeciągu"i "pliki zmodyfikowane w przeciągu" czy to może o to chodziło?

 

Masz zaznaczyć wszystkie opcje o tytule "Żadne". Tak, są dwie takie opcje, te o których mówisz, i obie oznaczają to co ja mówię = wyszukiwanie plików.

 

Nie wypowiedziałeś się też ani na temat pliku HOSTS, ani na temat vShare Toolbar.

 

 

 

.

Odnośnik do komentarza

Odnośnie pliku vshare jestem odpowiedzialny za to że ten plik non stop powraca niestety nie jestem jedynym użytkownikiem tego komputera i czasami nie mam wpływu na zawartość ,postaram się to zmienić (już dziś wieczorem ).

Plik HOSTS- istnieje możliwość iż zrobiłem to nieudolnie bądź niepoprawnie postaram się to szybko poprawić.

Niestety zmieniając temat nie mogę się połączyć ze stroną forum ,bądź jest ona rozłączana ,coś chyba z serwerem nie tak

 

"There appears to be an error with the database.

If you are seeing this page, it means there was a problem communicating with our database. Sometimes this error is temporary and will go away when you refresh the page. Sometimes the error will need to be fixed by an administrator before the site will become accessible again.

 

You can try to refresh the page by clicking here"

 

 

OTL.Txt

 

cały czas mi się blokuje strona

wykonałem czynności związane z hosts-em,poraz kolejny odinstalowałem v share,zapoznałem się z artykułem już wcześniej i w całości przyznaje że jest istną głupotą używanie

tego czegoś jednak mój syn uporczywie go instaluje .Dziś wieczorem go zapoznam z niebezpieczeństwem związanym z tym programem i mam nadzieje tylko że to poskutkuje

Odnośnik do komentarza
cały czas mi się blokuje strona

 

Tak, wiem. Mam poważny problem techniczny ze stronę.

 

 


W skanie OTL nie widać złej konfiguracji, czyli to nie jest ta infekcja. Ale cpu.sys będę usuwać, gdyż jest bardzo podejrzany i utworzony dopiero co. Przy okazji również: szczątki po Comodo i Iolo oraz ślady pasków narzędziowych widoczne w raporcie Ad-Remover (z wyłączeniem vShare które poddałeś deinstalacji = deinstalacja niektóre rzeczy sama mogła zlikwidować).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2011-03-24 12:25:00 | 000,022,016 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)
DRV - [2009-12-07 10:49:38 | 000,017,664 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EnumProcessesDriver.sys -- (EnumProcessesDriver)
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2405280]
[-HKEY_LOCAL_MACHINE\Software\Classes\AppID\GenericAskToolbar.DLL]
[-HKEY_LOCAL_MACHINE\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_CURRENT_USER\Software\Ask.com]
[-HKEY_CURRENT_USER\Software\AskToolbar]
[-HKEY_CURRENT_USER\Software\Zugo]
[-HKEY_CURRENT_USER\Software\AppDataLow\AskToolbarInfo]
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\AskToolbar]
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{AD708C09-D51B-45B3-9D28-4EBA2681FEBF}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ad708c09-d51b-45b3-9d28-4eba2681febf}"=-
 
:Files
C:\Users\tom\AppData\Local\AskToolbar
C:\Users\tom\AppData\Local\Conduit
C:\Users\tom\AppData\LocalLow\Conduit
C:\Users\tom\AppData\LocalLow\PriceGong
C:\Users\tom\AppData\Roaming\iolo
C:\ProgramData\iolo
C:\Windows\System32\ioloBootDefrag.cfg
netsh winsock reset /C
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt.

 

2. Otwórz Google Chrome i zrekonfiguruj stronę startową:

 

Preferences - homepage: hxxp://home.sweetim.com/?crg=2.1002&barid={6141AD63-CB47-4648-97BF-F7553B59E0D4}

3. Przedstaw logi z OTL (otrzymany z usuwania + nowy z opcji Skanuj) oraz jeszcze log z wyszukiwania (nie usuwania) w AD-Remover.

 

 

 

 

.

Odnośnik do komentarza

Czy to na pewno log z AD-Remover po przepuszczeniu skryptu w OTL a nie przed? Usuwałam przecież te katalogi:

 

========== FILES ==========

C:\Users\tom\AppData\Local\AskToolbar\Downloaded Program Files\temp folder moved successfully.

C:\Users\tom\AppData\Local\AskToolbar\Downloaded Program Files folder moved successfully.

C:\Users\tom\AppData\Local\AskToolbar folder moved successfully.

C:\Users\tom\AppData\Local\Conduit folder moved successfully.

C:\Users\tom\AppData\LocalLow\Conduit\Toolbar\Facebook folder moved successfully.

C:\Users\tom\AppData\LocalLow\Conduit\Toolbar folder moved successfully.

C:\Users\tom\AppData\LocalLow\Conduit folder moved successfully.

C:\Users\tom\AppData\LocalLow\PriceGong\Data folder moved successfully.

C:\Users\tom\AppData\LocalLow\PriceGong folder moved successfully.

W logu nadal są:

 

============== SEARCH ==============

 

 

Folder found: C:\Users\tom\AppData\Local\AskToolbar

Folder found: C:\Users\tom\AppData\Local\Conduit

Folder found: C:\Users\tom\AppData\LocalLow\Conduit

Folder found: C:\Users\tom\AppData\LocalLow\PriceGong

Ponadto, jeśli to log po deinstalacji vShare, to vShare nie zlikwidowało się z rejestru w sposób kompletny.

 

 

wykonałem czynności związane z hosts-em

 

Niezmiennie stoi ten odczyt:

 

Hosts file not found

Pokaż mi co Ty tak właściwie masz w tym katalogu, gdzie ma siedzieć plik HOSTS. Uruchom OTL, jak poprzednio ustaw wszystkie sekcje na Brak / Żadne, a w polu Własne opcje skanowania / skrypt wklej:

 

:Files
DIR /A C:\Windows\System32\drivers\etc /C

Klik w Skanuj (a nie Wykonaj skrypt) i przedstaw wyniki. Jak się dowiem co tam jest, otrzymasz końcowy skrypt poprawkowy.

 

 

 

.

Odnośnik do komentarza

1. Ja mówiłam o logu z AD-Remover a nie MBAM .... Dostarcz ten pierwszy.

 

2. No tak, podejrzewałam to:

 

Katalog: C:\WINDOWS\SYSTEM32\DRIVERS\ETC

2011-02-22 18:44 822 host.txt

2010-12-16 18:06 27 hosts.20101220-195437.backup

2010-12-20 20:54 426 940 hosts.20101227-202606.backup

2010-12-27 21:26 426 940 hosts.20110114-162458.backup

2011-04-07 12:29 822 hosts.txt

Źle tworzysz plik, nadajesz mu rozszerzenie TXT a nie ma mieć żadnego. Zapewne wina w tym, że masz źle ustawione opcje widoku i tylko Ci się wydaje, że nie nadajesz żadnego rozszerzenia.

 

  • Włącz pokazywanie rozszerzeń w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > usuń zaznaczenie z "Ukrywaj rozszerzenia znanych typów plików".
  • Wchodzisz w folder C:\Windows\System32\drivers\etc i usuwasz z niego wszystkie pliki, które zakreśliłam wyżej. Następnie tworzysz tam nowy plik hosts (bez żadnego rozszerzenia) jak podawałam wcześniej instrukcje.
  • Nowy log z OTL do oceny, zrobiony tradycyjnie opcją Skanuj.

 

Przy okazji: wypowiedz się wyraźnie jak aktualnie wygląda sprawa z systemem, co się dzieje, czy objawy ustąpiły.

 

 

 

.

Odnośnik do komentarza

AD_Remover wskazuje, że wszystko co miało być usunięte deinstalacją vShare oraz moim skryptem, zostało usunięte.

 

1. Coś nam nie idzie z tym plikiem hosts:

 

Hosts file not found

Skoro masz tak wielką trudność w prostym utworzeniu tego pliku, przesyłam gotowy plik: KLIK. Rozpakuj ZIP i plik wstaw tam gdzie mówiłam...

 

2. Miałeś zrekonfigurować ustawienie strony startowej Google Chrome, nadal widzę to:

 

Preferences - homepage: hxxp://home.sweetim.com/?crg=2.1002&barid={6141AD63-CB47-4648-97BF-F7553B59E0D4}

Preferences - urls_to_restore_on_startup: xxp://home.sweetim.com/?crg=2.1002&barid={6141AD63-CB47-4648-97BF-F7553B59E0D4}

3. Zresetowałam Ci już katalog Winsock uwalniając z łańcucha plik, teraz spokojnie możesz go skasować z dysku:

 

[2011-04-05 12:54:43 | 000,118,784 | ---- | C] (iolo technologies, LLC) -- C:\Windows\System32\iavlsp.dll

 

 

 

.

Odnośnik do komentarza

jak już we wcześniejszych postach napomknąłem jestem początkującym operatorem komputera i niekiedy zwroty określone przez ciebie są dla mnie nie do końca zrozumiałe

i niekiedy muszę improwizować czyli zgadywać bądź się domyślać .Nie chcę abyś mnie źle zrozumiała doceniam bardzo pomoc otrzymaną na forum,ale po prostu nie wszystko do mnie dociera w sposób jasny i przejrzysty np.

 

2. Otwórz Google Chrome i zrekonfiguruj stronę startową:

 

Preferences - homepage: hxxp://home.sweetim.com/?crg=2.1002&barid={6141AD63-CB47-4648-97BF-F7553B59E0D4}

 

czy w tym punkcie miałem wejść w narzędzia<opcje<.....i następnie oczyścić strony początkowe google,

 

czasami po prostu nie rozumiem określeń ,są one dla mnie nie całkiem zrozumiane tylko i wyłącznie z powodu mojego słabego obeznania z komputerem

WYBACZ mi za to,liczę na twoją wyrozumiałość.

 

 

POWRACAJĄC do głównego punktu naszych poczynań zastosowałem powyższe czynności, czy powinienem jeszcze raz uruchomić OTL i przedstawić wyniki skanowania.

Odnośnik do komentarza
czy w tym punkcie miałem wejść w narzędzia

 

To co cytuję w blokach kodu, jest tylko przedstawieniem jak wygląda to coś w logu, dla jasności że dane nie są wyciągane z kapelusza. Powiedziałam "Otwórz Google Chrome i zrekonfiguruj stronę startową" = czyli masz zmienić w ustawieniach Google Chrome stronę startową. Wg mnie hasło "strona startowa" jest raczej jasne.

Teraz ja nie rozumiem "oczyścić strony początkowe google" = Czy masz na myśli "oczyścić z Google" czy "ustawić na Google"? Bo jeśli to pierwsze, to się nie zgadza raport z AD-Remover, który twierdzi, że jako strona startowa jest ustawiona ta: home.sweetim.com.

 

 

POWRACAJĄC do głównego punktu naszych poczynań zastosowałem powyższe czynności, czy powinienem jeszcze raz uruchomić OTL i przedstawić wyniki skanowania.

 

Skoro o to nie proszę, to znaczy że nie masz tego wykonywać. Teraz końcowe kroki: funkcja Sprzątanie w OTL + po tym czyszczenie folderów Przywracania systemu (INSTRUKCJE).

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...