Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zainfekowany komputer

Bionic

Przez Bionic
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Bionic dane są kiepskie:

 

1. Nie opisałeś jak infekcja się objawia. Tekst "mam zainfekowany komputer" pasuje do 99% tematów tu zlokalizowanych .... Proszę o szczegóły.

2. Nie podałeś wyników skanu z MBAM, by było wiadome co usuwał.

3. Log z GMER to za mało, a Ty nie doczytałeś. Jeśli nie da się uruchomić OTL (i w ogóle nawet nie podałeś na czym to polega / jaki błąd), podaje się logi z alternatywnych programów. Proszę o log z OTS.

4. Log z GMER robiony w złych warunkach. Działa emulacja napędów wirtualnych. Proszę wykonać kroki z ogłoszenia KLIK, zresetować komputer i zrobić nowy GMER.

 

Forma prezentacji logów: Załączniki forum.

 

 

.

Odnośnik do komentarza
Bionic

Bionic

Opublikowano
  • Autor
Opublikowano

Wszystkie pliki są w załącznikach. Czym mi się to objawia.. Wszystko chodzi wolniej, często się tnie i zawiesza, dwa razy się nawet sam wyłączył. Wywaliłem Kaspersky'ego, któremu z 2 tygodnie temu skończyła się licencja i wydaje mi się, że jest lepiej. Mam nadzieję, że wszystko dobrze zeskanowałem. W czasie skanowania niczego nie robiłem, wcześniej usunąłem Daemon Tools Lite i Total Iso czy coś takiego, w każdym razie, nie działał żaden program od wirtualnych napędów.

Extras.Txt

OTL.Txt

malware.txt

gmer.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Infekcji w stanie czynnym tu nie ma. To co znalazł MBAM to adware RevelantKnowledge, nic szczególnego. Po nim zostały jeszcze wpisy w autoryzacjach zapory i folder na dysku, ale to mało istotne i na samym końcu w finałowych porządkach usunę. Temat kwalifikuje się na przeniesienie do innego działu (Vista).

 

 

Czym mi się to objawia.. Wszystko chodzi wolniej, często się tnie i zawiesza, dwa razy się nawet sam wyłączył.

 

Ogólny wygląd systemu jest kiepskawy, pełno śmieci, nieoptymalnie dobrany zestaw zabezpieczeń, no dziwić się nie ma co, że działa nie za bardzo.

 

 

Wywaliłem Kaspersky'ego, któremu z 2 tygodnie temu skończyła się licencja i wydaje mi się, że jest lepiej.

 

To pozory. Kaspersky tu działa w najlepsze, czyli deinstalacja na pół gwizdka, tak jakby jej w ogóle nie było:

 

PRC - [2009-12-15 13:22:40 | 000,208,616 | ---- | M] (Kaspersky Lab) -- C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
MOD - [2008-11-11 21:00:02 | 000,011,016 | ---- | M] (Kaspersky Lab) -- C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\kloehk.dll
MOD - [2008-11-11 20:59:38 | 000,083,208 | ---- | M] (Kaspersky Lab) -- C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\adialhk.dll
 
SRV - [2009-12-15 13:22:40 | 000,208,616 | ---- | M] (Kaspersky Lab) [Auto | Running] -- C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe -- (AVP)
DRV - [2009-12-15 13:22:40 | 000,239,120 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\Windows\System32\drivers\klif.sys -- (KLIF)
DRV - [2009-12-15 13:22:40 | 000,033,808 | ---- | M] (Kaspersky Lab) [File_System | Boot | Running] -- C:\Windows\system32\drivers\klbg.sys -- (klbg)
DRV - [2008-07-21 18:34:36 | 000,121,872 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\Windows\System32\drivers\kl1.sys -- (kl1)
DRV - [2008-07-09 18:28:26 | 000,020,496 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\Windows\System32\drivers\klim6.sys -- (KLIM6)
DRV - [2008-03-13 19:02:46 | 000,026,640 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\klfltdev.sys -- (KLFLTDEV)
 
O4 - HKLM..\Run: [AVP] C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe (Kaspersky Lab)
O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll (Kaspersky Lab)
O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm ()
O9 - Extra Button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll (Kaspersky Lab)
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll) - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\mzvkbd3.dll (Kaspersky Lab)
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll) - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\adialhk.dll (Kaspersky Lab)
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll) - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\kloehk.dll (Kaspersky Lab)
O20 - Winlogon\Notify\klogon: DllName - C:\Windows\system32\klogon.dll - C:\Windows\System32\klogon.dll (Kaspersky Lab)

W połączeniu z Avastem = katastrofa.

 

 

1. Usuń Kasperskiego za pomocą Kaspersky Remover.

 

2. Do deinstalacji archaiczny Spybot Search & Destroy. Program przestarzały, nieaktualizowy od ponad 2 lat (nie mylić z - zresztą niezbyt częstymi - aktualizacjami baz), za słaby na dzisiejsze zagrożenia i zbędny, gdyż to antywirusy teraz zajmują się zagadnieniem spyware. Twój Avast odwala tę robotę. A poza tym, Ty już masz "Spybota" w systemie, natywnie zintegrowany z systemem Windows Defender, równoległe uruchomiony:

 

PRC - [2008-01-19 09:38:38 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Defender\MSASCui.exe
PRC - [2008-01-19 09:38:32 | 000,319,544 | ---- | M] (Microsoft Corporation) -- c:\Program Files\Windows Defender\MpCmdRun.exe

3. A właśnie, skoro jest tu Avast, wyłącz całkowicie Windows Defender, bo to za dużo. W programie Autoruns odptaszkuj:

 

----> Karta Services:

 

SRV - [2008-01-19 09:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

----> Karta Logon:

 

O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)

Dodatkowo, w Autoruns w karcie Logon możesz odptaszkować te zbędniki, a wpisy "not found" cakowicie skasować:

 

O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [Google Updater] C:\Program Files\Google\Google Updater\GoogleUpdater.exe (Google)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Windows\System32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKU\S-1-5-21-1097181650-610865623-1566565457-1000..\Run: [Gadu-Gadu 10] C:\Program Files\Gadu-Gadu 10\gg.exe (GG Network S.A.)
O4 - HKU\S-1-5-21-1097181650-610865623-1566565457-1000..\Run: [MsnMsgr]  File not found
O4 - HKU\S-1-5-21-1097181650-610865623-1566565457-1000..\Run: [RDReminder]  File not found

4. Skutkiem bocznym instalacji Spybota jest niepożądana modyfikacja pliku HOSTS, który przetwarza kilkanaście tysięcy wpisów:

 

O1 HOSTS File: ([2010-01-29 12:08:08 | 000,377,782 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 13023 more lines...

To może stworzyć kolizję z usługą Klient DNS i wpłynąć na spowolnienie. Zresetuj plik HOSTS za pomocą narzędzia Fix-it z artykułu KB972034.

 

5. Do deinstalacji śmieci sponsoringowe obciążające przeglądarki: DAEMON Tools Toolbar, Softonic-Polska Toolbar, Winamp Toolbar. Deinstalację prowadź w dwóch miejscach na raz: w aplecie deinstalacji programów oraz w menedżerze rozszerzeń Firefox. W Firefox jest jeszcze dodatkowy FreeOnlineRadioPlayerRecorder Toolbar.

 

6. Po wykonaniu wszystkich zaleceń wykonaj nowy log z OTL do oceny.

 

 

 

 

.

Edytowane przez picasso
29.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...