Spowolniony system i niemożność instalacji AV

[kaczor1989r]

Witam

Mam taki problem ze ostatnio strasznie muli mi kompa.

Kiedy chcialem go przeskanowac NODem32 okazalo sie ze wogole mi nie dziala.

Probowalem instalowac innego antywirusa( Avasta i Avire) i podczas instalacji wyskakiwal mi blad i automatycznie restartowal mi sie komputer.

Probowalem rowniez uruchomic go w trybie awaryjnym ale to takze okazalo sie niemozliwe.

Po przejrzeniu kilku forow objawy wskazuja na rottkit bagle ale nigdy nie mialem z tym do czynienia i kompletnie sie na tym nie znam wiec prosze o pomoc

Jesli ma to jakies znaczenie to mam windows 7 64 bity

[picasso]

Jesli ma to jakies znaczenie to mam windows 7 64 bity

 

Ma to znaczenie, platforma niejako wyklucza sugerowany tu rodzaj infekcji. Bagle jest infekcją 32-bit i jeszcze nie słyszałam, by zainstalował się na systemie 64-bit w wersji natywnie 64-bitowej i to z podpisanym sterownikiem. Na platformie 64-bit są możliwe inne rootkity obchodzące zabezpieczenia x64. Zaś opisywane objawy równie dobrze pasują do kilku innych infekcji lub problemu spoza infekcji. Zgadywanie odpada. Jest wymagane obejrzenie systemu. Proszę dostarczyć wymagane zasadami działu raporty, dla systemu 64-bit aplikuje się OTL.

[kaczor1989r]

A oto i one

OTL.Txt

Extras.Txt

[picasso]

Bagle nie. Ale infekcja tu jest i to dość rozbudowana....

 

 

1. Wstępna próba usunięcia infekcji (i rozmaitych odpadków). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2011/07/25 16:29:31 | 000,256,000 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\wrc@avast.com: C:\Program Files\AVAST Software\Avast\WebRep\FF
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
IE - HKU\S-1-5-21-4292775695-2403161838-718631559-1001\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} -  File not found
O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  File not found
O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  File not found
O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [egui]  File not found
O4 - HKLM..\Run: [1500021.exe] C:\Windows\Temp\1500021.exe ()
O4 - HKLM..\Run: [1860829.exe]  File not found
O4 - HKLM..\Run: [38741017-loader2.exe] C:\Windows\Temp\38741017-loader2.exe ()
O4 - HKLM..\Run: [5698650.exe]  File not found
O4 - HKLM..\Run: [8372125.exe] C:\Windows\Temp\8372125.exe ()
O4 - HKLM..\Run: [9945.exe] C:\Windows\Temp\9945.exe ()
O4 - HKLM..\Run: [avast]  File not found
O4 - HKLM..\Run: [avgnt]  File not found
O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-8-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico2] C:\Windows\update.tray-2-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico3] C:\Windows\update.tray-13-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKLM..\Run: [w_distrib.exe] C:\Windows\update.3\svchost.exe ()
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()
O4 - HKU\S-1-5-21-4292775695-2403161838-718631559-1001..\Run: [MSConfig] C:\Users\Kaczor\navx.exe ()
O4 - HKU\S-1-5-21-4292775695-2403161838-718631559-1001..\Run: [Oqjajo] C:\Users\Kaczor\AppData\Roaming\Oqjajo.exe ()
O4 - HKU\S-1-5-21-4292775695-2403161838-718631559-1001..\Run: [RGSC]  File not found
O4 - HKU\S-1-5-21-4292775695-2403161838-718631559-1001..\Run: [Tok-Cirrhatus]  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) -  File not found
O31 - SafeBoot: AlternateShell - services32.exe
 
:Files
@C:\Windows\Temp:temp
C:\Windows\update.*
C:\Windows\*.rar
C:\Windows\av_ico
C:\Windows\ufa
C:\Windows\rpcminer
C:\Windows\phoenix
C:\Windows\geoiplist
C:\Windows\unrar.exe
C:\Windows\info1
C:\Windows\loader2.exe_ok
C:\Windows\SysNative\drivers\etc\hîsts
C:\Windows\SysWow64\secupdat.dat
C:\Users\Kaczor\secupdat.dat
C:\Users\Kaczor\AppData\Local\Update.17.Bron.Tok.bin
C:\Users\Kaczor\AppData\Local\Bron.tok.A17.em.bin
C:\Users\Kaczor\AppData\Local\JunkAtx.bin
C:\Users\Kaczor\AppData\Roaming\Ufasoft
C:\Users\Kaczor\AppData\Roaming\*.exe
C:\Users\Kaczor\AppData\Roaming\mozilla\Firefox\Profiles\zplpzi5u.default\extensions\toolbar@ask.com
C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany. Po restarcie powinien automatycznie się zgłosić log z wynikami usuwania. Jeśli nie, szukaj go w folderze C:\_OTL, bo będziesz go prezentował.

 

2. Następnie usuń wszystkie poszkodowane antywirusy posługując się awaryjnymi firmowymi deinstalatorami: Avast Uninstall Utility + ESET Uninstaller + Avira Registry Cleaner. Narzędzia uruchom z poziomu Trybu awaryjnego Windows.

 

3. Wygeneruj nowe logi do oceny: OTL z opcji Skanuj + Kaspersky TDSSKiller (nie podejmuj żadnych akcji jeśli coś zostanie wykryte = ustaw Skip, a pokaże Ci się przynajmniej SPTD od napędów wirtualnych) + AD-Remover z trybu skanowania. Dołącz także log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

.

[kaczor1989r]

Ok. zrobilem wszystko wedlug zalecen a oto rezultaty

OTL.Txt

TDSSKiller.2.5.11.0_26.07.2011_13.44.03_log.txt

Ad-Report-SCAN1.txt

07262011_124755.txt

[picasso]

Używaj opcji "Edytuj", jeśli nikt pod Tobą nie odpisał. Posty łączę.

 

Skrypt przetworzył się, będą tylko 2 poprawki po jego działaniu (dwie rzeczy wykonał nieprawidłowo). Mniemam, że awaryjne deinstalatory użyte, ale pliki AV nie do końca zeszły z dysku. To wszystko będę zaraz poprawiać.

 

1. Uruchom AD-Remover w trybie usuwania, co ma na celu głównie likwidację Ask Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej poprawkę adresującą odpadki po AV oraz inne drobnostki:

 

:OTL
O3 - HKU\S-1-5-21-4292775695-2403161838-718631559-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKU\S-1-5-21-4292775695-2403161838-718631559-1001..\Run: [Oqjajo]  File not found
O34 - HKLM BootExecute: (aswBoot.exe /A:"*" /L:"1045" /KBD:2 /wow /dir:"C:\Program Files\AVAST Software\Avast") - C:\Windows\SysWow64\aswBoot.exe (AVAST Software)
[2011/07/26 11:50:03 | 000,001,937 | ---- | M] () -- C:\Users\Public\Desktop\avast! Free Antivirus.lnk
[2011/07/25 20:20:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\avast! Free Antivirus
[2011/07/25 20:20:10 | 000,288,088 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswSP.sys
[2011/07/25 20:20:10 | 000,022,360 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswFsBlk.sys
[2011/07/25 20:20:05 | 000,031,064 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswRdr.sys
[2011/07/25 20:20:02 | 000,045,400 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswTdi.sys
[2011/07/25 20:20:00 | 000,600,920 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswSnx.sys
[2011/07/25 20:19:58 | 000,064,856 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswMonFlt.sys
[2011/07/25 20:19:40 | 000,199,304 | ---- | C] (AVAST Software) -- C:\Windows\SysWow64\aswBoot.exe
[2011/07/25 20:19:40 | 000,040,112 | ---- | C] (AVAST Software) -- C:\Windows\avastSS.scr
[2011/07/25 13:52:36 | 000,051,992 | ---- | C] (AVIRA GmbH) -- C:\Windows\SysWow64\drivers\avgntdd.sys
[2011/07/25 13:52:36 | 000,017,016 | ---- | C] (AVIRA GmbH) -- C:\Windows\SysWow64\drivers\avgntmgr.sys
[2011/07/25 06:46:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2011/07/25 06:46:13 | 000,116,568 | ---- | C] (Avira GmbH) -- C:\Windows\SysNative\drivers\avipbb.sys
[2011/07/25 06:46:13 | 000,083,120 | ---- | C] (Avira GmbH) -- C:\Windows\SysNative\drivers\avgntflt.sys
DRV:64bit: - [2009/10/27 12:07:42 | 000,048,136 | ---- | M] (Panda Security, S.L.) [File_System | System | Running] -- C:\Windows\SysNative\drivers\ShldFlt.sys -- (ShldFlt)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"wrc@avast.com"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]

3. Plik HOSTS został zresetowany nie do końca poprawnie. Otwórz w Notatniku plik C:\Windows\system32\drivers\etc\Hosts i dodaj przy obu liniach na początku znaczki komentarzy #:

 

#	127.0.0.1       localhost

#	::1             localhost

4. Do oceny wystarczy mi tylko: log z usuwania OTL z punktu 2 + nowy AD-Remover trybu skanu.

 

 

 

 

 

.

[kaczor1989r]

Prosze bardzo

07262011_150740.txt

Ad-Report-SCAN2.txt

[picasso]

Zadania wykonane. Na podstawie raportów złożonych do kupy sytuacja wygląda obiecująco. Ale to jeszcze nie koniec prac. Na teraz kolejne:

 

1. Porządki po używanych narzędziach:

 

• Odinstaluj AD-Remover. Upewnij się, że zniknął folder C:\Program Files (x86)\Ad-Remover.
  
• W OTL uruchom Sprzątanie, co skasuje kwarantannę OTL z dysku oraz narzędzia OTL i TDSSKkiller jako takie. Funkcja wymaga restartu.
  

2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Pokaż co zostanie wykryte. Chodzi tylko i wyłącznie o wyniki typu zagrożenie / infekcja. Nie interesują mnie wyniki "OK" / "Packed" / "Archive" / "Password Protected".

 

 

 

.

[kaczor1989r]

cos wykryl ale jeszcze sie skanuje

co mam zrobic z wykrytymi plikami??

[picasso]

cos wykryl ale jeszcze sie skanuje

co mam zrobic z wykrytymi plikami??

 

Poczekam na raport końcowy, by móc ocenić stopień zagrożenia. Co robić z wykrytymi? Skorzystać z domyślnych proponowanych przez narzędzie akcji.

[kaczor1989r]

oto wynik skanu

kas.txt

[picasso]

1. To co wykrył Kaspersky usuń za jego pomocą. Narzędzie zaś możesz odinstalować z systemu (ma charakter jednorazowy).

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Obowiązkowe aktualizacje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 24
"{9C538746-C2DC-40FC-B1FB-D4EA7966ABEB}" = Skype™ 5.1
"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu 10" = Gadu-Gadu 10

- System należy uzupełnić o SP1+IE9, a pozostałe wymienione zaktualizować: INSTRUKCJE.

- (Opcjonalnie) wymiana potwora GG10 czymś znacznie lżejszym. W temacie Darmowe komunikatory spójrz na opisy AQQ, Kadu, WTW i Miranda.

 

4. Po wszystkim możesz dobrać pełnowartościowe oprogramowanie antywirusowe. Próbowałeś tu z Avast = czemu nie.

 

Na koniec wyspowiadaj się, że wszystko wykonałeś i podsumuj jak pracuje Windows.

 

 

 

 

.

[kaczor1989r]

Wykonalem wszystko tak jak polecilas i wszystko chodzi elegancko.

Tak wiec bardzo dziekuje za pomoc