holcus Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Proszę o rzucenie okiem na logi i pomoc w usunięciu wirusów Laptop z Windows 7 Proffesional 32-bit, od tygodnia uruchamia się wolniej, od czasu do czasu przytnie i średnio raz dziennie pojawiają się błędy STOP. Skanowałem dysk offline: BitDefenderem, online: DRWebCureIt, Malwarebytes Anti-Malware, TDSSKiller bez rezultatów skorzystałem też z combofixa, w trybie normalnym jednak kończy się BSODem report.txt w awaryjnym działa normalnie; wyświetla komunikat o zainfekowanych plikach i log: D:\Windows\system32\ntos.exe D:\Windows\system32\oembios.exe D:\Windows\system32\twext.exe D:\Windows\system32\twex.exe D:\Windows\system32\sdra64.exe D:\Windows\system32\intel64.exe D:\Windows\system32\wsnpoema.exe D:\Windows\system32\swin32.exe D:\Windows\system32\localsys64.exe D:\Windows\system32\64dlls.exe D:\Windows\system32\sdra73.exe D:\Windows\system32\lsjdfh.exe ComboFix3.txt logi OTL (odznaczyłem pomiń znane dobre pliki, nic nie było na ten temat w instrukcji) OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Zabrakło obowiązkowego loga z GMER. Póki co, żaden raport nie poświadcza infekcji. Natomiast widzę coś jakby szczątki Avast i SUPER-Antispyware: O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not foundO3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found DRV - [2011-07-22 17:27:04 | 000,012,880 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Users\usero\AppData\Local\Temp\HBCD\SuperAntiSpyware\SASDIFSV.SYS -- (SASDIFSV)O20 - Winlogon\Notify\!SASWinLogon: DllName - (C:\Users\usero\AppData\Local\Temp\HBCD\SuperAntiSpyware\SASWINLO.DLL) - C:\Users\usero\AppData\Local\Temp\HBCD\SuperAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Users\usero\AppData\Local\Temp\HBCD\SuperAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) - Z poziomu Trybu awaryjnego zastosuj jeszcze poprawkowe Avast Uninstall Utility. - Za pomocą Autoruns usuń fragmenty SUPERAntispyware: w kartach Drivers SASDIFSV + SASKUTIL, w kartach Winlogon + Explorer SUPERAntiSpyware.com. Dodatkowo w karcie Internet Explorer wytnij pozostałości po WebRep Avasta. Laptop z Windows 7 Proffesional 32-bit, od tygodnia uruchamia się wolniej, od czasu do czasu przytnie i średnio raz dziennie pojawiają się błędy STOP.Skanowałem dysk Błędy STOP, przeprowadź diagnostykę wg punktu 5: KLIK (kody błędów + debug zrzutów pamięci). skorzystałem też z combofixa, w trybie normalnym jednak kończy się BSODem Na temat bezmyślnego używania programu ComboFix: KLIK w awaryjnym działa normalnie; wyświetla komunikat o zainfekowanych plikach i log: D:\Windows\system32\ntos.exe D:\Windows\system32\oembios.exe D:\Windows\system32\twext.exe D:\Windows\system32\twex.exe D:\Windows\system32\sdra64.exe D:\Windows\system32\intel64.exe D:\Windows\system32\wsnpoema.exe D:\Windows\system32\swin32.exe D:\Windows\system32\localsys64.exe D:\Windows\system32\64dlls.exe D:\Windows\system32\sdra73.exe D:\Windows\system32\lsjdfh.exe Co to wyświetla? Nie ma tu w logach ani śladu czegos takiego. Druga sprawa: odmienność litery dysku, widoczne D a system jest na C = skąd ta rozbieżność? I w logu z OTL wszystko jest na C, z wyjątkiem jednego wpisu kierującego właśnie na D: O18 - Protocol\Handler\gopher {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - D:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_8.0.7601.21795_none_d1d8e899c56b92ab\urlmon.dll File not found . Odnośnik do komentarza
holcus Opublikowano 2 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 2 Listopada 2011 Dziękuje za błyskawiczną odpowiedź. Niestety przez kilka ostatnich dni forum nie było czynne więc pokusiłem się o trochę samodzielności (ze skutkiem takim że noc zarwałem ) Znalazłem właściwy log ComboFix’a sprzed kilku dni: combofixPrzed.txt Oczywiście log był identyczny za każdym uruchomieniem programu Żaden skaner offline nie widział zagrożeń z powyższego logu. Więc postanowiłem usunąć pliki przeznaczone do usunięcia przez ComboFix’a ręcznie, licząc na to że uda mi się skopiować je potem z płyty Windows 7 Proffesional. Wystarczyło narzędzie do naprawy uruchamiania systemu z płyty. Po tej operacji skan Combofix’em przebiega bez ponownego uruchamiania systemu a w logu nie znalazłem podejrzanych wpisów z poprzedniego. Kwestia rozbieżności liter dysków wiązała się z błędami przy poszerzaniu partycji C: jeszcze przed wykryciem infekcji oraz moimi próbami ich naprawienia przy pomocy regsvr32. Chyba udało mi się wyeliminować ten problem. Jeśli to możliwe, proszę o sprawdzenie logów na obecność infekcji / pozostałości: GMER.txt Extras.Txt OTL.Txt combofix.txt Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2011 Zgłoś Udostępnij Opublikowano 5 Listopada 2011 Niestety przez kilka ostatnich dni forum nie było czynne Niestety wystąpiła krytyczna awaria podczas aktualizacji (KLIK). Znalazłem właściwy log ComboFix’a sprzed kilku dni No tak, w tym widać o co chodziło. W prośbie początkowej otrzymałam od Ciebie log ostateczny, mocno fałszujący sprawę, i nie tylko ze względu na to co widać w sekcji usuniętych, ale i dlatego że nie ma na spodzie loga śladów, by ComboFix był uruchamiany więcej niż raz (a powinna figurować lista logów). Ale nadal mi się tu wiele rzeczy nie zgadza. Te dwa logi są zbyt różne jak na to co mówisz ("pokusiłem się o trochę samodzielności"). W logach nie widzę żadnych śladów infekcji. Dokończmy sprawę. 1. Wymagana zmiana haseł w serwisach logowania (w usuniętych backdoory o predyspozycjach do ciągnięcia haseł). 2. Prawidłowa deinstalacja ComboFix, czyszcząca także foldery Przywracania systemu. Wywołaj z klawiatury kombinację klawisz z flagą Windows + R i w Uruchom wklej: C:\Users\usero\Downloads\ComboFix.exe /uninstall 3. Drobny szczegół, w Firefox w zarządzaniu wyszukiwarkami usuń "iMesh Web Search" + w pasku adresów wklep about:config, wyszukaj keyword.URL i z prawokliku zresetuj do poziomu domyślnego. 4. Zainstaluj oprogramowanie zabezpieczające. System nie posiada żadnego antywirusa. I do wglądu dział Oprogramowanie zabezpieczające: KLIK. . Odnośnik do komentarza
holcus Opublikowano 5 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2011 Dziękuje i przepraszam za to całe zamieszanie z logami combofixa, jednakże pierwszy log combofixa jest na pewno z okresu kiedy infekcja hulała (możliwe że z trybu awaryjnego). Wiem, że to nie ten dział ale tak apropo punktu 4, jaka jest Twoja opinia na temat MS Security Essentials? Nie mogłem znaleźć na forum żadnego aktualnego tematu. Pozdrawiam i jeszcze raz dzięki Odnośnik do komentarza
picasso Opublikowano 8 Listopada 2011 Zgłoś Udostępnij Opublikowano 8 Listopada 2011 (edytowane) Wiem, że to nie ten dział ale tak apropo punktu 4, jaka jest Twoja opinia na temat MS Security Essentials? Nie mogłem znaleźć na forum żadnego aktualnego tematu. Uważam, że antywirus jest sprawny i prezentuje przyzwoity poziom, dobrze zgrany z Windows 7, ale ma bardzo skromną konfigurację i to może być dla jednej grupy docelowej niezadawalające, dla innej wręcz przeciwnie. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Upłynął miesiąc, brak dodatkowych komentarzy, zamykam.. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi