Skocz do zawartości

Lagi komputera - po włączeniu Google Chrome restart


Rekomendowane odpowiedzi

Witam jak już sprawdzam cały sprzęt w domu przyszła pora na komputer brata 8 letni komputer który od dłuższego czasu ledwie chodzi po wymianie zasilacza dostał " lagów " dlatego najpierw chciałbym sprawdzić czy to wina systemu że tak go tnie " wirusy itp " czy hardware .

 

Ok więc podczas skanowania Gmer już podczas włączania go wyskoczył komunikat

Explorer.exe zagrożenie rokitem najgorsze jest to że nie mogłem pobrać gmer otl itp dlatego zrobiłem to przez Pendrive z mojego komputera i teraz na pendrive jest Autorun otwieram i standardowo

włącza aplikacje Explorer.exe która również ukryta jest i siedzi an pendrive , Co mam zrobić w takim wypadku pendrive jest tam nadal podłączony aktualnie skanuje Gmer pracuje w trybie awaryjnym nie mam dostępu do sieci tak więc jak logi przenieś i jak mam postępować ? Mam bardzo ograniczone pole manewru na tym komputerze co nie zrobie restart nawet na trybie awaryjnym.

 

Pozdrawiam :)

 

PS

Najgorsze jest to że gdy był ten autorun ja podłączyłem na sekundę pendrive pod mój komputer w celu zrzucenia gmera. ; /

Na pendrive pojawiły się pliki

A < jakiś taki plik z taka nazwą

Data. Administrator i jakieś cyfry litery.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie otwieraj pendrive przez dwuklik, bo to wykonuje infekcję. Zawartość pendrive musi być otworzona okrężnie:

 

1. Na systemie zainfekowanym przez linię komend cmd uruchom narzędzia logów wpisując komendę X:\OTL.exe (gdzie X to litera dysku pod jaką jest zmapowany pendrive).

 

2. Na systemie, do którego ten pendrive podepniesz, w pierwszej kolejności przed podpięciem urządzenia zablokuj wykonywanie plików autorun.inf. Czyli za pomocą Panda USB Vaccine wykonaj Computer Vaccination i zresetuj system. Następnie podpinasz pendrive, nie wchodzisz na niego przez Mój komputer tylko od razu zaprawiasz go Pandą, opcją USB Vaccination (to powinno przemianować aktualny autorun.inf infekcji, za to w jego miejsce pojawi się autorun.inf Pandy). I dopiero po tym spróbuj wejść na urządzenie.

 

 

 

.

Odnośnik do komentarza

piszę z zainfekowanego komputera . gmer skanuje będzie troche później na razie ots i TDS. Aktualnie na pendrive są 2 autorun SCo... coś takiego i Exploere ponadto co jakis czas pojawia sie czy uruchomic exploresrsi .

http://wklej.to/VHFMj otl

http://wklej.to/Ay6eq extra

http://wklej.to/uDd8S TDS

http://wklej.to/YaVAk < Gmer nie do konca zeskanowany ponieważ musiałem wyłączyćkomputer jeżeli będzie potrzeba dokończę jutro .

Odnośnik do komentarza

Złe decyzje podjęte w TDSSKiller, to nie są infekcje:

 

20:01:47.0530 1808	Actual detected object count: 6

20:02:36.0460 1808 C:\WINDOWS\system32\DRIVERS\d347bus.sys - copied to quarantine

20:02:36.0460 1808 d347bus ( UnsignedFile.Multi.Generic ) - User select action: Quarantine

20:02:37.0081 1808 C:\WINDOWS\system32\Drivers\d347prt.sys - copied to quarantine

20:02:37.0081 1808 d347prt ( UnsignedFile.Multi.Generic ) - User select action: Quarantine

20:02:37.0652 1808 C:\WINDOWS\system32\giveio.sys - copied to quarantine

20:02:37.0652 1808 giveio ( UnsignedFile.Multi.Generic ) - User select action: Quarantine

20:02:38.0583 1808 C:\WINDOWS\system32\DRIVERS\mdc8021x.sys - copied to quarantine

20:02:38.0583 1808 MDC8021X ( UnsignedFile.Multi.Generic ) - User select action: Quarantine

20:02:39.0154 1808 C:\WINDOWS\system32\DRIVERS\RT2400.sys - copied to quarantine

20:02:39.0154 1808 RT2400 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine

20:02:39.0725 1808 C:\WINDOWS\system32\speedfan.sys - copied to quarantine

20:02:39.0725 1808 speedfan ( UnsignedFile.Multi.Generic ) - User select action: Quarantine

 

Natomiast, system jest zainfekowany robakiem Brontok, stąd też i następują te samozamknięcia (to jest element zachowania Brontok).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2012-03-07 10:30:51 | 000,000,102 | -H-- | M] () [Auto | Stopped] -- C:\Documents and Settings\aaa\Dane aplikacji\MouseDriver.bat -- (MouseDriver)
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found 
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\bronstab.exe ()
O4 - HKLM..\Run: [gbbchvva] C:\WINDOWS\System32\gbbchvva.exe (WestByte)
O4 - HKLM..\Run: [i6g8xs] C:\Documents and Settings\aaa\Dane aplikacji\i6g8xs.exe ( )
O4 - HKU\.DEFAULT..\Run: [gbbchvva] C:\Documents and Settings\aaa\gbbchvva.exe (WestByte)
O4 - HKU\.DEFAULT..\Run: [tcpudp] C:\WINDOWS\BN11.tmp ()
O4 - HKU\S-1-5-18..\Run: [gbbchvva] C:\Documents and Settings\aaa\gbbchvva.exe (WestByte)
O4 - HKU\S-1-5-18..\Run: [tcpudp] C:\WINDOWS\BN11.tmp ()
O4 - HKU\S-1-5-21-220523388-152049171-854245398-500..\Run: [Tok-Cirrhatus] C:\Documents and Settings\Administrator.AAA-6D6BFBCA18F\Ustawienia lokalne\Dane aplikacji\smss.exe ()
O4 - Startup: C:\Documents and Settings\aaa\Menu Start\Programy\Autostart\Empty.pif ()
O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif ()
O4 - Startup: C:\Documents and Settings\Administrator.AAA-6D6BFBCA18F\Menu Start\Programy\Autostart\Empty.pif ()
O7 - HKU\S-1-5-21-220523388-152049171-854245398-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-220523388-152049171-854245398-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - C:\WINDOWS\eksplorasi.exe ()
 
:Files
C:\*.exe
C:\Documents and Settings\Administrator.AAA-6D6BFBCA18F\Ustawienia lokalne\Dane aplikacji\*.exe
C:\Documents and Settings\Administrator.AAA-6D6BFBCA18F\Ustawienia lokalne\Dane aplikacji\*Bron*
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron*
C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\*.exe
C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\*Bron*
C:\WINDOWS\System32\Administrator's Setting.scr
C:\WINDOWS\System32\Administrator.AAA-6D6BFBCA18F's Setting.scr
C:\WINDOWS\System32\aaa's Setting.scr
C:\Documents and Settings\All Users\Dane aplikacji\17272
C:\Documents and Settings\All Users\Dane aplikacji\bltofzsb.qlf
C:\Documents and Settings\aaa\Dane aplikacji\PriceGong
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\aaa\Dane aplikacji\i6g8xs.exe"=-
 
:Commands
[resethosts]
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostamie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj Free Lunch Design TB Toolbar (pasek sponsoringowy) oraz zbędny Logitech Desktop Messenger (newsy producenta).

 

3. Wygeneruj do oceny nowy log z OTL opcją Skanuj oraz AdwCleaner z opcji Search. Dołącz log z wynikami usuwania z punktu 1.

 

 

 

 

.

Odnośnik do komentarza
Co w takim przypadku mam zrobić ?

 

To był tylko komentarz poboczny, nie sądzę by było tu coś wymagane, bo sterowniki widziałam w OTL na chodzie.

 

 

po włączeniu skryptu nagły restart , czyżby robak sam się bronił ? Co w takim przypadku ?

@edit

Również w trybie awaryjnym to samo.

 

Spróbuj zastartować do Trybu awaryjnego z obsługą wiersza polecenia, czyli bez powłoki (do powłoki jest dopisany Brontok). W linii komend kolejno wpisać: "pełna ścieżka dostępu do OTL.exe", następnie do notepad.exe, w celu uruchomienia Notatnika a w nim otworzenia pliku ze skryptem w celu przeklejenia do okna OTL.

 

 

 

.

Odnośnik do komentarza

http://wklej.to/j09rb < Extras.

http://wklej.to/sCx5C < OTL

http://wklej.to/eFEWD < ADWCleaner

 

Mam pytanie czy twoja obserwacja w logach wykrywa również te wirusy które wykryje antywirus czy trzeba osobno przeskanowac ? Pytam ponieważ po usunięciu wirusów Chrome dalej nie działa ale już się nie restartuje wyskakuje błąd Aplikacja nie została właściwie zainicjowana (0xc000005)

Na dodatek dalej są " lagi " czyli opóźnienie np jak pisze itp wolne włączanie ale jeżeli tp nie będzie wina wirusów zobaczymy do działu hardware .

Pozdrawiam :)

Odnośnik do komentarza

Witam nowe logi udało mi sięuruchomic Combo Fix ponieważ przeskanowałem komputer Dr.web cureit i wygrył wirusa Virut i go wyleczył podam log niżej ale dzięki temu mogłem użyć Combo fix

Swieże logi po skanowaniu

http://wklej.to/61m7I < DR.Web

http://wklej.to/t190n < ComboFix

http://wklej.to/9AUG6 <Gmer

http://wklej.to/SNefq <Extras

http://wklej.to/bG2oB < OTL

 

http://wklej.to/yVvjw <ADW Cleaner

http://wklej.to/zj97O <ASW MBR

 

 

Pozdrawiam.

Odnośnik do komentarza

Rzeczywiście jest tutaj Virut i to nie jest dobra wiadomość gdyż to jest infekcja w plikach wykonywalnych i trudna do leczenia. Dr. Web sporo zrobił ale to może być nie wszystko, w dodatku Gmer pokazuje że infekcja jest aktywna.

 

Przejdź w tryb awaryjny i wykonaj skan wszystkich partycji za pomocą specjalnego narzędzia pod tą infekcję VirutKiller. Skanowanie wykonuj dotąd dopóki nic już nie będzie wykrywane.

 

Po tym wszystkim zaprezentuj nowe logi z OTL oraz Gmer

Odnośnik do komentarza

Ile razy tym VirutKillerem prowadziłeś skan? Niestety, ale infekcja Virut nie jest wypleniona do końca. Świadczy o tym patch tych plików Windows widzialny w GMER:

 

---- User code sections - GMER 1.0.15 ----

 

.rsrc C:\WINDOWS\system32\svchost.exe[184] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.rsrc C:\WINDOWS\system32\svchost.exe[252] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.rsrc C:\WINDOWS\System32\svchost.exe[416] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.rsrc C:\WINDOWS\system32\svchost.exe[920] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.rsrc C:\WINDOWS\System32\svchost.exe[940] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.rsrc C:\WINDOWS\system32\svchost.exe[1000] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.rsrc C:\WINDOWS\system32\svchost.exe[1052] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.rsrc C:\WINDOWS\System32\svchost.exe[1144] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.rsrc C:\WINDOWS\system32\svchost.exe[1180] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.rsrc C:\WINDOWS\system32\svchost.exe[1340] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

.reloc C:\WINDOWS\explorer.exe[1392] C:\WINDOWS\explorer.exe section is executable [0x010FB000, 0xA800, 0xE0000060]

.rsrc C:\WINDOWS\system32\svchost.exe[1424] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060]

 

Pobierz nową kopię ComboFix i spróbuj ją uruchomić. Przedstaw raport, o ile narzędzie zdoła dojść do tego etapu ...

 

Ostrzeżenie: Infekcja Virut może wymagać sformatowania całego dysku. Co więcej, migrowałeś materiały via pendrive. Jest możliwe, że Virutem jest zaprawiony także drugi system....

 

 

 

.

Odnośnik do komentarza

Jednokrotny przebieg VirutKiller / antywirusem to za mało. Poza tym, czy skanowałeś obie partycje (C + D)? ComboFix potwierdza, ale nie znalazł czystych wymienników plików w systemie:

 

c:\windows\system32\userinit.exe . . . jest zainfekowany!!

.

c:\windows\system32\svchost.exe . . . jest zainfekowany!!

.

c:\windows\system32\spoolsv.exe . . . jest zainfekowany!!

.

c:\windows\explorer.exe . . . jest zainfekowany!!.

 

Niestety odczyt z ComboFix to ledwie wycinek, ComboFix sprawdza tylko wybraną grupę plików. Nie jest wiadome ile tu szkód faktycznie jest (dwojakiego rodzaju: pliki zawirusowane lub pliki uszkodzone leczeniem) ...

 

 

1. Paczka plików w wersji XP SP3 do pobrania: KLIK. Pliki umieść w umownym folderze C:\Pliki.

 

2. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\Pliki\userinit.exe | C:\Windows\system32\userinit.exe
C:\Pliki\userinit.exe | C:\Windows\system32\dllcache\userinit.exe
C:\Pliki\svchost.exe | C:\Windows\system32\svchost.exe
C:\Pliki\svchost.exe | C:\Windows\system32\dllcache\svchost.exe
C:\Pliki\spoolsv.exe | C:\Windows\system32\spoolsv.exe
C:\Pliki\spoolsv.exe | C:\Windows\system32\dllcache\spoolsv.exe
C:\Pliki\explorer.exe | C:\Windows\explorer.exe
C:\Pliki\explorer.exe | C:\Windows\system32\dllcache\explorer.exe
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"\\??\\c:\\WINDOWS\\system32\\winlogon.exe"=-

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

3. Przedstaw log z ComboFix oraz nowy log z GMER.

 

 

 

.

Odnośnik do komentarza
Jeżeli chodzi o tamte pliki które pobrałem to nie moge rozpakować bo błąd odczytu niewałaściwy format czy cośw tym stylu pozostają spakowane.

 

To najwyraźniej problem na Twoim systemie, wygląda na to, że blokuje ją infekcja. Paczka ZIP jest prawidłowa, pobieram i rozpakowuję bez problemu. Poza tym, skoro plików nie wypakowałeś, to po co uruchamiałeś ComboFix? Przecież nic nie zrobił w zakresie wymiany, bo nie ma z czego. I jest coraz gorzej, Brontok wrócił i jest więcej plików oznaczonych jako zainfekowane (a to jak mówię ledwie wycinek, ComboFix nie jest skanerem globalnym). Usuwać w kółko możemy, ale czy to ma sens. Brontok + Virut = proponuję format dysk.

 

 

 

.

Odnośnik do komentarza
format dysku c czy obydwa ? I konieczność ponownego instalowania windowsa ? Ponieważ zawsze jak miałem do czynienia z formaten dysku co robiłem to poprzez reinstal systemu.

 

Tak, obu partycji. Format można przeprowadzić w dowolny sposób, czyli może być z instalatora Windows XP, jak sugerujesz. Można podzielić zadanie, czyli sformatować na początek C z płyty XP, a potem już spod nowego Windows dokończyć format D.

 

 

PS: a co zrobić z pendrive ? jest cały czas podłączony do zainfekwoanego komputera

 

Też go sformatuj. I przypominam wątek zabezpieczania systemu i pendrive przed automatycznym wykonaniem plików autorun.inf:

 

Na systemie (...) zablokuj wykonywanie plików autorun.inf. Czyli za pomocą Panda USB Vaccine wykonaj Computer Vaccination i zresetuj system. Następnie podpinasz pendrive (...) zaprawiasz go Pandą, opcją USB Vaccination.

 

 

 

.

Edytowane przez picasso
27.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...