benek111 Opublikowano 23 Marca 2012 Zgłoś Udostępnij Opublikowano 23 Marca 2012 Witam! Hm ! Od czego zacząć ? Może , tak: Komputer zaczął wolno chodzić, wręcz zatrzymywać się co chwilę.. Miałem zainstalowanego NODa nic nie wykrywał. Sprawdziłem GMERem i nic nie wykrył. Malwarebytes cos tam wykrył i usunął bo po ponownym skanowaniu już tego nie wykrywa.Programy otwierają się wyraźnie szybciej ale przeglądarki internetowe snują się .Zainstalowałem Kasperskiego i wykrywa trojany jak w tytule ale nie można ich usunąć. Acha, robiłem logi HiJackiem dałem do sprawdzenia nic w nich nie było. Combofix cały czas ma problem uruchomić się bo twierdzi, że jest załączona ochrona rezydentna AVASTa, którego w ogóle nie mam zaintalowanego. Wiem, że trochę chaotycznie do tego podszedłem ale maszyna była mi bardzo potrzena i próbowałem ją choć trochę podkurować aby zrobić to co potrzebowałem. Acha ! program PCSafeDoctor wykrywa Trojana Win32.Monderb.aprt Proszę o pomoc w pozbyciu się tego świństwa z mojego kompa. gmer.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 23 Marca 2012 Zgłoś Udostępnij Opublikowano 23 Marca 2012 Musisz napisać w jakich lokalizacjach było coś wykrywane i na jakich plikach. W logach nie widać żadnej infekcji, jedynie drobne szczątki po sponsoringach i puste usługi. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS1\system32\mnmsrvc.exe -- (mnmsrvc) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Rasirda) WAN Miniport (IrDA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (irsir) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\iiusbisp.sys -- (IIUSBISP) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\FTD2XX.sys -- (FTD2XX) DRV - File not found [Kernel | System | Stopped] -- -- (ehdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS1\system32\Drivers\DrvAgent32.sys -- (DrvAgent32) DRV - File not found [Kernel | Auto | Stopped] -- -- (DgiVecp) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\jacek\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (BulkUsb) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (AIDA32Driver) IE - HKU\S-1-5-21-790525478-1275210071-725345543-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101538&mntrId=8cc009c40000000000000008028e05aa IE - HKU\S-1-5-21-790525478-1275210071-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ALSV5&o=1665&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=AU&apn_dtid=YYYYYYYYPL&apn_uid=b45bb692-8e56-4644-80d0-17b8661171c3&apn_sauid=B97356F2-943D-4763-8E9B-E64F25249D10 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.1.20007 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.9 FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=101538&mntrId=8cc009c40000000000000008028e05aa&q=" [2011-11-26 07:19:30 | 000,000,000 | ---D | M] (Babylon) -- D:\Documents and Settings\JACEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3tu66u7.default\extensions\ffxtlbr@babylon.com [2011-12-25 23:48:16 | 000,002,572 | ---- | M] () -- D:\Documents and Settings\JACEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3tu66u7.default\searchplugins\ASKCOM.XML [2011-09-04 18:04:34 | 000,002,288 | ---- | M] () -- g:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found [2012-03-18 11:30:02 | 000,518,144 | ---- | C] (SteelWerX) -- D:\WINDOWS\SWREG.exe [2012-03-18 11:30:02 | 000,406,528 | ---- | C] (SteelWerX) -- D:\WINDOWS\SWSC.exe [2012-03-18 11:30:02 | 000,212,480 | ---- | C] (SteelWerX) -- D:\WINDOWS\SWXCACLS.exe [2012-03-18 11:30:02 | 000,060,416 | ---- | C] (NirSoft) -- D:\WINDOWS\NIRCMD.exe [2012-03-18 11:29:52 | 000,000,000 | ---D | C] -- D:\Comb4470C [2012-03-18 11:14:30 | 000,000,000 | ---D | C] -- D:\Comb [2012-03-18 11:09:10 | 000,000,000 | ---D | C] -- D:\ComboFix :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search. Odnośnik do komentarza
benek111 Opublikowano 23 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2012 Wykryto zagrożenia w plikach znajdujących się w G:\System Volume Information\........................\A0015794.exe . Takich plików jest na razie 25. Wszystkie zaczynają się A0015***.exe , zamiast gwiazdek są różne numerki. Pliki mnożą się jak porąbane. Tam gdzie w ścieżce są ......... znajdują się cyferko-numerki. Sorry ale nie można tego skopiować a przepisywanie byłoby uciążliwe. Opisy z Kasperskiego są różne np: Wykryto Trojan Win32.Inject.cuqb, Wykryto Packed.Win32.PePatch.dk , Wykryto Trojan-Spy.Win32.Delf.yol itp. Jak mówię szkoa że nie można tego skopiować bo bym wkleił. Przepraszam bardzo ale resztę poleceń wykonam jutro bo muszę iść do pracy, Narazie dziękuję oto logi: AdwCleanerR1.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 24 Marca 2012 Zgłoś Udostępnij Opublikowano 24 Marca 2012 Wykryto zagrożenia w plikach znajdujących się w G:\System Volume Information\........................\A0015794.exe . Takich plików jest na razie 25. Wszystkie zaczynają się A0015***.exe , zamiast gwiazdek są różne numerki. Pliki mnożą się jak porąbane. To wykrycia w folderze przywracania systemu a więc kompletnie nieistotne. W dodatku to co jest wykrywane wcale nie musi być szkodliwe. Folder ten będziesz i tak opróżniał ale tym się zajmiemy na końcu. Na teraz wykonaj poniższe zalecenia: 1. Użyj opcji Delete z AdwCleaner. 2. Jedna z usług systemowych wymaga naprawy (skutek uboczny stosowania ComboFix na systemach które są na innej partycji niż C): SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv) Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na D:\Windows\System32\wuauserv.dll 3. Zaprezentuj nowe logi z OTL Odnośnik do komentarza
benek111 Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Gotowe ! Oto nowe logi ps. Maszyna cały czas przymula, dioda z HDD cały czas miga. Co tam się dzieje na tym dysku ? OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Według logów wszystko jest w porządku. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK I to by było na tyle w tym temacie. Maszyna cały czas przymula, dioda z HDD cały czas miga. Co tam się dzieje na tym dysku ? Czy w trybie awaryjnym jest ten problem? Odnośnik do komentarza
benek111 Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Po wyłączeniu Przywracania Systemu Kasperski usunął to badziewie z folderu przywracania. W systemie awaryjnym Opera chodzi jak szalona, dioda od HDD nie mruga jak powalona czyli dysk ma spokój. W trybie Normalnym masakra. Jakieś pół roku temu też tak się zaczynało. Efekt był taki iż system całkiem się wyłożył.Pewnego dnia komputer w ogóle nie wystartował, w żadnym trybie.Tydzień zajęło mi odzyskiwanie,robienie kopi tego co zostało na drugiej maszynie i stawianie od nowa. A inna maszyna wyłożyła się tak, że nie dało się systemu w ogóle odzyskać bo wcięło całkowicie partycję systemową , wyparowała po prostu. Programy do odzyskiwania danych znajdowały tylko pliki jak po użyciu ScanDisku. Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 W systemie awaryjnym Opera chodzi jak szalona, dioda od HDD nie mruga jak powalona czyli dysk ma spokój. W trybie Normalnym masakra. Jako podejrzany nasuwa się Kaspersky Internet Security 2012. Dla porównania tematy: KLIK + KLIK. Acha ! program PCSafeDoctor wykrywa Trojana Win32.Monderb.aprt Ten PCSafeDoctor wygląda na klasycznego naciągacza (KLIK) i tu się kwalifikuje deinstalacja tego podejrzanego obiektu, a nie słuchanie co ma do opowiedzenia. O4 - HKLM..\Run: [pcsafedoctor.exe] g:\Program Files\PCSafeDoctor\pcsafedoctor.exe () . Odnośnik do komentarza
benek111 Opublikowano 26 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2012 (edytowane) Zgadza się to Kasperski muli, myślałem że coś poprawili w swoich programach ale nie. Tego PcSafeDoctora wywaliłem. Można powiedzieć, że prawie wszystko działa. DZIĘKUJĘ bardzo za pomoc. A mówię prawie wszystko bo za diabła nie można zainstalować ostatniej aktualizacji: https://www.fixitpc.pl/topic/8723-problem-z-instalacja-aktualizacji-net-framework/ Edytowane 5 Czerwca 2012 przez picasso 5.06.2012 - Tematyka rozdzielona. Problemy systemowe w nowym wątku w dziale Windows. Tu zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi