viverga Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Jestem laikiem, więc bardzo proszę o wyrozumiałość. Przepraszam za mało fachowy język. Do tej pory jak coś nie grało to po prostu formatowałam kompa, a teraz nie mogę :/ Komputer działa strasznie wolno, jak podłączyłam mp3 i pendrive to poukrywało mi foldery robiąc ich skróty, więc jakiś recycler zapewne (w konsekwencji mp3 nie widzi folderów i nie działa), wszystkie procesy zużywają masę pamięci, firefox się wiesza i działa strasznie. log z OTL http://wklej.org/id/716927/ http://wklej.org/id/716935/ Dodam że problem trwa od paru miesięcy, w tej chwili nie mam żadnego antywirusa, bo jakiś czas temu przestał działać (?) a nie miałam kiedy znaleźć czegoś w zastępstwie (może chociaż ktoś mógłby mi polecić w pełni darmowy antywirus?) Będę wdzięczna za pomoc Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Zabrakło obowiązkowego raportu z GMER. Widzę, że już pobrałas sobie określone narzędzia, owszem, wykorzystam je. Na czas usuwania podepnij nośniki pendrive i mp3: 1. Uruchom zgodnie z wytycznymi ComboFix. Przedstaw raport wygenerowany przez niego. 2. Również stwórz nowe logi z OTL z opcji Skanuj (bez Extras), zaległy GMER oraz USBFix z opcji Listing. . Odnośnik do komentarza
viverga Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Podczas restartu komputera przez combofix system w ogóle nie chciał się uruchomić, pomimo kilku resetów a nawet odcięciu prądu :/ Włączył się dopiero po odłączeniu mp3 i pendrive (nie wiem czy to ma związek). Wciąż firefox działa wolno, zaraz po uruchomieniu w menedżerze zadań widoczne były jakieś dziwne śmiecio procesy A, B czy coś takiego. GMER: http://wklej.org/id/717009/ ComboFix.txt OTL2.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 ComboFix wprawdzie część usunął, ale infekcja jest nadal czynna, w tym wpis startowy ukryty metodą rootkit (widzialny w GMER). Kolejne czynności do wykonania: 1. Część pierwsza usuwająca ukryty wpis startowy i blokująca wykonanie plików autorun.inf z urządzeń. Otwórz Notatnik i wklej w nim: Rootkit:: C:\Documents and settings\gabryna\Dane aplikacji\Tvnsnl.exe Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Tvnsnl"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache] "@C:\Documents and Settings\gabryna\Dane aplikacji\Tvnsnl.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 2. Część druga, czyli usunięcie infekcji z urządzeń przenośnych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files rd /s /q D:\RECYCLER /C rd /s /q F:\RECYCLER /C rd /s /q F:\RECYCLERS /C rd /s /q G:\RECYCLER /C rd /s /q F:\KLIZAVI /C del /q F:\*.lnk /C del /q G:\*.lnk /C del /q F:\autorun.inf /C del /q G:\autorun.inf /C attrib /d /s -s -h F:\* /C attrib -s -h G:\Recorded /C attrib -s -h G:\Playlist /C attrib -s -h G:\My Organizer /C attrib -s -h G:\RSS /C attrib -s -h G:\Music /C attrib -s -h G:\Pictures /C attrib -s -h G:\Starter Pack /C attrib -s -h G:\Video /C :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami przetwarzania skryptu. 3. Odinstaluj paski sponsoringowe: Ask Toolbar, Babylon Toolbar, Vuze Remote Toolbar, Winamp Toolbar, Conduit Engine. 4. Zaprezentuj log z ComboFix z punktu 1 i log z usuwania z punktu 2. Wygeneruj nowe logi z OTL z opcji Skanuj + GMER + USBFix z opcji Listing + AdwCleaner z opcji Search. . Odnośnik do komentarza
viverga Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Niestety mimo próby usunięcia babylon toolbar (w dodaj/usuń programy), system się zawiesił, po resecie nie było babylon na liście, ale wciąż działa :/ Inaczej nie wiem jak mogę to usunąć. Za każdym razem jak komputer ma się uruchomić ponownie po combofix czy po oczyszczaniu nośników USB przez OTL nie chce się włączyć i włącza się dopiero po resecie i wyjęciu nośników pamięci USB. Procesy wciąż zużywają pamięć w nadmiarze Ale za to mp3 już działa log OTL All processes killed ========== FILES ========== < rd /s /q D:\RECYCLER /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < rd /s /q F:\RECYCLER /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < rd /s /q F:\RECYCLERS /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < rd /s /q G:\RECYCLER /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < rd /s /q F:\KLIZAVI /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < del /q F:\*.lnk /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < del /q G:\*.lnk /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < del /q F:\autorun.inf /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < del /q G:\autorun.inf /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < attrib /d /s -s -h F:\* /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < attrib -s -h G:\Recorded /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < attrib -s -h G:\Playlist /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < attrib -s -h G:\My Organizer /C > Format parametru jest niepoprawny - C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < attrib -s -h G:\RSS /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < attrib -s -h G:\Music /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < attrib -s -h G:\Pictures /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < attrib -s -h G:\Starter Pack /C > Format parametru jest niepoprawny - C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. < attrib -s -h G:\Video /C > C:\Documents and Settings\gabryna\Pulpit\cmd.bat deleted successfully. C:\Documents and Settings\gabryna\Pulpit\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: gabryna ->Temp folder emptied: 401 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 26155332 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 456 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 25,00 mb OTL by OldTimer - Version 3.2.39.2 log created on 03252012_233541 Files\Folders moved on Reboot... Registry entries deleted on Reboot... ComboFix.txt OTL.Txt gmer.txt UsbFix2.txt AdwCleanerR1.txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Logi wyglądają znacznie lepiej, nie widzę nic stricte czynnego. Jeszcze odpadki adware mamy do sprzątnięcia. Przeglądarki muszą być zamknięte podczas wykonywania punktów 2+3. 1. Od razu zabezpiecz urządzenia USB przynajmniej przed infekcjami typu autorun.inf. W Panda USB Vaccine zastosuj opcję USB Vaccination dla każdego z urządzeń USB. To wygeruje falsyfikaty autorun.inf blokujące tworzenie takich plików infekcji. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" :OTL FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.3.3.2 FF - prefs.js..network.proxy.type: 4 [2012-01-14 18:45:47 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Documents and Settings\gabryna\Dane aplikacji\Mozilla\Firefox\Profiles\h861kvbz.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2012-03-02 00:24:53 | 000,000,000 | ---D | C] -- C:\Documents and Settings\gabryna\Ustawienia lokalne\Dane aplikacji\Babylon [2012-03-02 00:20:48 | 000,837,744 | ---- | C] (Babylon Ltd.) -- C:\Documents and Settings\gabryna\Pulpit\MyBabylonTB.exe Klik w Wykonaj skrypt. 3. Uruchom AdwCleaner i wybierz w nim opcję Delete. Następnie zrób log opcją Search i przedstaw. . Odnośnik do komentarza
viverga Opublikowano 26 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2012 Mam jeszcze pytanie: jaki powinnam zainstalować program antywirusowy (darmowy)? Jakieś inne sugestie związane z ochroną? AdwCleanerR2.txt log OTL.txt Odnośnik do komentarza
picasso Opublikowano 26 Marca 2012 Zgłoś Udostępnij Opublikowano 26 Marca 2012 Zadania wykonane. Do antywirusa przejdziemy. Mamy tu jeszcze do wykonania operacje czyszczące. 1. Odinstaluj AdwCleaner używając w nim opcję Uninstall. 2. Odinstaluj ComboFix, co także wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and settings\gabryna\Pulpit\ComboFix.exe" /uninstall Gdy ukończy się deinstalacja, możesz użyć Sprzątanie w OTL kasujące program i kwarantannę. 3. Wykonaj pełne skanowanie systemu za pomocą Kaspersky Virus Removal Tool. Przedstaw raport z wykrytymi zagrożeniami, o ile takowe będą. . Odnośnik do komentarza
viverga Opublikowano 26 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2012 Zadania wykonane, nie wykryło żadnych zagrożeń. Odnośnik do komentarza
picasso Opublikowano 27 Marca 2012 Zgłoś Udostępnij Opublikowano 27 Marca 2012 Wracamy do tego wątku: w tej chwili nie mam żadnego antywirusa, bo jakiś czas temu przestał działać (?) Mam jeszcze pytanie: jaki powinnam zainstalować program antywirusowy (darmowy)? Jakieś inne sugestie związane z ochroną? Jaki antywirus był wcześniej? Z darmowych możesz się zainteresować następującymi pozycjami: - Antywirusy: Avast, Panda Cloud Antivirus, Microsoft Security Essentials. - Albo kompletny darmowy pakiet COMODO Internet Security. . Odnośnik do komentarza
viverga Opublikowano 27 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2012 Miałam Avast i Comodo... (tzn. nie jednocześnie ) wcześniej też pełno triali, teraz zainstalowałam pandę Bardzo bardzo dziękuję za pomoc ) Jesteś nieoceniona A to forum to skarb Odnośnik do komentarza
picasso Opublikowano 27 Marca 2012 Zgłoś Udostępnij Opublikowano 27 Marca 2012 OK, antywirus już jest. Zaktualizuj sobie jeszcze określone programy: KLIK. Na Twojej liście zainstalowanych widnieją następujące wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22"{"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Gadu-Gadu 10" = Gadu-Gadu 10"Google Chrome" = Google Chrome"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) A co do zasobożernego reklamodawczego GG10, to może zainteresują Cię lżejsze alternatywy: Darmowe komunikatory. Propozycje: WTW, Kadu, Miranda, AQQ. Z wyjątkiem ostatniego brak reklam. . Odnośnik do komentarza
Rekomendowane odpowiedzi