Skocz do zawartości

Abnow i mocne spowolnienie komputera


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie zastosowałeś się do zasad działu, obowiązkowym logiem jest tu raport pod kątem infekcji rootkit, czyli GMER. Zwłaszcza, że tu jest infekcja rootkit ZeroAccess (objawiona jako przekierowania abnow). Wstępnie:

 

1. Uruchom Kaspersky TDSSKiller i zastosuj akcje domyślnie dobrane dla wykrytych zagrożeń (nie zmieniaj ich), zresetuj komputer. Po restarcie ponownie uruchom narzędzie i sprawdź czy coś wykrywa. Z tych akcji zapiszą się dwa raporty na dysku.

 

2. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras), dołącz także oba raporty z pracy TDSSKiller (czyli z leczenia przed restartem i nowy po restarcie).

 

 

 

.

Odnośnik do komentarza

Proszę :) Rozumiem ze to jeszcze nie koniec ale już mi na tym kompie nie zalezy zbytnio, za ok dwa miechy będę miał 4 nowy komp... te utrudnienia sie zwiększyły do tego poziomu że trudno było normalnie krorzystąc z kompa...

Przepraszam, niedoczytałem

OTL.Txt

TDSSKiller.2.7.33.0_26.04.2012_15.29.56_log.txt

TDSSKiller.2.7.33.0_26.04.2012_16.36.21_log.txt

Odnośnik do komentarza
ale już mi na tym kompie nie zalezy zbytnio, za ok dwa miechy będę miał 4 nowy komp...

 

To nie znaczy, że masz spuścić lagę na aktualny system, bo może się zdarzyć, że niedoczyszczona infekcja będzie mieć nieobliczalne skutki. Nadal są zresztą jej ślady (jak mówiłam), np. łańcuch sieciowy Winsock jest naruszony przez rootkita. Zanim przejdę dalej, pragnę otrzymać komplet danych. Podałeś mi tylko log z OTL (mówiłam "bez Extras" i usuwam zbędny), a wyraźnie punktowałam: "dołącz także oba raporty z pracy TDSSKiller (czyli z leczenia przed restartem i nowy po restarcie)". Raporty te są na dysku C. Dołącz je w poście wyżej edytując post, a ja tu doedytuję swój podając kolejne instrukcje.

 

 

EDIT

 

OK, jasny obraz sytuacji. Wykonaj następujące operacje:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\$NtUninstallKB49553$
C:\WINDOWS\System32\dds_log_ad13.cmd
C:\Documents and Settings\Dom\Local Settings\Application Data\9610a87e
netsh firewall reset /C
netsh winsock reset /C
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\gusxnq.sys -- (vlfux)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj adware Ask Toolbar (robota KMplayer) + Babylon toolbar on IE. Jeśli Gutscheinmieze - Toolbar nie instalowałeś umyślnie, to też.

 

3. Zastosuj AdwCleaner z opcji Delete.

 

4. System nie ma pliku HOSTS. Upewnij się, że masz włączone pokazywanie rozszerzeń (Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczona opcja Ukrywaj rozszerzenia znanych typów). Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

5. Wygeneruj nowy log z OTL opcją Skanuj (bez Extras). Dołącz log z usuwania OTL w punkcie 1 oraz usuwania AdwCleaner w punkcie 3. Oczywiście już mi odpisujesz w nowym poście.

 

 

 

.

Edytowane przez picasso
Odnośnik do komentarza

Wszystko zrobione... proszę

 

I jeszcze takie jedno pytanko...za co odpowiada proces EHRC poniewaz przy włączaniu komputera zawsze go wyłączam... zabiera mi 99% mocy procesora...

 

nie wgrało jednego loga...proszę

 

All processes killed

========== FILES ==========

C:\WINDOWS\$NtUninstallKB49553$\2517674110\U folder moved successfully.

C:\WINDOWS\$NtUninstallKB49553$\2517674110\L folder moved successfully.

C:\WINDOWS\$NtUninstallKB49553$\2517674110 folder moved successfully.

C:\WINDOWS\$NtUninstallKB49553$ folder moved successfully.

C:\WINDOWS\System32\dds_log_ad13.cmd moved successfully.

C:\Documents and Settings\Dom\Local Settings\Application Data\9610a87e\U folder moved successfully.

C:\Documents and Settings\Dom\Local Settings\Application Data\9610a87e folder moved successfully.

< netsh firewall reset /C >

Ok.

C:\Documents and Settings\Dom\My Documents\Pobieranie\cmd.bat deleted successfully.

C:\Documents and Settings\Dom\My Documents\Pobieranie\cmd.txt deleted successfully.

< netsh winsock reset /C >

Pomy˜lnie zresetowano Winsock Catalog.

Musisz ponownie uruchomi"  komputer, aby ukoäczy"  resetowanie.

C:\Documents and Settings\Dom\My Documents\Pobieranie\cmd.bat deleted successfully.

C:\Documents and Settings\Dom\My Documents\Pobieranie\cmd.txt deleted successfully.

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.

========== OTL ==========

Service Nero BackItUp Scheduler 4.0 stopped successfully!

Service Nero BackItUp Scheduler 4.0 deleted successfully!

File C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe not found.

Service vlfux stopped successfully!

Service vlfux deleted successfully!

File System32\drivers\gusxnq.sys not found.

Service MBAMSwissArmy stopped successfully!

Service MBAMSwissArmy deleted successfully!

File C:\WINDOWS\system32\drivers\mbamswissarmy.sys not found.

Service EagleNT stopped successfully!

Service EagleNT deleted successfully!

File C:\WINDOWS\system32\drivers\EagleNT.sys not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 2871234 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Dom

->Temp folder emptied: 1091200656 bytes

->Temporary Internet Files folder emptied: 602390 bytes

->Java cache emptied: 18533805 bytes

->FireFox cache emptied: 340218164 bytes

->Flash cache emptied: 53257 bytes

 

User: Kinga

->Temp folder emptied: 800233986 bytes

->Temporary Internet Files folder emptied: 12812761 bytes

->Java cache emptied: 1424 bytes

->FireFox cache emptied: 228306581 bytes

->Google Chrome cache emptied: 6372583 bytes

->Flash cache emptied: 21535 bytes

 

User: LocalService

AdwCleanerS1.txt

OTL.Txt

Odnośnik do komentarza

Prawie wszystko zrobione, z wyjątkiem tego:

 

Hosts file not found

 

Nie zrekonstruowałeś poprawnie pliku HOSTS.

 

1. Powtórz akcję z plikiem HOSTS (przypominam: musisz widzieć rozszerzenia) oraz ręcznie dokasuj plik C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com.

 

2. Podaj nowy log z OTL (mam nadzieję, że ostatni), tylko już nie musi być tak szeroki: ustaw wszędzie opcje na Brak + Żadne, z wyjątkiem opcji Rejestr ustawionej na Użyj filtrowania.

 

 

I jeszcze takie jedno pytanko...za co odpowiada proces EHRC poniewaz przy włączaniu komputera zawsze go wyłączam... zabiera mi 99% mocy procesora...

 

Nic takiego w raportach nie widzę. To na pewno właściwa nazwa procesu? Nie jest to aby ehrec.exe? To znacznie bardziej tu pasuje, bo Twój Windows to wersja Windows XP Media Center Edition i proces ehrec.exe jest jego częścią.

 

1. Jeśli to ehrec.exe spożywa dużo, to prawdopodobnie jest to skutek zainstalowania Microsoft .NET Framework 4 (widzę u Ciebie na liście). Windows XP Media Center to próchno, są znane problemy z pobytem zbyt nowego .NET 4. Ta wersja nie jest nawet oficjalnie wspierana na edycji XP Media Center, tylko zwykłe ikspeki są kompatybilne wg tabelki zgodności: KLIK. Odinstaluj Microsoft .NET Framework 4, zostaw tylko Microsoft .NET Framework 3.5 SP1 (i starsze zależne od tej instalacji), zobaczymy co się stanie.

 

2. Przy okazji, by odciążyć start systemu możesz wyłączyć i inne zbędniki. Odinstaluj McAfee Security Scan, urwie to kilka procesów - to prawdopodobnie nawet nie zostało zainstalowane umyślnie, ten produkt wchodzi jako sponsor innych instalacji (np. Adobe). W programie Autoruns w karcie Logon odptaszkuj sobie te pozycje:

 

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [iMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\imekrmig.exe (Microsoft Corporation)

O4 - HKLM..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)

O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)

O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)

O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)

O4 - HKU\S-1-5-21-117609710-1450960922-839522115-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe ()

 

Te opisy w [klamrach] będą widzialne w Autoruns.

 

 

.

Odnośnik do komentarza

1. Coś robisz nie tak, nadal niezmiennie stoi: Hosts file not found. Czy na pewno tworzysz plik bez rozszerzenia (nie może to być TXT)? Podaj skan na pliki w folderze C:\Windows\system32\drivers\etc, co tam właściwie stworzyłeś. Start > Uruchom > cmd i wklej komendę: dir /a C:\Windows\system32\drivers\etc >C:\log.txt. Wklej do posta zawartość C:\log.txt.

 

2. Widzę, że w Autoruns coś grzebałeś:

 

O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\AutorunsDisabled [2012-04-26 19:36:41 | 000,000,000 | -H-D | M]

[2012-04-26 19:36:41 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\AutorunsDisabled

 

Akurat wyłączałeś coś innego niż podawałam, natomiast nadal są inne wyliczane przeze mnie, które spokojnie wyłączyć dla przyśpieszenia:

 

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [iMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\imekrmig.exe (Microsoft Corporation)

O4 - HKLM..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)

O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)

O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)

O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)

 

 

Z tym procesem nie będę sie bawił poniewaz takie ucziążliwe to to znowu nie jest..

 

Masz zainstalowaną za nową wersję .NET Framework, która i tak jest niezgodna z Twoją wersją Windows. Problemów może być więcej.

 

 

 

.

Odnośnik do komentarza

HOSTS jest plikiem Windows związanym z adresowaniem DNS lokalnie. U Ciebie go brakuje, "coś" go skasowało, nie jest to prawidłowe i plik należy odtworzyć. Miałeś wykonać tę instrukcję odtwarzania pliku:

 

Upewnij się, że masz włączone pokazywanie rozszerzeń (Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczona opcja Ukrywaj rozszerzenia znanych typów). Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

To prosta operacja. Ale logi z OTL wskazują, że nie robisz tego prawidłowo, ciągle jest odczyt, że pliku brakuje. Dlatego poprosiłam, być mi podał to, co mi precyzyjnie pokaże co Ty za plik tam wstawiasz:

 

Start > Uruchom > cmd i wklej komendę: dir /a C:\Windows\system32\drivers\etc >C:\log.txt. Wklej do posta zawartość C:\log.txt.

 

I czekam na zawartość log.txt.

 

 

.

Odnośnik do komentarza

Wolumin w stacji C nie ma etykiety.

Numer seryjny woluminu: 306B-8C9C

 

Katalog: C:\Windows\System32\drivers\etc

 

2012-04-26 19:39 <DIR> .

2012-04-26 19:39 <DIR> ..

2012-04-26 17:26 25 D3DCompiler_33.dll

2012-04-26 19:39 25 hosts.txt

2004-08-10 14:00 3˙683 lmhosts.sam

2004-08-10 14:00 407 networks

2004-08-10 14:00 799 protocol

2004-08-10 14:00 7˙116 services

6 plik(˘w) 12˙055 bajt˘w

2 katalog(˘w) 12˙777˙545˙728 bajt˘w wolnych

 

 

Chodzi o to?

Odnośnik do komentarza

No i właśnie, robisz błąd, utworzyłeś plik z rozszerzeniem TXT:

 

Katalog: C:\Windows\System32\drivers\etc

 

2012-04-26 19:39 25 hosts.txt

 

Ten plik nie ma mieć żadnego rozszerzenia. Mówię po raz kolejny: Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczona opcja Ukrywaj rozszerzenia znanych typów. Po tym wejdź do katalogu C:\Windows\System32\drivers\etc i zmień nazwę pliku hosts.txt na hosts.

 

 

 

PS. I czy odinstalowałeś .NET Framework 4?

 

.

Odnośnik do komentarza

Potwierdź mi, że po deinstalacji .NET Framework spadnie zużycie procesora przez ehrec.exe. Na koniec:

 

1. Uporządkuj po używanych narzędziach. W OTL uruchom Sprzątanie, w AdwCleaner użyj Uninstall, przez SHIFT+DEL usuń folder C:\TDSSKiller_Quarantine.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Są wymagane aktualizacje: KLIK. Oto z Twojej listy status aktualizacji Windows i wersje innych aplikacji:

 

Windows XP Media Center Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 26

"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

 

Jak sądzę będziesz się migać frazą "już mi na tym kompie nie zalezy zbytnio, za ok dwa miechy będę miał 4 nowy komp", ale powinieneś zaktualizować co mówię. Infekcje można złapać bardzo szybko. Dwa miesiące czasu do nowego komputera to przerażająca ilość czasu w tym kontekście.

 

4. Na wszelki wypadek dla bezpieczeństwa zmień hasła logowania w serwisach.

 

 

 

 

.

Odnośnik do komentarza

Wśród aktualizacji do wykonania jest m.in. Adobe Flash oraz przeglądarka. Usuniesz obecną w systemie wersję Flash (deinstalacja przez Dodaj / Usuń programy + użycie firmowego deinstalatora Adobe) i zainstalujesz najnowszą wtyczkę. Zobaczymy co to da w kwestii filmików na YouTube.

Edytowane przez picasso
31.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...