Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Diagnostyka komputera / czyszczenie śmieci

karololszak

Przez karololszak
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

karololszak

karololszak

Opublikowano
Opublikowano

Znajomemu zepsuł się stary komputer (spaliła się większość podzespołów), przełożyłem dysk ze starego kompa i nowego, tak że mam Win7 i XP 'obok siebie'. Zrobiłem dualboota i wszystko ok, tylko wygląda na to, że na tym starym PC są jakieś pozostałości po malware, bo firefox się sam uruchamia z jakimś adresem itd. Załączam logi z OTLa i GMERa. PS gdy próbowałem wgrać SP3 z mojej kopii wyskakiwał błąd w stylu "spinst.exe nie jest prawidłową aplikacją systemu win32", pobiorę jeszcze raz i spróbuję znowu wgrać...

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Jedyne widoczne dla mnie ślady infekcji to te już martwe wpisy i plik na dysku:

 

O20 - AppInit_DLLs: (C:\DOCUME~1\Janusz\USTAWI~1\Temp\16610kou.dll) -  File not found
O20 - AppInit_DLLs: (C:\DOCUME~1\Janusz\USTAWI~1\Temp\46637kou.dll) -  File not found
O20 - AppInit_DLLs: (C:\DOCUME~1\Janusz\USTAWI~1\Temp\45466mja.dll) -  File not found
 
[2011-05-21 16:19:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\str.sys

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Documents and Settings\\Destiny.xDD- Agatka\\Ustawienia lokalne\\Temp\\.tt20.tmp"=-
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Odinstaluj zdezelowany Spyware Doctor. Wykonaj skanowanie w Malwarebytes Anti-Malware. M.in. powinien się zająć plikiem str.sys.

 

3. W Autoruns możesz w karcie Drivers usunąć te szczątki:

 

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\snp325.sys -- (SNP325) USB PC Camera (SNPSTD325)
DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys -- (cpuz135)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ALCXSENS.SYS -- (ALCXSENS)

 

 

firefox się sam uruchamia z jakimś adresem itd

 

Jakim adresem i rozwiń wątek "itd".

 

 

PS gdy próbowałem wgrać SP3 z mojej kopii wyskakiwał błąd w stylu "spinst.exe nie jest prawidłową aplikacją systemu win32", pobiorę jeszcze raz i spróbuję znowu wgrać...

 

Wygląda na niepoprawnie pobrany plik. Swoją drogą, tu jest bieda z miejscem na dysku i może być problem przy wykonywaniu aktualizacji:

 

Drive C: | 6,83 Gb Total Space | 2,06 Gb Free Space | 30,19% Space Free | Partition Type: NTFS

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...
karololszak

karololszak

Opublikowano
  • Autor
Opublikowano

1, 2, 3 zrobiłem; Malwarebytes wykrył trochę rzeczy w szybkim skanie (log w załączniku); w Autoruns powyłączałem jeszcze niektóre 'File not found' i niektóre niepotrzebne usługi; w kluczu HKCU\Software\Microsoft\Windows\CurrentVersion\Run były same niepotrzebne / skasowane rzeczy, więc też je wyłączyłem.

Co do tego z Firefoxem i automatycznym odpalaniem - to dzieje się na Win7 na tym samym PC, ale chyba sobie z tym poradzę :) Jakbym potrzebował dodatkowej pomocy to dam znać.

SP3 pobrałem jeszcze raz, udało mi się go zainstalować.

 

Wydaje mi się, że temat może już zostać zamknięty.

mbam-log-2012-07-02 (21-41-17).txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jak sądzę, znasz sekwencję z czyszczeniem folderów Przywracania systemu, a aktualizacje już wdrażane.

 

 

w Autoruns powyłączałem jeszcze niektóre 'File not found'

 

Masz te na myśli (?):

 

========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)

 

To celowo przeze mnie ominięty zestaw, praktycznie każdy XP tak wygląda. Instalator Windows XP preinstaluje ten układ w takim stanie, żadnych czynności nie trzeba podejmować, nie ma to znaczenia. W systemie jest jeszcze kilka innych "not found", które wbrew pozorom są normalne.

 

 

Co do tego z Firefoxem i automatycznym odpalaniem - to dzieje się na Win7 na tym samym PC, ale chyba sobie z tym poradzę

 

Inne systemy = z każdego powinny zostać podane logi. Nie przybliżyłeś o jakie przekierowanie chodzi, nie jest to zdiagnozowane czy to powierzchowna sprawa od jakiegoś adware czy coś bardziej wysublimowanego.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...