Mocno zainfekowany kompueter

Dla specjalistów Bezpieczeństwo
#1

Witam.

Problem wygląda nastepująco. Po zaladowaniu sie systemu na starcie dostaje kilka errorów (jeśli bedzie potrzeba wstawie screeny),

komputer zamula, podczas instalacji, eksploatacji programow dostaje rożne niezliczone errory.

Wrzucam loga HJT

#2

Jest tutaj co nieco.

Do wklejenia OTL + gmer

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/

#3

No faktycznie syfu jest sporo. :o

Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )

Pobierz Combofix, ale nie uruchamiaj.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

Folder::

C:\Program Files\MyGlobalSearch


File::

C:\WINDOWS\Systems.exe

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.

WIN-DOS :stuck_out_tongue: (literówka)

#4

Czy nie powinno być przypadkiem

File::

C:\ WINDOWS \Systems.exe

#5

Kiedy chcialem usunąc linijki w logu HJT dostalem error…

W efekcie usunąłem tylko dwie linijki z siedmiu.

Zaraz bede pobował z Combofixem

Dodane 23.06.2009 (Wt) 11:04

Wiec…

Zrobilem tak jak mowił deFco. (literówka :P)

Wklejam log z combofixa

#6

](*,)

Pobierz Avenger i uruchom.

Skopiuj ten tekst:

W oknie Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

Ciekawa nazwa konta. :stuck_out_tongue:

#7

Tak wiec zrobilem jak kazales i…

Errory przy starcie sie nie pokazują, komputer dziala nieco szybciej ale to jeszcze nie to :wink:

Nie wszystkie logi HJT zdołałem usunąc…czy jest jakas alternatywna metoda usuwania?

Raport Avenger

#8

Zapodaj jeszcze logi z OTL - OTL.txt i Extras.txt

#9

OTL.txt

Extras.txt

#10

Wklej w okienko Custom Scans/Fixes :

:OTL

PRC - [2008-10-29 08:29:41 | 02,927,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\Explorer.EXE

O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found

O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found

O3 - HKCU\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found


:Commands

[emptytemp]

[start explorer]

[Reboot]

Kliknij Run Fix.

Po tym pokaż nowy log OTL.

#11

Log ktory otrzymalem zaraz po restarcie : LOG

Po nowym scanie:

OTL

#12

Nic więcej tutaj już nie widzę.

W OTL kliknij Clean Up.

Przeczyść system CCleanerem.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.

#13

Komputer bo wszystkich tych operacjach dziala duuuuzo lepiej - dzieki :wink:

Wklejam loga z Anti-Malware’a LOG

Powiedzcie jeszcze co moge zrobic zeby komputer dzialal szybiej i sprawniej?

Jakie programy w autorun moge odznaczyc, bo niektorych nazw kompltnie nie kojaze i niewiem za co odpowiadaja.

Jesli trzeba podesle screena

Czy bezpieczne jest grzebanie w rejestrze przy pomocy CCleanera i czy to cos pomoze?

#14

optymalizacja-odchudzanie-windowsa-opis-krok-kroku-t76580.html

Robisz skan HiJackThis Do a system scan only , w oknie pokaże Ci się log.

Wpisy autostartu to będą te z grupy O4. Usuwasz je wg metod opisanych na tej stronie.

#15 
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [DmwClient] "C:\Program Files\DMW Client 3\dmwclient.exe"

O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [WhatPulse] C:\Program Files\WhatPulse\WhatPulse.exe

O4 - HKCU\..\Run: [Systems] C:\Windows\Systems.exe

O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray

O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background

Co z tych rzeczy moge spokojnie wyeliminowac z autostartu?

#16

Sfiksuj w HiJackThis.

Panel sterowania -> Java -> zakładka Update -> Odznacz Check for updates automatically

To jest autostart Tlena. Wyłączenie go z autostartu zależy od Ciebie.

To jest pozostałość po jednym ze szkodników. Jeśli wpis będzie, to go usuń.

Autostart BitCometa.

#17

Mam problem.

Po skanowaniu HJT w logu jest wiecej wpisow niz w oknie programu.

O4 - HKCU\..\Run: [Systems] C:\Windows\Systems.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

Tych wpisow nie ma w oknie pogramu…

Jak wiec mam je usunąc ?

#18

Pewnie dlatego, że ja wcześniej usunąłem.

No to pokaż nowy log, albo tylko wpisy O4.

#19 
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [DmwClient] "C:\Program Files\DMW Client 3\dmwclient.exe"

O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [WhatPulse] C:\Program Files\WhatPulse\WhatPulse.exe

O4 - HKCU\..\Run: [Systems] C:\Windows\Systems.exe

O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray

O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA SIECIOWA')

O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O4 - Startup: smgr34.exe

Po restarcie to samo…wyglada na to ze HJT widzi nieaktualne autostarty bo wczesniej wylaczylem niepotrzebne CCleanerem

Dodane 23.06.2009 (Wt) 16:00

Ok poradzilem sobie z tymi wpisami…

Wielkie dzieki za pomoc! :slight_smile: komputer uratowany.

Jeśli moglibyscie doradzic mi jeszcze jaki antywirus zastosowac byłoby juz pieknie.