linkus
1 Kwiecień 2010 08:12
#1
Witam Serdecznie,
Od czasu wyjazdu na zimowisko, gdzie mój laptop był “w użyciu publicznym” pojawiły się liczne problemy.
system strasznie spowolnił, podobnie jak internet. Nie mogę inaczej wywołać adresu w sieci niż przez google - tzn wpisywanie w pasku adresu strony - powoduje odesłanie do strony z błędem 404.
Zeskanowałem komputer programem antywirusowym AVG wersja 8, i znalazł bagatela, 74 infekcje. Mimo ich wykasowania i podawania że dysk jest już czysty, ciągle większość problemów nie ustąpiła.
często też mimo dobrego połączenia z internetem, strony ładują się bardzo wolno
Po włączeniu komputera pojawia się monit, pytający o instalowanie nowych urządzeń - mimo że żadnych nie podłączam.
Proszę o pomoc, moja wiedza niestety nie pozwala mi samemu znaleźć lub rozwiązać problemu;)
Poniżej zamieszczam linka do loga OTL(wraz z extras) i Hijacka
http://www.wklejto.pl/62281
Pozdrawiam i dziękuję za pomoc;)
deFco247
1 Kwiecień 2010 09:56
#2
Przede wszystkim jest tutaj infekcja typu rootkit.
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
Po tej operacji pokazujesz również nowo robione logi OTL.
linkus
1 Kwiecień 2010 10:38
#3
Wielkie Dzięki za tak szybką za odpowiedź:)
Brat mi gorąco polecił to forum - widzę że słusznie:)
Avenger użyty, backup.zip deletowany, to raport po reboocie:
http://www.wklejto.pl/62303
a to nowe OTL - hijacka też dorzucam;)
http://www.wklejto.pl/62304
hijack
http://www.wklejto.pl/62306
A IE przerzuca mnie ciągle na stronę gigux - cokolwiek to jest, gdy wpisuje jakikolwiek adres, np:
www.dobreprogramy.pl - trafiam na http://gigux.com/nf/nfw/?url=dobreprogramy.pl
Pozdrawiam
Leon1
1 Kwiecień 2010 14:17
#4
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
:OTL IE - HKCU…\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found FF - prefs.js…browser.search.order.1: “Ask” FF - prefs.js…keyword.URL: “http://toolbar.ask.com/toolbarv/askRedirect?o=101736&gct=&gc=1&q= ” [2008-12-28 13:54:09 | 000,000,682 | ---- | M] () – C:\Documents and Settings\Patrycja\Dane aplikacji\Mozilla\Firefox\Profiles\xqt1v2uo.default\searchplugins\ask.xml O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found O3 - HKLM…\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file:///C:/WINDOWS/Java/classes/xmldso.cab (Reg Error: Key error.) O20 - AppInit_DLLs: (app_dll.dll) - File not found O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-8462775337-3626158211-398409002-6631\wnzip32.exe) - C:\RECYCLER\S-1-5-21-8462775337-3626158211-398409002-6631\wnzip32.exe File not found O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Patrycja\csrss.exe) - C:\Documents and Settings\Patrycja\csrss.exe File not found O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-8462775337-3626158211-398409002-6631\wnzip32.exe) - C:\RECYCLER\S-1-5-21-8462775337-3626158211-398409002-6631\wnzip32.exe File not found O33 - MountPoints2{163ff1ee-d727-11dd-89fb-00c0a8c5ca3c}\Shell\AutoRun\command - “” = E:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe – File not found O33 - MountPoints2{163ff1ee-d727-11dd-89fb-00c0a8c5ca3c}\Shell\open\command - “” = E:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe – File not found O33 - MountPoints2{3996a9ce-2e94-11de-8a49-00c0a8c5ca3c}\Shell\AutoRun\command - “” = E:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe – File not found O33 - MountPoints2{3996a9ce-2e94-11de-8a49-00c0a8c5ca3c}\Shell\open\command - “” = E:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe – File not found O33 - MountPoints2{4c0cb979-d8e2-11dd-89fc-00c0a8c5ca3c}\Shell\AutoRun\command - “” = E:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe – File not found O33 - MountPoints2{4c0cb979-d8e2-11dd-89fc-00c0a8c5ca3c}\Shell\open\command - “” = E:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe – File not found O33 - MountPoints2{8d647ea6-42e4-11de-8a53-00c0a8c5ca3c}\Shell\AutoRun\command - “” = E:\trikfx\spomenar.exe – File not found O33 - MountPoints2{8d647ea6-42e4-11de-8a53-00c0a8c5ca3c}\Shell\explore\command - “” = E:\trikfx\spomenar.exe – File not found O33 - MountPoints2{8d647ea6-42e4-11de-8a53-00c0a8c5ca3c}\Shell\open\command - “” = E:\trikfx\spomenar.exe – File not found O33 - MountPoints2{a2731031-9ef5-11db-877a-00c0a8c5ca3c}\Shell\AutoRun\command - “” = E:\trikfx\spomenar.exe – File not found O33 - MountPoints2{a2731031-9ef5-11db-877a-00c0a8c5ca3c}\Shell\explore\command - “” = E:\trikfx\spomenar.exe – File not found O33 - MountPoints2{a2731031-9ef5-11db-877a-00c0a8c5ca3c}\Shell\open\command - “” = E:\trikfx\spomenar.exe – File not found O33 - MountPoints2{af8adf65-2156-11df-956a-0040f47c6234}\Shell\AutoRun\command - “” = E:\DOKTORE\mechka.exe – File not found O33 - MountPoints2{af8adf65-2156-11df-956a-0040f47c6234}\Shell\open\command - “” = E:\DOKTORE\mechka.exe – File not found O33 - MountPoints2{b65a990d-c3a2-11dc-88ed-00c0a8c5ca3c}\Shell\Open(&0)\command - “” = E:\Recycled\ctfmon.exe – File not found O33 - MountPoints2{d29747fa-d200-11de-8ac5-00c0a8c5ca3c}\Shell\AutoRun\command - “” = trikfx/spomenar.exe O33 - MountPoints2{d29747fa-d200-11de-8ac5-00c0a8c5ca3c}\Shell\explore\command - “” = trikfx/spomenar.exe O33 - MountPoints2{d29747fa-d200-11de-8ac5-00c0a8c5ca3c}\Shell\open\command - “” = trikfx/spomenar.exe O33 - MountPoints2{dac2513a-602d-11de-8a60-00c0a8c5ca3c}\Shell\AutoRun\command - “” = RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe O33 - MountPoints2{dac2513a-602d-11de-8a60-00c0a8c5ca3c}\Shell\open\command - “” = RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe O33 - MountPoints2{e5b923c9-9bcb-11db-8778-00c0a8c5ca3c}\Shell\AutoRun\command - “” = E:\trikfx\spomenar.exe – File not found O33 - MountPoints2{e5b923c9-9bcb-11db-8778-00c0a8c5ca3c}\Shell\explore\command - “” = E:\trikfx\spomenar.exe – File not found O33 - MountPoints2{e5b923c9-9bcb-11db-8778-00c0a8c5ca3c}\Shell\open\command - “” = E:\trikfx\spomenar.exe – File not found O33 - MountPoints2{e6da7ad4-2b26-11dd-8964-00c0a8c5ca3c}\Shell\AutoRun\command - “” = E:\tym8a.exe – File not found O33 - MountPoints2{e6da7ad4-2b26-11dd-8964-00c0a8c5ca3c}\Shell\explore\Command - “” = E:\tym8a.exe – File not found O33 - MountPoints2{e6da7ad4-2b26-11dd-8964-00c0a8c5ca3c}\Shell\open\Command - “” = E:\tym8a.exe – File not found O33 - MountPoints2{ff3eaca8-248f-11df-956d-0040f47c6234}\Shell - “” = AutoRun O33 - MountPoints2{ff3eaca8-248f-11df-956d-0040f47c6234}\Shell\AutoRun\command - “” = E:\LaunchU3.exe – File not found O33 - MountPoints2{ff3eacaa-248f-11df-956d-0040f47c6234}\Shell - “” = AutoRun O33 - MountPoints2{ff3eacaa-248f-11df-956d-0040f47c6234}\Shell\AutoRun\command - “” = I:\AutoRunCardDetector.exe – File not found O33 - MountPoints2\E\Shell - “” = AutoRun O33 - MountPoints2\E\Shell\AutoRun\command - “” = E:\LaunchU3.exe – File not found MsConfig - StartUpReg: BluetoothAuthenticationAgent - hkey= - key= - File not found MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found MsConfig - StartUpReg: SMSERIAL - hkey= - key= - File not found MsConfig - StartUpReg: VTTimer - hkey= - key= - File not found MsConfig - StartUpReg: VTTrayp - hkey= - key= - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan
linkus
1 Kwiecień 2010 15:43
#5
Dzięki:)
Akcja wykonana, po reboocie wyskoczył mi taki raport OTLa:
http://www.wklejto.pl/62337
nowy świeży log OTL:
http://www.wklejto.pl/62340
muszę jednak powiedzieć że obecnie mi internet koszmarnie zwolnił…
– Dodane 02.04.2010 (Pt) 12:04 –
Może to nie do końca zgodne z netykietą forum, ale muszę podbić swój temat.
Ponownie PROSZĘ O POMOC!!
Dziś, po powyższych operacjach mam straszny problem z łączeniem się z siecią, system działa jeszcze wolniej niż wcześniej,
a zanim się wczyta jaka kolwiek strona wyskakuje mi komunikat, rzekomo od “administratora sieci lokalnej” iż komputer rozsyła spam, i że zostanie odłączony od sieci jezeli nie oczyszcze go z wirusów.
Proszę o pomoc, bo pracy magisterskiej nie napiszę
Nowy log
OTL: http://www.wklejto.pl/62399
OTL Extrass: http://www.wklejto.pl/62395
Leon1
2 Kwiecień 2010 13:01
#6
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
:OTL [2008-03-02 00:03:06 | 000,024,576 | ---- | M] (My Global Search) – C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKCU Winlogon: Shell - (c:\documents) - File not found O20 - HKCU Winlogon: Shell - (and) - File not found O20 - HKCU Winlogon: Shell - (settings\patrycja\csrss.exe) - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Program Files\Gadu-Gadu\gg.exe”=- “C:\Program Files\Grisoft\AVG7\avginet.exe”=- “C:\Program Files\Grisoft\AVG7\avgamsvr.exe”=- “C:\Program Files\Grisoft\AVG7\avgcc.exe”=- “C:\Program Files\BearShare\BearShare.exe”=- :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan
Pobierz System Repair Engineer
http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html
przeskanuj daj log
linkus
2 Kwiecień 2010 15:00
#7
Hey!
zrobiłem zgdonie z zaleceniem,
raport po reboocie:
http://www.wklejto.pl/62420
System Repair Engineer:
http://www.wklejto.pl/62426
dodatkowo Malwarebyte’s Antimalware:
http://www.wklejto.pl/62440
Nowe logi OTL:
http://www.wklejto.pl/62442
extras:
http://www.wklejto.pl/62443
Leon1
2 Kwiecień 2010 18:17
#8
uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
Kliknij w Run Fix. Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan
