Usunięty Trojan.Click2.16928 i brak poprawy

Mój sprzęt to Personal Computer Intel® Pentium ® M Toshiby, processor 1.73GHz, 504MB RAM. System - Microsoft Windows XP Home Edition, Wersja 2002, Dodatek Service Pack 3.

Od kilku ładnych tygodni mój komputer nie reaguje prawidłowo na moje działania. Ponieważ przez jakiś czas nie byłam jedyną osobą korzystającą z tego sprzętu, nie wiem konkretnie od jakiego momentu zaczęły się problemy. Komputer się wieszał, próba otwarcia jakiegoś pliku czy wejścia do Internetu kończyła się wiszącą klepsydrą. Zdarzało się, że reakcje były prawidłowe (bezpośrednio po restarcie), ale po chwili pracy na sprzęcie zaczynały się kłopoty. Uruchomiłam Malwarebytes’ Anti-Malware, który nic nie znalazł.

Myślałam, że osoba, która korzystała z mojego sprzętu pomieszała coś w systemie i najprawdopodobniej popełniłam błąd - użyłam jakiejś kopii zapasowej, jaką znalazłam na dysku. Ponieważ nie było żadnej poprawy, uruchomiłam program Dr.Web (pełny skan), który znalazł Trojana.Click2.16928 w dwóch plikach. Poleciłam leczenie ale program usunął zarażone pliki. Niestety problemy nie ustąpiły. Uruchomiłam więc Kaspersky Virus Removal Tool 2011, jednak nic nie znalazł. Nie mogę skorzystać z żadnego skanera zewnętrznego bo mam zepsutą stację dysków.

W tej chwili sytuacja wygląda w ten sposób, że komputer bardzo często się wiesza, ale zdarza się (jak w tej chwili), że nic się nie dzieje. Zdarza się też (bardzo rzadko), że samoistnie otwiera się jakiś plik czy strona.

Na wszelki wypadek przygotowałam już raporty w OTL-u: http://wklej.to/28RIG i http://wklej.to/oKGYW .

Bardzo proszę o pomoc.

jako zabezpieczenia używasz Comodo Internet Security. Proponuje wykorzystać CCE do sprawdzenia dysku.

KillSwitch ( niebezpieczne procesy )

1.Pobierz CCE z http://forums.comodo.com/polski-polish/ … #msg572836

  • wersja odpowiednia do zainstalowanego systemu.
  1. Rozpakuj pobrany zestaw --> np. D:\CCE.

  2. W utworzonym folderze znajdziesz: Autoruns.exe, CCE.exe i KillSwitch.exe

  3. Wyłącz zainstalowanego antywirusa. Jeżeli nasz zainstalowany CIS, wyłącz Defense+ i Zaporę.

  4. Z podanego folderu D:\CCE uruchom KillSwitch.exe. KillSwitch zaznaczy wszystkie niebezpieczne procesy na czerwono.

  5. Pojawi się główny ekran, u góry masz: KillSwitch, Options, View ,Tools, Users, Help

  6. Rozwijasz polecenie KillSwitch / Kill All Unsafe Processess ( zabij wszystkie niebezpieczne procesy )

  7. Listę procesów zaliczanych do niebezpiecznych ( czerwone ) możesz zobaczyć i usunąć z poziomu - VIEW / Hide Safe Processes.

Polecenie Delete na wskazany plik, program.

  1. W menu Tools masz do wyboru: Autorun Analyzer, Quick Repair ( moduł szybkiej naprawy )…

  2. Uruchamiasz Guick Repair. Pojawi się lista usług. Usługi wymagające naprawy ( changed ) zaznaczasz i aktywujesz Naprawę ( Repair )

Skanowanie CCE

  1. Pobierz i rozpakuj skaner CCE, wersja odpowiednia do zainstalowanego systemu, z http://forums.comodo.com/polski-polish/ … #msg572836

  2. Rozpakuj pobrany zestaw

  3. W utworzonym folderze znajdziesz: Autoruns.exe, CCE.exe i KillSwitch.exe

  4. Wyłącz zainstalowanego antywirusa. Jeżeli nasz zainstalowany CIS, wyłącz Defense+ i Zaporę.

  5. Uruchom z utworzonego folderu CCE.exe.

  6. Gdy są problemy z uruchomieniem, należy przytrzymać przycisk Shift i uruchomić CCE.exe

  7. Otworzy się okno obsługi.

  8. Przed uruchomieniem skanowania skaner wykona aktualizację bazy.

  9. Najlepiej wykonać skanowanie w trybie Full Scan. Sposób postępowania został opisany na http://forums.comodo.com/polski-polish/ … #msg572836

Jeśli mamy problem z dokonaniem aktualizacji baz wirusów zawsze można pobrać je z tego adresu:

http://www.comodo.com/home/internet-sec … tabase.php

Teraz wystarczy przejść do programu CCE>Tools>Import Virus Database i zainstalować pobrany pakiet.

Pełen skan CCE nic nie znalazł. Killswich Usunął (naprawił?) plik CFSvcs.exe (ConfigFree). Autorun Analyzer wskazuje, wg mnie, dużo wpisów nieznanych bądź niebezpiecznych. Boję się sama manipulować przy nich.

Chciałam jeszcze przeprowadzić "Scan for Suspicious MBR Modifications, ale mam problemy z aktualizacją bazy wirusów. Cóż, muszę znów zamknąć program i spróbować ściągnąć bazę ręcznie, bo przy włączonym CCE nie mogę otworzyć Firefoxa.

KillSwitch i Autorun Analyzer niebezpieczne programy oznaczają na czerwono. Szarym kolorem oznaczane są te, których jeszcze nie ma w bazie. Nie należy ich ruszać. Nie usuwa ich też KillSwitch.

Jeżeli skorzystałeś z tego polecenia - " 7. Rozwijasz polecenie KillSwitch / Kill All Unsafe Processess ( zabij wszystkie niebezpieczne procesy )", to proces usuwania zagrożeń odbywa się wg autorów programu automatycznie.

W menu KillSwitch / Tools - Autorun Analyzer, Quick Repair ( moduł szybkiej naprawy )

Najlepiej po wykonaniu pracy przez KillSitch skorzystać z pomocy Quick Repair.

Dodane 12.03.2012 (Pn) 13:52

Przygotuj po pracy KillSwitch - nowe raporty OTL

Żaden z programów nie był podświetlony na czerwono. Wspomniany plik CFSvcs.exe był podświetlony na szaro. Użyłam Quick Repair i wpis zniknął. Ale i tak nie używam tego programu, więc nie powinno być problemów z tym związanych. Poza tym wszystkie. Po wykonaniu Quick Repair, wszystkie programy były OK.

Ponieważ, jak już wspomniałam, pełen skan CCE (ani KillSwitch) nic więcej złego nie znalazł (nic nie podświetlił na czerwono), nie ma chyba podstawy, żeby wykonywać polecenie *7. Ale na wszelki wypadek skorzystałam z opcji Kill All Unsafe Processess. Rezultat: nie znaleziono pliku, czyli chyba nie ma co usuwać.

Autorun Analyzer podświetlił ok. 30 wpisów na szaro. Rozumiem, że skoro nie ma ich w bazie, wcale nie znaczy, że są złe.

Zaraz uruchomię OTL

Dodane 12.03.2012 (Pn) 17:36

P.S.

Myślałam, że OTL nigdy nie skończy swojej pracy… Komputer cały czas pracuje bardzo wolno albo się wiesza. Oto raporty: http://wklej.to/t8A4T i http://wklej.to/aIRmi

Wykonaj czyszczenie rejestru za pomocą http://www.dobreprogramy.pl/Wise-Regist … 13347.html

Wykonaj czyszczenie dysku za pomocą http://www.dobreprogramy.pl/Wise-Disk-C … 13346.html

Sprawdź programem Driver scanner - http://www.instalki.pl/programy/downloa … anner.html - zainstalowane oprogramowanie.

PS. Skaner jest w wersji trial. Pomocne mogą być przy aktualizacji nr seryjne. Skaner podaje nr seryjny programu zainstalowanego i nr seryjny programu zalecanego.

Dodane 12.03.2012 (Pn) 19:35

Zainstaluj Javę 7. Odinstaluj Javę 6. Wykorzystaj do tego Revo Uninstaller

Przed przeczytaniem Twoich wskazówek uruchomiłam program HD Tune. Error scan nic nie wykazał (cały dysk na zielono), analiza SMART była niemal identyczna jak parę miesięcy temu, więc nie wysyłałam odczytu na hotfix (wcześniej był jeden sektor relakowany, teraz trzy).

Nie mogłam odinstalować Javy 6, ponieważ nie była widoczna ani w programie Revo Uninstaler, ani w Dodaj/Usuń programy. Przeprowadziłam weryfikację javy na stronie http://www.java.com/pl/download/installed.jsp , gdzie zalecono mi instalację Javy 6 Update 31. Zainstalowałam ją. Czy mimo takich zaleceń powinnam wgrać wersję 7?

Wyczyściłam rejestr i dysk wskazanymi programami Wise.

Driver scanner wskazał sterowniki do uaktualnienia (nie wszystkie mogłam uaktualnić), ale będę chyba musiała wrócić do starych, bo mam wrażenie, że po samym czyszczeniu komputer był sprawniejszy niż obecnie. Zajmę się tym w ciągu dnia. Powinnam chyba potem jeszcze raz przeczyścić rejestr oraz dysk.

NameServer = Pref. DNS 8.26.56.26, Alt DNS 156.154.70.22 - takie masz wpisane. Przy ostatniej wersji CIS 2012 sugerowane jest przejście na pref. DNS 8.26.56.26 i alter. DNS 8.20.247.20 - http://help.comodo.com/topic-72-1-284-3 … rvice.html

Do wykonania procesu czyszczenia dysku z pozostałości po programach możesz wykorzystać comodo / defense+

  • wybierasz z głównego ekranu - Defense+

  • zaufane pliki

  • rozpocznie się proces przeszukiwania

  • lista plików

  • polecenie - Oczyść

  • rozpocznie się proces sprawdzania

  • teraz może się pojawić komunikat, że wszystko jest OK, lub dana grupa plików wymaga usunięcia, dajesz polecenie tak ( nie obawiaj się, sam to przetestowałem na swoim laptopie ), defecse+ wyrzuci z bazy wszystkie śmieci.

Dodane 13.03.2012 (Wt) 11:11

Otwórz OTL - wklej w białe okno podany tekst i wykonaj skrypt. Zgoda na restart. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij - Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Driver scanner znalazł nieaktualne sterowniki urządzeń, nie DNS. Nie mam pewności czy powinnam brać się za zmianę w DNS, skoro wcześniej wszystko normalnie chodziło.

Próbowałam przywrócić stare sterowniki urządzeń (te, które uaktualniałam), ale nie wiem czy mi się to udało bo program nadal wskazuje jako nieaktualne tylko te, których wcześniej nie udało mi się zmienić. W każdym razie wracałam kolejno do starych punktów przywracania, utworzonych w programie DS. Trwało to prawie cały wczorajszy dzień, bo tak wolno reaguje mój komputer. Albo się zawiesza.

Nie wykonałam jeszcze Twoich zaleceń, ponieważ wcześniej uruchomiłam jeszcze raz (na noc) CCE i zanim położyłam się spać, zauważyłam, że już znalazł jakiś zarażony plik. Dzisiaj rano niechcący zamknęłam klapę laptopa i wszedł on w tryb hibernacji (a wydawało mi się, że ją wyłączałam). W każdym bądź razie, kiedy wróciłam do trybu normalnego, na pulpicie nie było otwartego CCE i w związku z tym nie znam wyników skanowania. Próbowałam znaleźć jakieś raporty, logi, ale bez powodzenia. Uruchomiłam więc powtórnie CCE, mam jednak świadomość, że skanowanie znów potrwa parę godzin.

Dopiero dzisiaj zauważyłam, że zapomniałam włączyć Zaporę sieciową i Defence Comodo, które wyłączyłam instalując CCE. Może dlatego złapałam znów jakąś infekcję.

Wykonam Twoje polecenia, kiedy CCE skończy pracę. Teraz piszę z innego komputera.

Dodane 14.03.2012 (Śr) 21:10

Tym razem CCE nic juz nie znalazł.

Wykorzystałam Comodo / defense+ do czyszczenia dysku. Wykonałam podany przez Ciebie skrypt. Oto raport z usuwania: http://wklej.to/exS9U .

I raporty ze skanowania: http://wklej.to/JX3SY oraz http://wklej.to/VezrB .

Problemy nie ustępują.