Wolny komp, internet, podejrzane procesy

alienx7 · 23 Październik 2010 08:51

Witam, po powrocie z wakacji, kiedy to komputerem opiekował się tatuś zauważyłem podejrzany proces - Windows Defender Apps Control w autostarcie, do ego strasznie wolno się uruchamia system, strony ładują się w nieskończoność. Proszę o sprawdzenie logów i dalsze instrukcje,

dzięki z góry

alienx7

OTL:

http://www.wklejto.pl/79873

Extras:

http://wklejto.pl/79874

deFco247 · 23 Październik 2010 09:37

Nie wklejaj logów na wklejto.pl, gdyż ukośniki na tej stronie ulegają rozdwojeniu, co utrudnia tworzenie skryptów. Używaj http://wklej.org/ lub http://wklej.to/

Brakuje tutaj loga z rootkit detectora, czyli z GMER lub w razie problemów z RootRepeal. Instrukcję co i jak podałem na końcu tego posta.

Pobierz The Avenger i uruchom.

Wklej w niego ten tekst:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

Oprócz tego wstawiasz do analizy nowe logi z OTL oraz wspomniany wcześniej raport z jednego z rootkit detectorów.

[*:4ompxeky]Pobierz GMER z jednego z tych linków:
Główny mirror

alienx7 · 23 Październik 2010 13:05

avenger:

http://wklej.org/id/405771/

gmer:

http://wklej.org/id/405770/

otl:

http://wklej.org/id/405772/

extras:

http://wklej.org/id/405773/

deFco247 · 23 Październik 2010 13:54

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL MsConfig - StartUpFolder: C:^Documents and Settings^All Users^My applications^Windows Defender Apps Control.exe - C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe - File not found MsConfig - StartUpReg: adiras - hkey= - key= - File not found MsConfig - StartUpReg: AnyDVD - hkey= - key= - C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe File not found MsConfig - StartUpReg: MSMSGS - hkey= - key= - File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found :Files C:\Documents and Settings\All Users\My applications :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] “Common Startup”=“C:\Documents and Settings\All Users\Menu Start\Programy\Autostart” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Program Files\sina\SAP\SAPlatform.exe”=- “e:\Program Files\Sports Interactive\Football Manager 2009\fm.exe”=- “C:\Program Files\Sports Interactive\Football Manager 2009\fm.exe”=- “C:\Program Files\Sports Interactive\Football Manager 2010\fm.exe”=- :Commands [emptytemp] [emptyflash]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.

Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

alienx7 · 23 Październik 2010 18:54

log z usuwania:

http://wklej.org/id/405987/

OTL:

http://wklej.org/id/406000/

Extras:

http://wklej.org/id/406001/

dzieki za pomoc

deFco247 · 24 Październik 2010 09:43

Infekcji tu już praktycznie nie widać.

W OTL kliknij CleanUp.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Zaktualizuj obowiązkowo:

XP Service Pack 3

Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)

Java 6 Update 22

Pozbądź się tego archaicznego i nie wspierającego już nawet własnego protokołu komunikatora. Zainteresuj się alternatywnymi komunikatorami: Miranda/AQQ/Pidgin/WTW

alienx7 · 24 Październik 2010 16:56

log z MBAM:

http://wklej.org/id/406517/

deFco247 · 27 Październik 2010 10:16

Usuń z dysku foldery D:\Recycled i F:\Recycled.

Jeśli ich nie widzisz, to zmień następujące opcje:

Panel Sterowania - Opcje folderów -> zakładka Widok:

Odznacz Ukryj chronione pliki systemu operacyjnego i zaznacz opcję Pokaż ukryte pliki i foldery.

Po usunięciu wspomnianych folderów możesz te opcje ustawić z powrotem.