Ella
2 Czerwiec 2010 10:46
#1
Witam,
Komputer jest wolny i często się zawiesza. Ciężko przeprowadzić jakikolwiek skan antywirusowy i nie można zaktualizować Aviry. Avira znalazła 20 wpisów, które po usunięciu pojawiły się przy kolejnym skanowaniu i były to następujące wirusy (znalezione na C:/System Volume Information jako pliki .exe):
TR/PSW.OnlineGames.KDKC.1
WORM/Autorun.aaa
TR/PSW.Maga.112641
TR/Drop.Ag.112128
TR/PSW.OnlineGames.wsnw
Avira cały czas ostrzega i blokuje C:/autorun.inf
Z kolei Norton znalazł TR/Dropper.Gen
Oto log: http://wklejto.pl/68866
Bardzo proszę o łopatologiczne wyjaśnienia i pomoc, bo to moje pierwsze kroki w tej dziedzinie.
Dziękuję za uwagę i pozdrawiam,
Ela
Lukasz6
2 Czerwiec 2010 11:20
#2
Nie wolno używać dwóch antywirusów na jednym systemie bo będą się nawzajem blokować i może to doprowadzić do uszkodzenia systemu !
Usuń Avire lub Nortona .
następnie :
Wyłącz Przywracanie Systemu gdyż są tam szkodniki :
Kliknij , Start " potem Panel Sterowania > System > Przywracanie Systemu > zaznacz opcję Wyłącz przywracanie na wszystkich
dyskach > Zastosuj > a potem kliknij OK.
HJT od dawna się nie używa daje krótkie i nie szczegółowe logi, po za tym infekcje nauczyły się ukrywać i ich nie wykryje .
Pobierz OTL : http://oldtimer.geekstogo.com/OTL.exe
Zapisz na pulpit
W OTL przestawiasz Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes:
Kliknij Run Scan.
Zawartość logów ( otl.txt i extras.txt ) wklej na http://www.wklej.org lub http://www.wklej.to , ale ręcznie kopiuj > wklej z notatnika w pole do wklejania tekstu a w poście daj link.
Ella
2 Czerwiec 2010 12:17
#3
A czy koniecznie muszę usuwać któryś antywirus? One się nawzajem nie “gryzą”. NIgdy ich zresztą nie włączam jednocześnie.
Jeśli jednak muszę, to który lepiej usunąć?
Lukasz6
2 Czerwiec 2010 18:03
#4
Musisz bo w wielu przypadkach problemów nie widać ale jednak nawzajem się blokują i mogą uszkodzić system.
Jeśli Norton jest w pełnej wersji ( nie 30 dniowej - trial ) to lepiej usunąć Avire ale ostateczny wybór należy do ciebie.
Następnie wykonaj to co napisałem w poprzednim poście .
Ella
2 Czerwiec 2010 19:45
#5
W międzyczasie postanowiłam jednak usunąć Nortona
otl.txt http://www.wklej.org/id/344279/
extras.txt - no nie wiem o co chodzi, ale mi nie wyskakuje, tylko otl.txt
Mam nadzieję, że zdążysz mi pomóc zanim mi system padnie, bo już ledwo zipie… (a jeszcze palacz węgiel weń sypie
deFco247
2 Czerwiec 2010 20:00
#6
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL MOD - [2010-06-02 20:44:32 | 000,075,776 | RHS- | M] () – C:\Documents and Settings\Ela\Local Settings\Temp\dsoqq0.dll O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKCU…\Run: [dso32] C:\Documents and Settings\Ela\Local Settings\Temp\dsoqq.exe () O4 - HKCU…\Run: [nod32] C:\DOCUME~1\Ela\LOCALS~1\Temp\nodqq.exe File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} http://v4.windowsupdate.microsoft.com/C … 5482175926 (Reg Error: Key error.) O32 - AutoRun File - [2010-06-02 21:34:14 | 000,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Files C:\iuvvl9f3.exe C:\cgaqyi.exe :Commands [emptytemp] [emptyflash] [clearallrestorepoints] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Z podłączonymi pendrive zaprezentuj raport z USBFix Listing .
Ella
2 Czerwiec 2010 20:57
#7
Log z usuwania http://www.wklej.org/id/344296/
log run scan (bez zmieniania ustawień programu OTL i bez wklejania w białe okienko na dole) http://www.wklej.org/id/344301/
raport z USBFix http://www.wklej.org/id/344304/
Avira ostrzega i blokuje E:/autorun.inf i F:/autorun.inf
deFco247
2 Czerwiec 2010 21:00
#8
Następny skrypt dla OTL-a:
Run Fix . Pokazujesz raport z usuwania.
Ella
2 Czerwiec 2010 21:24
#9
http://www.wklej.org/id/344318/
Mam jedną uwagę. Po restarcie pojawił mi się na pulpicie jakiś nie mój dokument ~$_pana_Marka_Borowińskiego.docx i nie mogę go otworzyć
– Dodane 03.06.2010 (Cz) 19:33 –
Dokument już zniknął - jakieś widmo…
Natomiast Spybot S&D znajduje mi trojana Win32.Rungbu.a (HKEY_CLASSES_ROOT/CLSID/MADOWN ), którego niby usuwa, ale on i tak się pojawia przy kolejnym skanowaniu. Poza tym mówi o problemie pt. CDilla (6 wpisów PUPS), ale zabrania usuwania.
Avira ciągle mi znajduje trojany na dysku F i na C w OTLu
Co mam robić?
Lukasz6
3 Czerwiec 2010 20:12
#10
Co miało zostać usunięte zostało usunięte .
Wykonaj jeszcze raz loga OTLem
Chyba w kwarantannie OTLa ?
Daj log z GMERA
http://www.dobreprogramy.pl/Gmer,Progra … 13252.html
ale najpierw usuń wszystkie programy tworzące wirtualne napędy i uruchom program SPTD :
http://www.duplexsecure.com/downloads/
pobierasz plik , SPTDinst-v169-x86.exez " i uruchamiasz, następnie w głównym oknie tegoż programu klikasz przycisk
, Uninstall "
W razie gdy ta opcja będzie nie aktywna ( aktywna będzie tylko , Install " ) to nic nie rób tylko zamknij okno i uruchom GMERA .
Ella
3 Czerwiec 2010 20:30
#11
Dziękuję za błyskawiczną reakcję.
Log http://www.wklej.org/id/344949/
No może w kwarantannie.
A czy na tego Win32.Rungbu.a i CDillę mam zakładać nowy wątek?
Lukasz6
3 Czerwiec 2010 20:35
#12
W OTL w dolne okienko , Custom Scans/Fixes " wklej:
Kliknij Run Fix. Zrestartuj komputer
Potem daj raport, który wyskoczy po usuwaniu oraz wykonaj nowy log OTLem
Nie ma takiej potrzeby
Ella
3 Czerwiec 2010 21:28
#13
No to teraz tak:
Log z OTLa http://www.wklej.org/id/344979/
GMERA ściągnęłam, ale ten program SPTD mi się nie chce odpalić i wyskakuje info, że is not valid Win32 application, więc nie wiem co z tym zrobić.
Lukasz6
3 Czerwiec 2010 21:32
#14
To tak powyżej napisałem - przydał by się log z gmera
Uruchom go pomimo nie uruchomienia deinstalatora SPTD
A tak szczerze to w/w sterownika nawet w logu nie widać
W OTL kliknij na przycisk , CleanUp " - to usunie OTL i wszystkie resztki po nim .
Ella
3 Czerwiec 2010 21:44
#15
tamto to był raport, a nowy log to to: http://www.wklej.org/id/344986/
Teraz się zajmę tym GMERem i zaraz będę meldować dalej.
– Dodane 04.06.2010 (Pt) 10:18 –
Nie wiem czy dobrze zrobiłam ten skan, ale oto log z GMERa http://www.wklej.org/id/345075/
Czekam na dalsze wskazówki.
Nic to. Strasznie długo to trwało, ale się udało.