Zawieszający się system

Fedrix · 19 Kwiecień 2012 16:17

Witam. Otóż od dłuższego czasu nękają mnie pewne niedogodności. Po uruchomieniu Mozilli Firefox na załadowanie się przeglądarki muszę czekać jakieś dobre 3 minuty, podczas gdy normalnie zawsze wszystko grało już po 20 sekundach. Na dodatek cały czas coś się zawiesza i to nie tylko w przeglądarce. Przykładowo gdy coś piszę, to muszę kilka razy naciskać na pasek tytułowy Mozilli,

ponieważ gdy tego nie zrobię nie jestem w stanie nic napisać, ale nie tylko, bo również, gdy wykonuję wszelkiego rodzaju inne czynności typu granie etc. coś za wszelką cenę chce mi udowodnić, że ma nade mną władzę i nie pozwala dokończyć czynności. Co więcej nie mogę nawet pobrać z żadnej strony antywirusa, bowiem przekierowuje mnie na inną kartę z tekstem “błąd połączenia” i tak w kółko.

Macie na to jakieś rady, czy też tylko reset pomoże ?

Jest jeszcze jedno. Nie wiem jak przesłać logi, gdyż kiedy skanuje OTL’em w momencie Scanning Modules program się zacina i to za każdym razem

Acorus · 19 Kwiecień 2012 16:40

Zrób logi w trybie awaryjnym.

Fedrix · 20 Kwiecień 2012 13:20

Oto logi z OTL wykonane w trybie awaryjnym :

http://www.wklej.org/id/736041/

spandaupol · 20 Kwiecień 2012 14:40

Od razu mówię że będzie ciężko. Rootkit zeroaccess i nie tylko. Proszę pobrać i użyć Combofixa zgodnie z instrukcją http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Pobierasz Combofixa następnie restart komputera i wchodzisz w tryb awaryjny windows. Uruchom Combofixa dwuklikiem. Jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport, który pokażesz na forum. Jeśli Combofix się zawiesi lub nie będzie chciał się uruchomić, nie uruchamiaj go ponownie. Napisz użyjemy innych narzędzi. Link zastępczy do Combofixa ze zmienioną nazwą http://sendfile.pl/157994/svhost.exe

Fedrix · 20 Kwiecień 2012 17:03

Zrobiłem to tak jak poleciłeś moderatorze. Co prawda obawiałem się, że Combofix zamiast pomóc coś zniszczy, ale działał bez zarzutów i oto log z jego pracy :

http://wklej.org/id/736193/

Pochwale się, że widać gołym okiem różnicę. Dawniej nie mogłem wejść na stronę facebook.com oraz za żadne skarby nie mogłem dostać się do antywirusów. Teraz do wszystkiego mogę się dostać.

Czekam jednak na dalsze rady i zalecenia.

spandaupol · 21 Kwiecień 2012 07:31

To dopiero początek, ale chyba jesteśmy na dobrej drodze.

Combofix nie znalazł prawidłowego pliku więc nie podmienił. W takim razie proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje proszę wybrać opcje Skip Jeśli nic nie wykryje napisz będziemy podmieniać plik.

Fedrix · 21 Kwiecień 2012 08:48

Zeskanowałem TDSSKillerem jak poprosiłeś. Kaspersky coś wykrył, więc wybrałem opcję skip. Oto co wyskoczyło na samym końcu :

Raport Kasperskyego

http://wklej.org/id/736475/

spandaupol · 21 Kwiecień 2012 09:25

Ten plik jest prawidłowy, więc będziemy podmieniać na początek plik tcpip.sys. Utwórz na dysku C:\ katalog o nazwie Plik Pobierz plik tcpip.sys dla Twojego systemu http://sendfile.pl/158184/tcpip.sys i umieść go w katalogu Plik Czyli C:\Plik\tcpip.sys

Pobierz GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Skanuj. Pokaż nowy raport na forum

Fedrix · 21 Kwiecień 2012 11:56

Pojawił się problem. Gdy dochodzę do wykonywania skryptu w OTL pojawia się komunikat, że usunięcie plików wymaga ponownego uruchomienia komputera. Gdy już zostaje uruchomiony drugi raz nie pojawiają się żadna ikony, widać tylko tapetę pulpitu i strzałkę, a po chwili komputer sam się resetuje. Odpaliłem jednak ponownie OTl’a i pojawił się taki raport :

http://wklej.org/id/736597/

spandaupol · 21 Kwiecień 2012 12:00

Zrestartuj komputer i zobacz czy się uruchomił. Ponownie użyj Grantperms

Pobierz GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę

Następnie wejdź do folderu C:\Windows znajdź folder $NtUninstallKB48910$ będzie ukryty i usuń go przez Shift+Del napisz czy się udało.

Następnie ponownie uruchamiasz OTL W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Skanuj. Pokaż nowy raport na forum

Fedrix · 21 Kwiecień 2012 12:14

Przepraszam bardzo, bo zanim dokończyłem twoje czynności napisałem już posta o tym problemie.

Jeszcze raz.

Zrobiłem wszystko po kolei tak jak prosiłeś(pobrałem plik tcpip.sys, pobrałem i uruchomiłem GrantPerms’a itd.)W momencie gdy miałem wykonać skrypt pojawił się komunikat o ponownym uruchomieniu komputera. Za pierwszym razem nie pojawiły się żadne ikony, tylko strzałka, ale za drugim było już ok. Odpaliłem więc ponownie OTL’a i pojawił się ten raport, co go wyżej pokazałem :

http://wklej.org/id/736597/

Następnie w Własne opcje skanowania / skrypt wkleiłem

i dałem skanuj.

Oto raport :

http://wklej.org/id/736604/

spandaupol · 21 Kwiecień 2012 12:50

Start - Panel sterowania - Aplet Dodaj usuń programy - znajdź i odinstaluj

Odinstaluj Combofixa w prawidłowy sposób. Start - Uruchom - wpisujesz lub skopiuj

“c:\documents and settings\test\Moje dokumenty\Pobieranie\ComboFix.exe” /uninstall i Enter

Uruchom ponownie GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę wejdź do folderu C:\Windows znajdź folder $NtUninstallKB48910$ będzie ukryty i usuń go przez Shift+Del napisz czy się udało.

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL IE - HKU\S-1-5-21-1708537768-329068152-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.softonic.com/MON00084/tb_ … rce=10&cc= IE - HKU\S-1-5-21-1708537768-329068152-839522115-1003…\SearchScopes{043C5167-00BB-4324-AF7E-62013FAEDACF}: “URL” = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKU\S-1-5-21-1708537768-329068152-839522115-1003…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1708537768-329068152-839522115-1003…\SearchScopes{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: “URL” = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=ec639fed00000000000000fff6c93506&tlver=1.4.19.19&affID=19405 IE - HKU\S-1-5-21-1708537768-329068152-839522115-1003…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2086743 FF - prefs.js…keyword.URL: “http://search.babylon.com/?AF=19993&babsrc=adbartrp&mntrId=ec639fed00000000000000fff6c93506&q=” FF - prefs.js…browser.search.defaultthis.engineName: “PHPNukeEN Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2086743&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” [2012-04-17 10:25:52 | 000,000,000 | —D | M] (PHPNukeEN Community Toolbar) – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\extensions{dd02a4eb-4afd-4d60-99d8-e67f964ca813} [2012-04-08 16:07:13 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\extensions\ffxtlbr@babylon.com [2012-04-08 16:08:36 | 000,000,000 | —D | M] (vShare) – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\extensions\vshare@toolbar(2) [2011-01-17 13:43:48 | 000,000,921 | ---- | M] () – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\searchplugins\conduit.xml [2010-11-07 17:34:42 | 000,002,055 | ---- | M] () – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\searchplugins\daemon-search.xml [2011-08-16 21:43:10 | 000,002,374 | ---- | M] () – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\searchplugins\search.xml [2012-04-08 19:17:34 | 000,002,060 | ---- | M] () – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\searchplugins\softonic.xml O2 - BHO: (Softonic Helper Object) - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Program Files\Softonic\Softonic\1.5.21.0\bh\Softonic.dll (Softonic.com) O3 - HKLM…\Toolbar: (Softonic Toolbar) - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files\Softonic\Softonic\1.5.21.0\SoftonicTlbr.dll (Softonic.com) O3 - HKU\S-1-5-21-1708537768-329068152-839522115-1003…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Fedrix · 21 Kwiecień 2012 13:24

Zanim to zrobię mam jedno pytanie. Czy nie lepiej będzie wykonanie skryptu zrobić w trybie awaryjnym ? żeby uniknąć tak jak za pierwszym razem jakiś komplikacji.

spandaupol · 21 Kwiecień 2012 14:36

Możesz wykonać skrypt w trybie awaryjnym. Tylko proszę nowy skan OTL wykonać w trybie normalnym windows.

Fedrix · 21 Kwiecień 2012 16:19

To tak :

Softonic Toolbar usunięty, oraz ComboFix.exe został odinstalowany. Wykonałem także polecania w GrandPermsie. Nie mogłem jednak znaleźć folderu $NtUninstallKB48910$ , więc użyłem komendy c:\Windows$NtUninstallKB48910$ i tam jest ten oto plik :

Gdy próbowałem go usunąć poprzez Shift + Del pojawiło się coś takiego :

Później w okno Własne opcje skanowania / skrypt wkeliłem to o co poprosiłeś. Nie używałem trybu awaryjnego i o dziwo po restarcie komputera wszystko było w porządku. Oto log :

http://www.wklej.org/id/736791/

Oraz log ze Skanowania

http://wklej.org/id/736800/

spandaupol · 21 Kwiecień 2012 16:59

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum

Fedrix · 21 Kwiecień 2012 18:25

http://wklej.org/id/736895/

spandaupol · 22 Kwiecień 2012 09:06

Przez Shift+Del usuń cały folder C:\ _OTL opróżnij Kosz
Pobierz SetACL.exe http://sendfile.pl/157547/SetACL.exe umieść program w katalogu C:\windows
Wklej do notatnika:

Plik zapisz jako fix.txt Zachowaj na dysku *C:*

Start - Uruchom - wpisujesz cmd i Enter W linii komend wpisz

SetACL -on “C:\WINDOWS$NtUninstallKB48910$” -ot file -actn restore -bckp C:\fix.txt i Enter. Jeśli komenda się wykona bez błędów

Następna komenda

fsutil reparsepoint delete C:\WINDOWS$NtUninstallKB48910$ /C i Enter

Włącz pokazywanie ukrytych plików i folderów http://www.cybertrash.pl/Tata/Wiedza/Uk … ytych.html

Znajdź i następnie spróbuj usunąć folder C:\WINDOWS\ $NtUninstallKB48910$ przez Shift+Del Napisz czy się udało. Jeśli będą jakieś błędy pisz.

Jeśli się uda pobierz i wykonaj pełny skan KVRT http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jeśli program coś wykryje nic nie usuwaj tylko pokaż raport z wykrytych infekcji. Jeśli nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189

Fedrix · 22 Kwiecień 2012 17:21

OTl usunięty, SetACL pobrany i jest w katalogu c:\windows. Stworzyłem także plik fix.txt i umieściłem na dysku c.

Komendy :

Folder $NtUninstallKB48910$ został znaleziony i usunięty. Żaden problem nie wyskoczył.

Kaspersky wykrył 2 infekcje z tym, że dwie takie same tzn. ta sama lokalizacja

spandaupol · 23 Kwiecień 2012 08:33

Dobrze z perypetiami ale folder mamy z głowy Pierwszą komendę źle wpisałeś - brak "

Proszę na razie nic nie usuwać

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Skanuj pokaż nowy raport OTL.txt na forum