Witam.
Od paru dni zauważyłem ,że mój komputer wolniej chodzi.
Dlatego zamieszczam logi z OTL.
nie wiem czemu ,ale Extras.txt tym razem się nie pojawił : o
Witam.
Od paru dni zauważyłem ,że mój komputer wolniej chodzi.
Dlatego zamieszczam logi z OTL.
nie wiem czemu ,ale Extras.txt tym razem się nie pojawił : o
Możesz skorzystać z pomocy:
KillSwitch ( niebezpieczne procesy )
1.Pobierz CCE z http://forums.comodo.com/polski-polish/ … #msg572836
Rozpakuj pobrany zestaw --> np. D:\CCE.
W utworzonym folderze znajdziesz: Autoruns.exe, CCE.exe i KillSwitch.exe
Wyłącz zainstalowanego antywirusa. Jeżeli nasz zainstalowany CIS, wyłącz Defense+ i Zaporę.
Z podanego folderu D:\CCE uruchom KillSwitch.exe. KillSwitch zaznaczy wszystkie niebezpieczne procesy na czerwono.
Pojawi się główny ekran, u góry masz: KillSwitch, Options, View ,Tools, Users, Help
Rozwijasz polecenie KillSwitch / Kill All Unsafe Processess ( zabij wszystkie niebezpieczne procesy )
Listę procesów zaliczanych do niebezpiecznych ( czerwone ) możesz zobaczyć i usunąć z poziomu - VIEW / Hide Safe Processes.
Polecenie Delete na wskazany plik, program.
W menu Tools masz do wyboru: Autorun Analyzer, Quick Repair ( moduł szybkiej naprawy )…
Uruchamiasz Guick Repair. Pojawi się lista usług. Usługi wymagające naprawy ( changed ) zaznaczasz i aktywujesz Naprawę ( Repair )
Skanowanie CCE
Pobierz i rozpakuj skaner CCE, wersja odpowiednia do zainstalowanego systemu, z http://forums.comodo.com/polski-polish/ … #msg572836
Rozpakuj pobrany zestaw
W utworzonym folderze znajdziesz: Autoruns.exe, CCE.exe i KillSwitch.exe
Wyłącz zainstalowanego antywirusa. Jeżeli nasz zainstalowany CIS, wyłącz Defense+ i Zaporę.
Uruchom z utworzonego folderu CCE.exe.
Gdy są problemy z uruchomieniem, należy przytrzymać przycisk Shift i uruchomić CCE.exe
Otworzy się okno obsługi.
Przed uruchomieniem skanowania skaner wykona aktualizację bazy.
Najlepiej wykonać skanowanie w trybie Full Scan. Sposób postępowania został opisany na http://forums.comodo.com/polski-polish/ … #msg572836
Jeśli mamy problem z dokonaniem aktualizacji baz wirusów zawsze można pobrać je z tego adresu:
http://www.comodo.com/home/internet-sec … tabase.php
Teraz wystarczy przejść do programu CCE>Tools>Import Virus Database i zainstalować pobrany pakiet.
Reklamiarz Comodo zawsze czujny.
fejku
Masz wirusa Sality, więc użyj skanerów odpowiednich do usuwania tego typu infekcji.
Skanuj wszystkie partycje i lecz zainfekowane plik.
Kaspersky Virus Removal Tool 2011
usuwanie-znanych-wirusow-sality-itp-t370365.html
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (asc3360pr)
O4 - HKCU..\Run: [© Microsoft Real Time Media Stack] C:\Documents and Settings\Mirek\Ustawienia lokalne\Temp\System\mtvdemd.exe (Microsoft Corporation)
O4 - HKCU..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe File not found
[2009-07-12 14:58:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\13D4
[2009-06-20 13:05:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\16213
[2009-04-25 20:05:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\1D32C
[2009-05-03 19:30:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\283B9
[2009-06-20 13:01:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2B280
[2009-05-03 18:59:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2E251
[2009-07-05 14:28:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2E4E
[2009-06-19 14:33:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\32109
[2009-04-25 20:15:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\37186
[2009-07-05 14:43:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\383C8
[2009-06-19 14:53:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\391F4
[2009-04-25 19:43:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\6DA
[2009-04-25 20:31:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\9157
[2009-05-03 18:51:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\D34B
[2009-06-05 19:16:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\E9C
[2012-03-01 20:49:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Mirek\Dane aplikacji\1334
:Commands
[clearallrestorepoints]
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Gdy skanery nie będą wykrywać żadnych zainfekowanych plików to pokaż nowy log z OTL.
Z całym szacunkiem kolego Atis - CCE też sobie świetnie radzi z Sality. Nie osądzaj wg własnych kryteriów.
Użyj skryptu który podałem w poprzedniej odpowiedzi.
Później kliknij Skanuj i pokaż nowy log.
Przecież napisałem kliknij Skanuj i pokaż nowy log.
Z raportu wynika, że pliki zostały usunięte.
To były pliki od mIRC i WinFast i musisz ponownie zainstalować wymienione programy.
Pisze ,że 2 są usunięte ,a dwa niewyleczalne,tzn. że się usunęły te 4 ?
http://wklej.org/id/706001/ Ze skanowania. Przy okazji powiedz mi kiedy będę miał włączyć przywracanie systemu na wszystkich dyskach.
W raporcie Dr.WEB są ważne tylko pliki od mIRC i WinFast .
Pozostałe to folder od USBFIX który można całkowicie usunąć.
Sprawdź czy masz na dysku pliki:
C:\program files\winfast\wftvf\ wfwiz.exe
D:\Program Files\mIRCz\ mirc.exe
Jeżeli będą to przeskanuj tutaj:
W logu widać, że może być jeszcze keylogger związany z gra Tibia.
[2010-12-22 13:53:19 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\spdg.dll
Tego pliku nie mozna usunąć, bo nie uruchomisz systemu. Problem w tym, że infekuje ważny plik systemowy ws2_32.dll Brak lub uszkodzenie tego pliku uniemożliwia uruchomienie systemu. 1. Wklej do OTL i kliknij Wykonaj skrypt:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (SetupNTGLM7X)
DRV - File not found [Kernel | Boot | Stopped] -- -- (pleies)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (GGSAFERDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (anmdkm7m)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (abtllu15)
IE - HKU\S-1-5-21-329068152-616249376-682003330-1004\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - No CLSID value found
IE - HKU\S-1-5-21-329068152-616249376-682003330-1004\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-329068152-616249376-682003330-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=PF&o=15180&src=crm&q={searchTerms}&locale=&apn_ptnrs=RX&apn_dtid=YYYYYYYYPL&apn_uid=b67a31d3-cf36-4fc2-851a-c49e76ec8ac5&apn_sauid=2A5CE42E-EE30-43EF-8C11-3E263F4ED5FB
IE - HKU\S-1-5-21-329068152-616249376-682003330-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}
IE - HKU\S-1-5-21-329068152-616249376-682003330-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-329068152-616249376-682003330-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669
IE - HKU\S-1-5-21-329068152-616249376-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;127.0.0.1:9421;
[2012-03-09 18:36:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mirek\DoctorWeb
[2012-03-09 15:00:44 | 000,000,440 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for Mirek.job
[2012-03-06 10:42:08 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2012-03-01 20:49:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Mirek\Dane aplikacji\1334
[2009-07-12 14:58:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\13D4
[2009-06-20 13:05:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\16213
[2009-04-25 20:05:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\1D32C
[2009-05-03 19:30:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\283B9
[2009-06-20 13:01:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2B280
[2009-05-03 18:59:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2E251
[2009-07-05 14:28:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2E4E
[2009-06-19 14:33:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\32109
[2009-04-25 20:15:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\37186
[2009-07-05 14:43:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\383C8
[2009-06-19 14:53:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\391F4
[2009-04-25 19:43:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\6DA
[2009-04-25 20:31:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\9157
:Files
C:\USBFIX
C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\FullVersion.exe
C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\FastStart.exe
Wklej do OTL i kliknij Skanuj:
/md5start
ws2_32.dll
/md5stop
Pokaż log z OTL.
Log z usuwania - http://wklej.org/id/706053/
zaraz dodam z Skanowania.
log ze skanowania http://wklej.org/id/706072/
Wygląda na to, że plik ws2_32.dll jest prawidłowy, więc chyba nie został zainfekowany.
Poza tym nie widać w logu nic szkodliwego.
Usuń ten plik.
C:\WINDOWS\System32\spdg.dll
Później w OTL kliknij Sprzątanie.
Usuń stare punkty przywracania:
Mogę już włączyć przywracanie systemu na wszystkich dyskach ?
Tak możesz włączyć przywracanie.
Chociaż przywracanie dla dysków które nie są systemowe, to tylko marnowanie miejsca na dysku.
Wystarczy gdy włączysz tylko dla dysku systemowego.
Czy dobrze rozumiem ? Skoro wyłączyłem przywracanie systemu na dyskach wcześniej to teraz nie ma tych punktów prawda ?
Więc nie muszę już tego oczyszczać ?
Tak nie musisz usuwać starych punków, bo przywracanie było wyłączone.
Nie wiedziałem o tym, że zastosowałeś się do tej instrukcji usuwania Sality.
A więc.
Dziękuję Ci bardzo.