Landuss

W logach nie ma śladu aktywnej infekcji. To co pokazuje Spybot nic nie mówi, to tylko potwierdza, że był restart zaś nie wskazuje winowajcy. Takie coś sprawdza się dzięki zrzutom pamięci tak jak w punkcie 5 w tym temacie: KLIK

Zabrakło podstawowego loga z OTL (otl.txt). Uzupełnij to bo bez tego nie ruszymy.

Zacznij od zastosowania ComboFix i wklej wynikowy log.

Masz infekcje z mediów przenośnych. Wymagane logi.

1. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

2. Wykonaj i zaprezentuj logi z OTL + GMER

Tak jak mówie to od Ciebie zależy. Ja osobiście firewalli nie używam. Jeżeli rozsądnie korzystasz z sieci to tak naprawde antywirus wystarczy.

To od Ciebie zależy, ale jeśli się zdecydujesz na firewall to ja polecam Online Armor Free

Infekcja pomyślnie usunięta. Wykonaj na koniec:

1. Użyj opcji Sprzątanie z OTL.

2. Skan za pomocą Malwarebytes Anti-Malware, który usunie szczątki.

3. Zaktualizuj przeglądarkę do wersji Internet Explorer 8 bo to podstawa.

Tak na przyszłość serwis wklejto też nie jest zbyt akceptowany przez nas ponieważ często ucina logi. Lepszym rozwiązaniem tego typu jest serwis wklej.org.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\winlog\winlogon.exe (UeBcuIZrJxJKwLl)
O4 - HKU\S-1-5-21-1844237615-1326574676-682003330-1003..\Run: [HKCU] C:\WINDOWS\system32\winlog\winlogon.exe (UeBcuIZrJxJKwLl)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\winlog\winlogon.exe (UeBcuIZrJxJKwLl)
O33 - MountPoints2\{caac394e-9404-11df-bb58-0021851c855d}\Shell\AutoRun\command - "" = ba.exe
O33 - MountPoints2\{caac394e-9404-11df-bb58-0021851c855d}\Shell\open\Command - "" = ba.exe
 
:Files
C:\WINDOWS\system32\winlog
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To oczywiście infekcja, ale zanim zaczniemy działać wklej jeszcze brakujący log z GMER

Takie jest moje zdanie ponieważ sam mam/miałem do czynienia z tymi programami.

A powiecie mi jakie programy podczas startu powyłączać i jaki jest najlepszy program do defragmentacji dysku?

Częściowo zbędniki ci już usunąłem w skrypcie, ale jeszcze troche mozna wyłączyć z tym, że nie wiem co chcesz tam zostawić. Niektóre rzeczy są potrzebne i nie będziemy ich ruszać.

Przykładowo możesz wyłączyć z autostartu te pozycje bezpiecznie:

O4 - HKLM..\Run: [Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe ()

O4 - HKU\S-1-5-21-602162358-1563985344-1708537768-1006..\Run: [Odkurzacz-MCD] C:\Odkurzacz\odk_mcd.exe (Franmo Software)

O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Picture Package Menu.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe (Sony Corporation)

O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Picture Package VCD Maker.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe (Sony Corporation.)

To nie musi startować z systemem natomiast reszty nie jestem pewny. Takie rzeczy trzeba sprawdzać samemu czy wyłączenie nie przynosi skutku ubocznego.

Jeśli chodzi o defragmentacje to najlepiej komercyjny PerfectDisk zaś z darmowych polecam Puran Defrag Free Edition

W logach nie widać śladu aktywnej infekcji. Zrobimy jednak skrypt usuwający zbędniki i drobne śmieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)
O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
O3 - HKU\S-1-5-21-602162358-1563985344-1708537768-1006\..\Toolbar\ShellBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)
O3 - HKU\S-1-5-21-602162358-1563985344-1708537768-1006\..\Toolbar\ShellBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
O3 - HKU\S-1-5-21-602162358-1563985344-1708537768-1006\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)
O3 - HKU\S-1-5-21-602162358-1563985344-1708537768-1006\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKU\S-1-5-21-602162358-1563985344-1708537768-1006..\Run: [CubeDesktop]  File not found
O4 - HKU\S-1-5-21-602162358-1563985344-1708537768-1006..\Run: [Komunikator] D:\Tlen.pl\tlen.exe File not found
O4 - HKU\S-1-5-21-602162358-1563985344-1708537768-1006..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O33 - MountPoints2\{0b5e36a0-5138-11dc-94e7-de4752579ce4}\Shell\Open(&0)\command - "" = H:\Recycled\ctfmon.exe -- File not found
[2010-01-29 13:43:12 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Nowych logów nie musisz pokazywać.

2. Z poziomu panelu sterowania >>> dodaj/usuń programy odinstaluj śmieci Ask Toolbar / My Global Search Bar

3. Aktualizacja oprogramowania Adobe Reader, Ad aware Free, Internet Explorer: INSTRUKCJE.

Celowo pomijam SP3 bo z tego co wiem robisz to celowo.

.

Alternatywnie dla usunięcia ComboFix możesz skorzystać z OTC.

Bluescreen to może był z powodu Gmera. Według loga ComboFix skasował sterownik rootkita i więcej nie widzę tu nic szkodliwego.

Odinstaluj ComboFix poprzez wejście w W Start > w polu szukania wpisz Uruchom i wywołaj polecenie "c:\users\Agnieszka\Desktop\ComboFix.exe" /uninstall

Podsumuj czy system normalnie się uruchamia i czy jest jeszcze jakiś problem.

Spotkałem się z tym kiedyś i tutaj mogą być różne warianty. Najczęstsze to zbanowanie klienta lub blokada przez oprogramowanie zabezpieczające - antywirus lub firewall.

Do całkowitego usuwania sterowników posłuż się narzędziem Driver Sweeper. Dopiero później wgraj prawidłowo sterowniki.

Konkretnie nie dowiedziałem się od czego ten .DLL ale jeśli nie będzie skutków ubocznych to nie powinieneś się przejmować. Poza tym system mógł to już przywrócić jeśli będzie potrzebne.

Log z Gmer czysty i wygląda na to, że pomyślnie usunąłeś infekcje.

W logach nie ma śladu aktywnej infekcji więc prawdopodobnie wszystko zostało usunięte. Generalnie nie ma tu nic do roboty bo oprogramowanie też masz widzę aktualne.

Myślałem, że to wszystko, ale przy przeglądaniu autoruns'a zauważyłem c:\windows\system32\LMRTREND.dll usunąłem plik i wywaliłem z

 

HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance

Tego to akurat nie powinieneś ruszać bo to nie ma związku z infekcją.

Logi wyglądają na czyste, ale trzeba jeszcze wykonać parę rzeczy dla pewności.

1. Start > Uruchom > regedit i w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Dwuklik na wartość Startup i zamieniasz ciągi wklepując %USERPROFILE%\Menu Start\Programy\Autostart

2. Sporządź log z Gmer na takim ustawieniu:

Rootkit >>> zaznaczyć tylko Usługi >>> zaznaczyć Pokaż wszystko >>> Szukaj >>> Zapisz

Tu nadal jest rootkit według OTL. Skoro system działa prosze użyć teraz narzędzia ComboFix i wkleić wynikowy log. Wklej też log z GMER na okoliczność właśnie rootkitów.

Usunięte to co miało być i więcej nic tu nie widać bo logi czyste. Użyj opcji Sprzątanie (CleanUp) z OTL.

Pytanie jak z wyłączaniem komputera?

Poza tym jeszcze możesz pozbyć się Hamachi:

DRV - [2010-02-03 15:56:56 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)

Często wpływa niezdrowo na system tak jak w tym temacie: KLIK.

.

Msconfig rzeczywiście nie ma. Pobierz oryginał pod XP SP2 zgodny z Twoim systemem: KLIK, a następnie msconfig.exe ulokuj w ścieżce C:\WINDOWS\PCHealth\HelpCtr\Binaries.

Odinstalowałbym też na próbę pakiet CIS aby sprawdzić czy on tu nie ma jakiegoś negatywnego wpływu.

W kwestii zrzutów to jeden wykazuje restart przez Gmer (jego sterownik) i to nieistotne, natomiast dwa pozostałe sugerują sterownik powiązany z USB więc tutaj mogą być jakieś okoliczności sprzętowe.

Logi czyste więc nic tu nie ma.

Wygląda na to, że jest to jakaś infekcja i to usuniemy.

Sporządź taki skrypt do OTL:

:OTL
O4 - HKU\S-1-5-21-1606980848-308236825-839522115-1004..\Run: [diagnistic] C:\WINDOWS\diagnistic.exe ()
 
:Files
C:\WINDOWS\diagnistic.exe
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

Dalej wiesz co robić. Po wszystkim zaprezentuj nowe logi. Na Gmera czekamy.

a i jeszcze sporadycznie mam problemy z wyłączaniem kompa bo pisze Trwa zamykanie systemu windows i zwiecha dałem mu aż 6 godzin czasu i dalej tylko tamto czasami się wyłączyć uda ale to żadko ;/

W celu ewentualnego naprawienia tego problemu spróbuj użyć User Profile Hive Cleanup Service

Nie działa msconfig, jest komunikat: System windows nie może odnaleźć pliku msconfig. upewnij się że nazwa jest poprawna i spróbuj ponownie.

W kwestii msconfig sprawdźmy czy rzeczywiście go nie ma. Uruchom SystemLook, w oknie wklej poniższy tekst:

:filefind
msconfig.exe

Kliknij w Look i czekaj na raport. Wklej go do posta.

Dosyć często komputer się restartuje.

W kwestii restartów zaprezentuj najnowsze zrzuty pamięci według punktu 5 z tego tematu: KLIK