tigeros3

Załączone pliki

FRST.txt

Fixlog.txt

Addition.txt

Odinstalowałem:

 

J2SE Runtime Environment 5.0 Update 10 (Version: 1.5.0.100)

Japanese Fonts Support For Adobe Reader 9 (Version: 9.0.0)

Java™ 6 Update 31 (Version: 6.0.310)

Mozilla Firefox 21.0 (x86 pl) (Version: 21.0)

OpenOffice.org 3.1 (Version: 3.1.9399)

Skype™ 4.0 (Version: 4.0.226)

 

plus wszystkie produkty IObit

 

Chciałbym zainstalować najnowsze wersje Mozilla, OpenOffice, Skype. Które są najbardziej stabilne ?

Fixlog.txt

FRST.txt

Logi:

AdwCleanerR1.txt

AdwCleanerS2.txt

Addition.txt

FRST.txt

Logi:

FRST.txt

Fixlog.txt

Witam,

 

Szanowna Picasso

 

Mój komputer został ponownie zaatakowany przez tzw,, policyjny wirus,, . Udało mi się go dezaktywować przy pomocy Combofix-a

 

Następnie, odinstalowałem Combofix-a, ale pewnie zostało kilka rzeczy do poprawek - zaśmiecony system adware etc, etc. , gdyż mój komputer nie pracuje stabilnie, a procesor ciągle działa powyżej normy

 

Ponadto pojawił się problem, gdyż mój komputer wyłącza się bez przyczyny podczas normalnej pracy. Nie wiem czy jest to wina przegrzewania się procesora (sprzęt ma blokadę, która podczas przegrzewania procesora lub karty grafiki wyłącza wszystko), ale nie dawno był komputer w serwisie i układ chłodzenia był serwisowany. Może jest to jakiś problem z dyskiem lub działanie jakiegoś podejrzanego programu. Problem występuje szczególnie podczas odtwarzania plików video o wysokiej rozdzielczości Proszę o konsultację, także w tej kwestii.

 

Proszę o analizę załączników i skrypt naprawczy do OTL-a

 

W załączeniu:

 

1. Raport po użyciu ComboFix

2. Raport po odinstalowaniiu ComboFix

3. Raport OTL po skanowaniu

4. Raport FRST po skanowaniu

5. Informacje o systemie

 

Pozdrawiam

Mariusz

 

 

Log z GMERA

 

GMER 2.1.19163 - http://www.gmer.net

Rootkit quick scan 2013-09-22 10:44:26

Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD2500BEVT-75ZCT2 rev.11.01A11 232,89GB

Running: gmer.exe; Driver: C:\Users\Mariusz\AppData\Local\Temp\pwdiifod.sys

 

 

---- System - GMER 2.1 ----

 

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x93C99E00]

Code A0398BFC ZwTraceEvent

Code A0398BFB NtTraceEvent

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

 

---- Devices - GMER 2.1 ----

 

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 873B91F8

Device \Driver\atapi \Device\Ide\IdePort0 873B91F8

Device \Driver\atapi \Device\Ide\IdePort1 873B91F8

Device \Driver\atapi \Device\Ide\IdePort2 873B91F8

Device \Driver\atapi \Device\Ide\IdePort3 873B91F8

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 873B91F8

Device \Driver\msahci \Device\Ide\PciIde0Channel0 873BA1F8

Device \Driver\msahci \Device\Ide\PciIde0Channel1 873BA1F8

Device \Driver\msahci \Device\Ide\PciIde0Channel4 873BA1F8

Device \Driver\msahci \Device\Ide\PciIde0Channel5 873BA1F8

Device \Driver\adsxw5pq \Device\Scsi\adsxw5pq1 8922A1F8

Device \Driver\adsxw5pq \Device\Scsi\adsxw5pq1Port5Path0Target0Lun0 8922A1F8

Device aswSP.SYS (avast! self protection module/AVAST Software)

Device 873BB1F8

Device Ntfs.sys (Sterownik systemu plików NT/Microsoft Corporation)

Device 8A87F1F8

Device fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)

 

AttachedDevice fltmgr.sys (Menedżer filtrów systemu plików firmy Microsoft/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp aswFW.SYS (avast! Filtering TDI driver/AVAST Software)

AttachedDevice \Driver\tdx \Device\Udp aswFW.SYS (avast! Filtering TDI driver/AVAST Software)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Aparat wykonawczy struktury sterowników trybu jądra/Microsoft Corporation)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Aparat wykonawczy struktury sterowników trybu jądra/Microsoft Corporation)

 

---- EOF - GMER 2.1 ----

Combofix - raport 1.txt

ComboFix - raport 2.txt

FRST - raport 1.txt

FRST - raport 2.txt

OTL - raport.Txt

Wersja systemowa.txt

Witam ponownie,

 

Wcześniej CMD nie zostało zastartowane przez opcję Uruchom jako Administrator

 

 

Uruchomiłem CMD jako admiistrator i wkleiłem polecenia:

regsvr32 vbscript.dll

regsvr32 jscript.dll

regsvr32 scrrun.dll

regsvr32 msxm13.dll

 

Wyskoczyły 3 komunikaty potwierdzające wykonanie o treści:

RegSvr32: Funkcja DIIRegisterServer w vbscript.dll powiodła się.

RegSvr32: Funkcja DIIRegisterServer w scrrun.dll powiodła się.

RegSvr32: Funkcja DIIRegisterServer w jscript.dll powiodła się.

 

 

Po przerejestrowanu plików i ponownym uruchomieniu komputera nadal występował problem z kalendarzem vista

 

Wykonałem skan dodatkowy przy pomocy System Look (raport w załączniku)

 

 

 

Pozdrawiam

SystemLook.txt

Witam ponownie,

 

Po wklejeniu w CMD komunikatu o treści:

 

regsvr32 vbscript.dll

regsvr32 jscript.dll

regsvr32 scrrun.dll

regsvr32 msxm13.dll

 

pojawia się tylko komunikat: ,,Funkcja DIIRegisterServer w vbscript.dll powiodła się,, , a następnie wyskakuje komunikat RegSvr32 o treści: ,,Moduł jscript.dll został załadowany, ale wywołanie funkcji DIIRegisterServer nie powiodło się i został zwrócony kod błędu 0x80004005. Aby uzyskać więcej informacji dotyczących tego problemu przeprowadź wyszukiwanie w trybie online używając kodu błędu jako wyszukiwanego terminu,,

 

 

Niestety problem z widocznym pomarańczowym polem w funkcji Kalendarz paska bocznego Windows Vista nie zniknął

 

 

Odinstalowałem ESET SMART SECURITY, a zamiast niego zainstalowałem tylko Avast Free Antyvirus 7.0.1473.755 i piaskownicę wirtualną do bezpiecznego surfowania - SandBoxie

 

Odnośnie problemów z nierozpoznawanych lub zle rozpoznawanych urządzeń zewnętrzych to wyjęcie baterii i zostawienie lapka w spoczynku (odcięcie zasilania na włączonym kompie ) nie rozwiązuje problemu.

 

 

Pozdrawiam

Witam ponownie,

 

Kroki podjęte przeze mnie:

 

1. Próbowałem rozwiązać problem z paskiem bocznym Vista automatycznie poprzez użycie linkowanego w artykule KB949149 narzędzia Fix-it, którego zadaniem jest automatyczne przerejestrowanie wymaganych plików skryptowych - scripten.exe. Zarówno próba instalacji w wersji: Windows Script 5.7 for Windows XP, jak i w wersji: Windows Script 5.7 for Windows 2000 (odpowiednika dla Windows Vista nie znalazłem) podczas próby instalacji pojawia się tylko na ekranie komunikat o treści: ,,Setup Error - W magazynie brak miejsca dla wykonania tego polecenia. Installation did not complete,, Następnie po restarcie problem z widocznym pomarańczowym polem w funkcji Kalendarz paska bocznego Windows Vista nie zniknął

 

2. Próbowałem rozwiązać problem ręcznie poprzez CMD, ale po wpisaniu:

C: Windows32system32regsvr32 vbscript .dll

C:Windows32system32regsvr32 jscript .dll

C:Windows32system32regsvr32 scrrun .dll

C:Windows32system32regsvr32 msxm13 .dll

 

(sory za brak znaków scecjalnych, ale tu nie mogę wkleić tekstu)

 

 

Pojawia się tylko w CMD komunikat o treści:

,,C Windows system32 nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy,,

 

 

3. Zainstalowałem: FireFox 17.0.1, Google Chrome, ESET SMART SECURITY 5 2012, avast Free Antyvirus 7.0.1473.755 (Avast w opcji instalacji w trybie kompatybilności z ESET-Avast ma stanowić drugą linię obrony). Niestety po instalacji tych programów nie mogłem uruchomić komunikatora GG 10. Zainstalowałem GG w starszej podstawowej wersji i działa normalnie, ale przy próbie aktualizacji do najnowszej dostępnej wersji GG pojawia się komunikat o treści: ,,Nie można znaleść aparatu skryptów VBScript dla skryptu C users Mariusz App Data Local Temp nsq174tmpsilent.vbs,,

 

4. Odnośnie problemów z nierozpoznawanych lub zle rozpoznawanych urządzeń zewnętrzych to nie mogę wyłączyć komputera (odcięcie od zasilania) i zostawić na kilkanaście minut w stanie wyłączonym, a po tym włączyć go ponownie gdyż laptop przęłącza się automatycznie na zasilanie z baterii, a gdy ta jest na wyczerpaniu to przechodzi automatycznie w tryb uśpienia (ale to jest mój najmniejszy i marginalny problem)

 

 

Proszę o dalsze wskazówki

 

 

Pozdrawiam

Witam ponownie,

 

 

Kroki jakie podjąłem:

 

1. Wkleiłem do notatnika przygotowany dla mnie unikatowy skrypt;

2. Ustawiłem rozszerzenie na wszystkie pliki i zapisałem jako FIX.REG, a następnie użyłem opcji SCAL i potwierdziłem import do rejestru. Po restarcie zniknął problem z blokowaniem autoodtwarzania (widać ikony Play, TOSHIBA itd, działa już funkcja wykrywania sprzętu IDT HD sound tzn. po włożeniu jacka do gniazda słuchwek w zależności od podłączonego sprzętu mogę wybrać odpowiednie dla niego ustawienia)

 

 

Co do programów, które musiałem przeinstalować, gdyż przestały działać to był to: Euro Truck Simulator

 

 

Co do problemów z działaniem klawiszy funkcyjnych to sprawdzałem trochę w BIOS i klawisze funkcyjne działają, ale nie wyświetla się czynność na ekranie (chodzi o to żeby było widać te paski od ściszania na ekranie, informacje o baterii - odpowiednio pod klawiszami: F2,F3 itd

Wiem, że sterownik odpowiedzialny za wyświetlanie takich informacji na ekranie powinien mieć w nazwie OSD (On-screen display), ale nie mogę go znaleść w gąszczu strowników dołączonych do sprzętu od producenta

 

Postaram się zaaktualizować wszystkie sterowniki do najnowszych dostępnych na stronie głównej producenta DELL (znamionowe po Tag-u dla mojego sprzętu). Być może zainstalowanie oprogramowania DELL CONTROL POINT coś pomoże w tej kwestii. Zastanawiam się tylko nad faktem, dlaczego przed użyciem ComboFix klawisze funkcyjne działyły, a po użyciu już nie wyświetlają swoich funkcji.

 

3. Odinstalowałem Uniblue DriverScanner

 

4. Wykonałem nowy LOG

 

 

 

Obecnie mam problem z :

- wyświetlaniem funkcji klawiszy funkcyjnych, o których mowa j.w w opisie;

- z paskiem bocznym systemu Windows Vista Basic (w funkcji kalendarz nie wyświetla się fizycznie kalendarz, lecz tylko puste pomarańczowe pole bez żadnych znaków, a przeinstalowanie nic nie poprawia w tej kwestii;

- nie wiem jak poprawnie odinstalować ComboFix;

- zewnętrzym modułem łączności bezprzewodowej Bluetooth (za każdym razem podczas uruchamiania sprzętu wyskakuje komunikat o treści: ,, System Windows musi zainstalować oprogramowanie sterownika dla urządzenia Bluetooth Peripheral Device,, i podczas wyboru opcji Odszukaj i zainstaluj oprogramowanie sterownika (zalecane) to odpowiedzialnego sterownika system Windows niestety nie wykrywa. Dla tego podczas każdego uruchamiania systemu muszę używać opcji Zapytaj ponownie póżniej. Dodam iż produce sprzętu modułu Bluetooth (na USB) sterowników nie dostarzył osobno do urządzenia - miały być one Plug and play,

- zastanawiam się nad użyciem funkcji Przywracania systemu po poprawnym odinstlowaniu Combofix.

 

 

 

Proszę o dalsze wskazówki, a także o pomoc z punktu widzenia Eksperta przy doborze stabilnej i bezpiecznej przeglądarki internetowej oraz oprogramowania antywirusowego - coś godnego zaufania (gdyż pozbyłem się Mozilla oraz Avast)

 

 

 

Pozdrawiam

OTL.Txt

Witam ponownie,

 

 

Tak jak wcześniej opisywałem po zainfekowaniu i zablokowaniu dostępu do komputera użyłem programu ComboFix (program był instalowany z pamięci przenośnej, a instalka nie była fizycznie na dysku C z partycją systemową). Po zakończeniu pracy Combofixa w moim lapku: Dell Studio 1555 T4200 przestały działać klawisze funkcyjne - po naciśnięciu klawisza nie ma reakcji na ekranie (nie widać żadne ikonki odpowiedzialnej za daną funkcę jak . wskaznik naładowania baterii, jasność, głośność, itp. Dodam, iż w tym modelu klawisze funkcyjne odpowiedzialne są za sterownie odtwarzaczem multimediów. W BIOS-ie można ustawić działanie tych klawiszy (ale nie wiem dokładnie jak to zrobić, aby czegoś bardziej nie zepsuć)

 

 

 

Link: http://support.dell..../H103KA00MR.pdf

 

 

Co do zniknięcia plików rozruchowych, to po użyciu Combofixa znikneły mi ikonki z : Stacja dysków CD-Play Online, a po restarcie systemu modem nie ma funkcji autostartu, jak było to wcześniej. Również jeden z dysków zewnętrznych TOSHIBA zmienił nazwę na: USB-HDD (N) i również nie wyświetla swojej zawartości po restarcie komputera (nie działa funkcja autostartu). Do działania muszę używać funkcji ręcznego inicjowania. Również niektóre z zainstalowanych programów musiałem przeinstalować, gdyż po użyciu Combofix przestały działać

 

Nie udało mi się odinstalować Uniblue DriverScanner, nie mogę tego znaleść w Panelu sterowania i nie mam pojęcia gdzie to jest;

 

Udało mi się skasować część plików z folderu C: / Qoobox (pliki Combofixa) ya pomoc' programu Advenced Szstem Care 5/Toolbox/File Schredder, ale dalej yostaje jeden folder na C o nazwie: BackEnv zawarty w folderze Qoobox, którego nie udało mi się usunąć. Również funkcja Uruchom: ComboFix /u nie daje odinstalowani programu Combofix i nie wiem jak to poprawnie i skutecznie wykonać. Proszę Pisasso o dalsze wskazówki

 

 

Kroki jakie wykonałem:

 

1. Odinstalowałem FormatFactory 2.70, K-Life Codex Pack 6.2.0 (Basic), Vista Codec Package. Komunikat "Program COM Surrogate przestał działać' już się nie pojawia i nie występuje problem z blokowaniem odtwarzania;

 

2. Zainstalowałem najnowszy K-Life Basic

 

3. Odinstalowałem stary Avast 4.8

 

4. W trybie awaryjnym poprawiłem odinstalowania Avasta za pomocą Avast Uninstall Utility

 

5. Poprzez Panel sterowania odinstalowałem adware.

 

6. Wykonałem kopie za pomocą MozBackup (z Mozlilii)

 

7. Odinstalowałem Firefox 3.5.19

 

8. Uruchomiłem OTL i w sekcji Własne opcje skanowania / skrypt wkleiłem przygotowany dla mnie unikatowy skrypt;

 

9. Uruchomiłem AdwCleaner i użyłem opcji Delete;

 

10. Wykonałem nowy log OTL

AdwCleanerS1.txt

OTL.Txt

Witam,

 

Podczas przeglądania stron www niespodziewanie mój program antywirusowy Avast Home Profesionall 4.8 wysłał ostrześenie o możliwości ataku, a chwilę póżniej wyświetliła się tylko strona z komunikatem (działanie komputera zostało zablokowane przez stronę Departament sprawiedliwości - do odblokowania zapłać 300 zł etc, Podczas zaistniałego zdarzenia nagle została uruchomiona (bez mojej ingerencji) kamerka internetowa w moim laptopie, tak jak by ktoś chciał mnie obesrwować

 

W celu eliminacji zagrożenia wykonałem następujące czynności :

1. Restart komputera (komputer uruchomił się normalnie, ale problem z wyskoczeniem stronki j.w ,, haracz 300 zł,, nastąpił zaraz po połączeniu się ponownie z netem;

2. Ponowny restart kopmutera - komuter nie chiał się już uruchomić;

3. Użycie opcji przywracania systemu;

4. Zainstalowanie programu Combofix i zeskanowanie systemu (podczas skanowania Combofixem wyłączyłem Avasta na czas skanowania, ale nie odłączyłem sterowników napędów zewnętrznych (nie wiedziałem jak, gdyż nigdy tego nie robiłem)

5. Po zakończeniu działania Combofixa, komputer nie jest blokowany przez stronkę j.w w opisie, ale pojawiły się problemy w postaci zniknięcia plików rozruchowych exe do dysków zewnętrzych, ikonki niektórych programów znikneły, system nie rozpoznaje dysków, które rozpoznawał wcześniej, wyskakuje komunikat podczas przeglądania plików video o trześci ,, Program COM Surrogate przestał działać,,, który blokuje odtwarzanie plików video

 

 

W załączeniu wysyłam raporty:

ComboFix.txt

Extras.Txt

OTL.Txt

Dane Systemowe.Txt

 

 

 

 

Proszę o pomoc w analizie raportów i pomoc w rozwiązaniu problemu

ComboFix.txt

Extras.Txt

OTL.Txt

Wersja systemu Windows.txt