bosik1999 Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Elo! Znany już chyba wszystkim problem, dopadł i mnie. W trybie awaryjnym posłużyłem się combofixem i to wyleczyło kompa. Przeczytałem jednak na tym forum, że może to być pozorne. Dlatego też użyłem OTL i poniżej załączam logi. Proszę o pomoc. Komp wcześniej już był w kiepskiej kondycji i to się nie zmieniło. Objawy to: mulenie sieci i komputera podczas grania w sieci, zwiększone zużycie pamięci (SVhost) niektórych procesów itp. Podejrzewam jakieś trojany, ponieważ brat też korzysta z kompa i nie oszczędza go (instaluje jakieś toolbary, wbija na stronki z erotyką itd). log_ComboFix.txt extras.txt OTL.txt Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 ComboFix nie usunął wszystkiego, ponadto są odpadki adware. A log z OTL nie jest zrobiony z poziomu konta o uprawnieniach administracyjnych: Computer Name: USER-82A05D2F31 | User Name: user | NOT logged in as Administrator. To może oznaczać, że nie wszystko będzie możliwe do usunięcia z poziomu tego konta. Zobaczymy. Wykonaj następujące czynności: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-507921405-764733703-1801674531-1004\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found IE - HKU\S-1-5-21-507921405-764733703-1801674531-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111366&tt=010712_3&babsrc=SP_ss&mntrId=a0bf112800000000000000218519fe31" IE - HKU\S-1-5-21-507921405-764733703-1801674531-1004\..\SearchScopes\{5B54A900-A847-453C-83DB-5041A8F8F847}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=bfe73421-4583-41d8-bf72-88949002435c&apn_sauid=CDF08D57-CA41-4BD3-A436-3DF8AA28A32D" IE - HKU\S-1-5-21-507921405-764733703-1801674531-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O3 - HKU\S-1-5-21-507921405-764733703-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKU\S-1-5-21-507921405-764733703-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-507921405-764733703-1801674531-1004..\Run: [kiayblgwwykagam] C:\Documents and Settings\All Users\Dane aplikacji\kiayblgw.exe File not found O4 - HKU\S-1-5-21-507921405-764733703-1801674531-1004..\Run: [vkmbsemfgssrjiz] C:\Documents and Settings\All Users\Dane aplikacji\vkmbsemf.exe File not found [2012-09-01 22:21:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\rfeynukiwptbvyt [2012-09-01 22:21:22 | 000,078,101 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\urytcpsvgwgaixf [2012-07-05 13:05:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\gnejcivkbnlypjv [2012-07-05 16:43:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate [2012-07-05 08:05:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\user\Dane aplikacji\Babylon [2012-07-05 16:43:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\user\Dane aplikacji\BabylonToolbar [2012-07-05 16:43:24 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\j1xz6nri.default\extensions\ffxtlbr@babylon.com :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 2. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 2. . Odnośnik do komentarza
bosik1999 Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 Skrypt wykonany z konta bez uprawnień, AdwCleaner i scan OTL jest zrobiony z poziomu konta o uprawnieniach administracyjnych. Computer Name: USER-82A05D2F31 | User Name: Instal | Logged in as Administrator. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Września 2012 Zgłoś Udostępnij Opublikowano 4 Września 2012 Ocena odbywała się na temat konta "user" i z jego poziomu miały być wykonane wszystkie operacje. Log z OTL także miał pochodzić z tego konta, bo były usuwane wpisy relatywne do konta. Rejestry kont są zupełnie różne, rejestr jednego konta nie jest widzialny z poziomu innego konta i vice versa. 1. Powtórz uruchomienie AdwCleaner na koncie "user". 2. Pro forma dodaj nowy log OTL z opcji Skanuj z tegoż konta. . Odnośnik do komentarza
bosik1999 Opublikowano 7 Września 2012 Autor Zgłoś Udostępnij Opublikowano 7 Września 2012 Dziękuje. Oto logi. Wszystkie operacje wykonane z poziomu konta "user" (po tym jak nadałem mu uprawnienia administracyjne). AdwCleanerS2.txt OTL.txt Odnośnik do komentarza
picasso Opublikowano 8 Września 2012 Zgłoś Udostępnij Opublikowano 8 Września 2012 Zrobione. Przejdź do tej części: 1. Odinstaluj ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: C:\ComboFix.exe /uninstall Następnie w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 5.0.61118.0"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox i pochodnych)"Aurora 15.0a2 (x86 pl)" = Aurora 15.0a2 (x86 pl) . Odnośnik do komentarza
Rekomendowane odpowiedzi