stanley50 Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Witam. Znajoma podrzuciła mi laptopa ponieważ avast blokuje jej dostęp do strony google, obawiam się że komputer jest zaśmiecony, bardzo długie skanowanie żeby wykonać logi i zawirusowany, na wstępie zainstalowałem Malwarebytes Anti-Malware i przeskanowałem nim lapka. Stąd moje przypuszczenia, nie wykonywałem żadnych akcji, tylko zobaczyłem że coś wykrył to kieruję proźbę o sprawdzenie stosownych logów które zamieszczam poniżej. Results of screen317's Security Check version 0.99.50 Windows XP Service Pack 2 x86 Out of date service pack!! Internet Explorer 6 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware wersja 1.62.0.1300 Java 7 Update 7 Adobe Flash Player 11.3.300.271 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox (15.0.1) ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbamgui.exe AVAST Software Avast AvastSvc.exe AVAST Software Avast avastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` gmer.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 GMER wskazuje, że w systemie siedzi rootkit Rloader: ---- Kernel code sections - GMER 1.0.15 ---- .text atapi.sys F74447B4 1 Byte [CC] {INT 3 } ---- Threads - GMER 1.0.15 ---- Thread System [4:336] 866F839FThread System [4:656] 85BD50F4 1. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a punktującego zainfekowany acpi.sys dobierz akcję Cure. Zresetuj system. Na dysku C powstanie log z usuwania. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Zwinky Toolbar. Otwórz Firefox i w Dodatkach odinstaluj Ask Toolbar for Firefox, Zwinky. 3. Uruchom AdwCleaner i zastosuj Delete. Na C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania TDSSKiller i AdwCleaner. . Odnośnik do komentarza
stanley50 Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 1.Zadania wykonane chyba poprawnie,podczas skanowania TDSSKillerem avast informował że niepotrzebne żadne działania, z TDSSKillera utworzyły się 2 logi.. 2.Podczas drugiego skanowania OTL włączył się Norton Security Scan i zaczął skanować, wcześniej nie zauwarzyłem że wogóle jest zainstalowany, wyłączyłem go w trakcie. 3.Komputer zaczoł dziwnie się achowywać, bardzo długo się uruchamia. AdwCleanerS1.txt TDSSKiller.2.8.8.0_10.09.2012_08.48.04_log.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Rootkit pomyślnie usunięty. Zostały do doczyszczenia odpadki adware i drobne korekty. 1. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found FF - prefs.js..browser.search.defaultenginename: "My Web Search" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=39804384-6E14-4DD2-AD77-21476B687155&n=77edc58d&ind=2012071309&id=ZJxpt134YYpl&ptnrS=ZJxpt134YYpl&searchfor=" :Files C:\WINDOWS\tasks\At*.job C:\Program Files\5qres.dll C:\Program Files\5qUninstall Zwinky.dll C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\olojfv7g.default\searchplugins\my-web-search.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Zrób nowy log OTL, ale go ogranicz, bo nie potrzebuję tak obszernego: tylko Rejestr ustaw na Użyj filtrowania, resztę na Brak + Żadne, klik w Skanuj. Dołącz log z wynikami usuwania OTL z punktu 2. 1.Zadania wykonane chyba poprawnie,podczas skanowania TDSSKillerem avast informował że niepotrzebne żadne działania, z TDSSKillera utworzyły się 2 logi.. Potrzebny tylko log z usuwania. Ten drugi (brak wykryć) jest mi niepotrzebny i usuwam ten załącznik. 2.Podczas drugiego skanowania OTL włączył się Norton Security Scan i zaczął skanować, wcześniej nie zauwarzyłem że wogóle jest zainstalowany, wyłączyłem go w trakcie. Ten skaner możesz odinstalować. On nie ma nawet zdolności usuwających. 3.Komputer zaczoł dziwnie się achowywać, bardzo długo się uruchamia. To pewnie skutek uboczny uruchomienia GMER, czyli degradacja transferu dysku z DMA do PIO. Instrukcje jak to sprawdzić: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Zwracasz uwagę na linię "bieżący tryb transferu". Jeśli będzie PIO, z prawokliku odinstaluj kanał i zresetuj system, a Windows przebuduje urządzenia. . Odnośnik do komentarza
stanley50 Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 Nie zdążyłem rano nic napisać bo laptop chodził jak żółw, myślałem że oszaleje a musiałem pilnie wyjechać. Po odinstalowaniu zbędników dość znaczna poprawa, ale jest problem z zastosowaniem skryptu podanego. Skrypt wykonuje się chyba częściowo i zatrzymuje się, pozostaje pulpit i tak bez reakcji. Trzykrotnie próbowałem i za każym razem tak samo. Log z OTL jaki się wygenerował po zamknięciu systemu przez alt/ctrl/del nie moge wysłać bo pisze że nie moge wysyłać tego typu plików, a jest to zwykły plik txt, drugi z krótkiego skanu dodaje. Skopiowałem zawartość tego pliku do nowego okna w notatniku i dało się wysłać OTL.Txt OTL wygenerowany przez wymuszone zamknięcie systemu.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 ale jest problem z zastosowaniem skryptu podanego. Skrypt wykonuje się chyba częściowo i zatrzymuje się, pozostaje pulpit i tak bez reakcji. Trzykrotnie próbowałem i za każym razem tak samo. Skrypt się jednak wykonał w istotnej partii. Nie zdążyłem rano nic napisać bo laptop chodził jak żółw, myślałem że oszaleje a musiałem pilnie wyjechać. Po odinstalowaniu zbędników dość znaczna poprawa Czy sprawdziłeś to: To pewnie skutek uboczny uruchomienia GMER, czyli degradacja transferu dysku z DMA do PIO. Instrukcje jak to sprawdzić: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Zwracasz uwagę na linię "bieżący tryb transferu". Jeśli będzie PIO, z prawokliku odinstaluj kanał i zresetuj system, a Windows przebuduje urządzenia. . Odnośnik do komentarza
stanley50 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Czy sprawdziłeś to: To pewnie skutek uboczny uruchomienia GMER, czyli degradacja transferu dysku z DMA do PIO. Instrukcje jak to sprawdzić: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Zwracasz uwagę na linię "bieżący tryb transferu". Jeśli będzie PIO, z prawokliku odinstaluj kanał i zresetuj system, a Windows przebuduje urządzenia. Tak sprawdziłem. było ustawione na PIO tak jak napisałaś, wykonałem odinstalowanie kanału i jest teraz DMA. Dziękuję bardzo za poświęcony czas i pomoc. Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 To nie koniec działań. 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine. 2. Czyszczenie folderów Przywracania systemu: KLIK. 3. Podstawowe aktualizacje: KLIK. Czyli tu konkretnie: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"KLiteCodecPack_is1" = K-Lite Codec Pack 3.8.5 Full"STANDARDR" = Microsoft Office Standard 2007 Trial ----> doinstalować SP3 4. Prewencyjna zmiana haseł logowania w serwisach. . Odnośnik do komentarza
stanley50 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Punkt 1 i 2 wykonane, natomiast jeżeli chodzi o punkt 3 to jak wspomniałem na początku nie jest to mój laptop i widze tu po nalepkach że pierwotnie zainstalowana była tu vista. Tak że ten xp jest chyba ........ bo powyłączane ma aktualizacje, próbowałem je włączyć ale nic się nie dzieje jak są włączone. Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Tak że ten xp jest chyba ........ bo powyłączane ma aktualizacje, próbowałem je włączyć ale nic się nie dzieje jak są włączone. XP SP2 jest wykluczony z aktualizacji. Musi zostać uzyskany poziom SP3, by Automatyczne aktualizacje coś dostarczyły. Zacznij od instalacji SP3 + IE8. . Odnośnik do komentarza
stanley50 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Dziękuję jeszcze raz, ale chyba moja rola a także siłą rzeczy i Twoja zakończy się w tym momencie. Jak znajoma usłyszała że komputer w miare działa to nie daje mi spokoju żeby go zabrać mimo ostrzeżeń że nie ma nawet podstawowej zapory i że strach z takim systemem niepewnym i dziurawym cokolwiek działać. Odnośnik do komentarza
Rekomendowane odpowiedzi