Spowolnienie działania kompa - Brontok

[olczak]

Witam

 

Ponownie mam problem z wirusem Brontok. Wcześniej miałem go na innym komputerze ale został odwirusowany za pomocą rad na tym forum. Dokładnie chodzi o komputer z tego tematu:

 

http://www.fixitpc.p...3869#entry83869

 

Teraz mam podobny problem na drugim komputerze. Wolno działa. Zniknęły mi Opcje folderów z Narzędzi.

KAspersky wykrył jakieś pliki zawirusowane Brontok ale jeszcze nie skończył skanować Póżniej załączę log.

Deamona wyłączyłem za pomocą programy Deffoger

 

Proszę o sprawdzenie logów.

OTL.Txt

Extras.Txt

gmer.txt

kaspersky.txt

[Landuss]

Rzeczywiście tutaj też masz Brontoka.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [unavailable | Unknown] --  -- (SQLAgent$PINNACLESYS)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\Wbutton.sys -- (Wbutton)
DRV - File not found [Kernel | System | Stopped] --  -- (mailKmd)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass)
DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\BurnInTest\DirectIo32.sys -- (DIRECTIO)
DRV - File not found [Kernel | System | Stopped] --  -- (cdrbsvsd)
IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1"
IE - HKU\.DEFAULT\..\SearchScopes\{102D08FE-6AE9-4D7E-A8A8-3644DE18941C}: "URL" = "http://www.dealio.com/products.html?kwd={searchTerms}"
IE - HKU\S-1-5-18\..\SearchScopes\{102D08FE-6AE9-4D7E-A8A8-3644DE18941C}: "URL" = "http://www.dealio.com/products.html?kwd={searchTerms}"
IE - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120429&user_guid=EBD3B18855CD460199D400371D843A70&machine_id=6f9ed062996d4bb8d1830d015c127a74&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}"
IE - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=153319d4000000000000000ae4e11e16"
IE - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=3FC456FB-EE7B-46F1-8710-E198706F3AD9&apn_sauid=2CF1A091-A3AB-4CA6-ACB9-F3904ECF4DA4"
IE - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\..\SearchScopes\{C60930BD-F52E-4879-8609-32C414A6DD93}: "URL" = "http://www.dealio.com/products.html?kwd={searchTerms}"
IE - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1"
O3 - HKLM\..\Toolbar: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found.
O3 - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run:  = 1
O7 - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-2794341004-2308174378-3807644408-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
 
:Files
C:\Documents and Settings\Cezar\Ustawienia lokalne\Dane aplikacji\winlogon.exe
C:\Documents and Settings\Cezar\Ustawienia lokalne\Dane aplikacji\services.exe
C:\Documents and Settings\Cezar\Ustawienia lokalne\Dane aplikacji\lsass.exe
C:\Documents and Settings\Cezar\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
C:\Documents and Settings\Cezar\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
 
:Reg
[HKEY_USERS\S-1-5-21-2794341004-2308174378-3807644408-1005\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Complitly / MyAshampoo Toolbar / StartNow Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[olczak]

Logi:

10192012_232811.txt

AdwCleanerS1.txt

OTL.Txt

[Landuss]

Skrypt pomyślnie wykonany. Przejdź do finalizacji:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Przeskanuj się na koniec za pomocą Kaspersky Virus Removal Tool

 

Pozostaje twoja ocena jak się zachowuje system.

[olczak]

Mam problem z punktem nr 2. Nie mogę wyłączyć przywracania systemu bo opcja jest nieaktywna. W nawiasie napisane jest - Wyłączone przez zasady grupy.

 

Oczyściłem przywracanie systemu przez Oczyszczanie dysku ale tam jest napisane, że usuwa wszystkie punkty przywracania poza najnowszym.

[Landuss]

No tak zawsze usuwane są wszystkie punkty, poza najnowszym więc nie widzę problemu.

[olczak]

Myślałem, że jak usuwam wyłączając to na zakładce Przywracanie systemu tak jak jest napisane w tej instrukcji do której jest link to usuwa się wszystko.

 

Pierwszy raz widzę, żeby ta opcja nie była aktywna. Czy można to jakoś uaktywnić? Bo w sumie to teraz chyba przywracanie jest nie włączone bo nie ma ptaszka zaznaczonego w polu, ale ogólnie cała opcja jest szara.

 

Tak to wygląda:

 

 

Czyli i tak w najnowszym punkcie przywracania mogą być te pliki z wirusami zachowane tak?

[Landuss]

Bo w sumie to teraz chyba przywracanie jest nie włączone bo nie ma ptaszka zaznaczonego w polu, ale ogólnie cała opcja jest szara.

 

Ależ skąd, przywracanie działa. Zobacz na stan - Monitorowane.

 

Czyli i tak w najnowszym punkcie przywracania mogą być te pliki z wirusami zachowane tak?

 

W najnowszym nie bo to już będzie po usunięciu infekcji z systemu.

 

A zobacz w ten temat bo tu raz był ktoś z tym problemem: http://www.fixitpc.p...z-zasady-grupy/

[picasso]

Pierwszy raz widzę, żeby ta opcja nie była aktywna. Czy można to jakoś uaktywnić?

 

Odpowiedź w OTL Extras:

 

========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableSR" = 0
"DisableConfig" = 0

 

Start > Uruchom > regedit i skasuj z prawokliku klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

 

Zresetuj system. Konfiguracja Przywracania systemu zostanie odblokowana.

 

 

.

Edytowane 30 Listopada 2012 przez picasso
30.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso