jarmot Opublikowano 12 Lutego 2013 Zgłoś Udostępnij Opublikowano 12 Lutego 2013 Witam. Mam problem z laptopem mojej dziewczyny. Bywa że strasznie się muli i ogólnie ciągle są jakieś problemy z prawidłowym funkcjonowaniem systemu. Nie korzystam z niego na codzień więc trudno mi co kolwiek więcej powiedzieć, wiem że wywalały jakieś błędy w różnych sytuacjach m.in. podczas instalacji .NET Framework 4.0 gdzie wywalił błąd create proces code 740, niestety nie wiem jakie błedy wyskakiwały w przypadku innych programów. Kilka razy trzeba było też skorzystać z przywracania systemu, bo nie można było w inny sposób uruchomic laptopa. Zainstalowałem Avire i przeskanowałem cały system, znalazła 6 wirusów i 200 ostrzeżeń. Po usunieciu wirusów i restarcie systemu pojawił się kolejny problem. Nie mogłem zainstalować, ani odinstalować żadnych programów w tym OTL. Pomogło dopiero odinstalowanie w trybie awaryjnym Aviry. Przed deinstalacją skopiowałem raport z Aviry, który załączam razem z logami z OTL. Z góry dziękuję za pomoc. OTL.Txt Extras.Txt AVSCAN-20130212-145527-5F7BF475.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2013 Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Sekcja sterowników wygląda mocno podejrzanie, dane o sterownikach nie pobrane, a to sugeruje, że są zablokowane. Ten efekt jest m.in. charakterystyczny dla rootkita Necurs, którego jedną z cech jest blokada programów zabezpieczających (to wyjaśniałoby zachowanie Avira). I owszem, tu na dysku jest numeryczny plik wskazujący pobyt Necurs: [2012-10-09 07:52:38 | 000,059,776 | ---- | C] () -- C:\Windows\System32\drivers\226279337cc34ef5.sys [2012-10-08 23:37:15 | 000,073,728 | ---- | C] () -- C:\ProgramData\kedxalekcyfy.exe[2012-10-08 16:39:06 | 000,073,728 | ---- | C] () -- C:\Users\Paulina\kedxalekcyfy.exe Poproszę o zaległy raport z GMER. PS. Wybiegając do przodu, tu siedzi goła Vista bez żadnego SP (krytyczny poziom zabezpieczeń): Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 7.0.6000.16982) Na razie jednak nie można podjąć żadnych działań. Przy Necurs jest blokada różnych funkcji i nie należy próbować żadnych aktualizacji etc. . Odnośnik do komentarza
jarmot Opublikowano 13 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Przy próbie uruchomienia GMER wywaliło komunikat "LoadDriver("C:\Users\Paulina\AppData\Local\Temp\agddyfod.sys") error 0xC0000001: Urządzenie podłączone do komputera nie działa." GMER jednak się uruchomił, z tym że nie było możliwości optaszkowania wszystkich opcji, a jedynie Usługi, Rejestr i Pliki. W trybie awaryjnym tak samo. Co do Visty, od dłuższego czasu były problemy z aktualizacjami, choć wydaje mi się, że SP kiedyś był, a czemu nie ma nie potrafię powiedzieć. Zanim zaczeły się problemy system aktualizowany był na bierząco, teraz jednak automatyczne aktualizację są wyłączone i ja też żadnych prób aktualizacji nie podejmowałem. GMER.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2013 Zgłoś Udostępnij Opublikowano 13 Lutego 2013 To klasyczne objawy przy uruchamianiu GMER w środowisku aktywnego rootkita Necurs. Necurs jest czynny. Przechodzimy do czyszczenia systemu: 1. Uruchom ESET Necurs Remover i zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\kedxalekcyfy.exe C:\Users\Paulina\kedxalekcyfy.exe C:\Users\Paulina\AppData\Roaming\Babylon C:\Users\Paulina\AppData\Roaming\OpenCandy C:\Program Files\mozilla firefox\searchplugins\babylon.xml :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=47b0c13d-4053-40ac-82f0-41d16ab04995&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1069263575-2782856846-1333288203-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=47b0c13d-4053-40ac-82f0-41d16ab04995&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1069263575-2782856846-1333288203-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=190712_n_mont_2912_2&babsrc=SP_ss&mntrId=18061d9e000000000000002163ae95d2" O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O4 - HKLM..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found O4 - HKU\S-1-5-21-1069263575-2782856846-1333288203-1000..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found O4 - Startup: C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ePSXe 1.7.0.lnk = File not found O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\rafpdnej.sys -- (rafpdnej) DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\mdmxsdk.sys -- (mdmxsdk) :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Uruchom Autoruns i w karcie Scheduled Tasks sprawdź czy nie ma przypadkiem zadań adware OpenCandy. Jeśli będą, usuń. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i GMER. Dołącz log utworzony przez AdwCleaner. Wypowiedz się co robiłeś w Autoruns. . Odnośnik do komentarza
jarmot Opublikowano 13 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2013 W przypadku GMER uruchomił się bez problemu, ale podczas skanowania wywaliło niebieski ekran i zresetował się system. Uruchomiłem GMER w trybie awaryjnym i tam już bez przeszkód przeskanował wszystko. Jeśli chodzi o Autoruns nie bardzo wiem o jakie zadania chodzi dlatego zrobiłem screen'a. OTL.Txt GMER.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2013 Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Necurs pomyślnie zdeaktywowany, elementy Windows odblokowane. Przechodzimy do usunięcia szczątków i kosmetyki: 1. W Autoruns usuń to zadanie związane z Dll-Files.com. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2012-10-09 07:52:38 | 000,059,776 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\226279337cc34ef5.sys -- (226279337cc34ef5) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{B50557FD-F7E5-4D95-9EDB-D715B2902AEF}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{B50557FD-F7E5-4D95-9EDB-D715B2902AEF}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Podaj mi do oceny tylko log z wynikami usuwania, nowy skan OTL nie jest potrzebny. . Odnośnik do komentarza
jarmot Opublikowano 13 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2013 ========== OTL ========== Service 226279337cc34ef5 stopped successfully! Service 226279337cc34ef5 deleted successfully! C:\Windows\System32\drivers\226279337cc34ef5.sys moved successfully. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\\"BootExecute"|hex(7):"autocheck autochk *" /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{B50557FD-F7E5-4D95-9EDB-D715B2902AEF}" /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{B50557FD-F7E5-4D95-9EDB-D715B2902AEF}" /E : value set successfully! Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found. Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. OTL by OldTimer - Version 3.2.69.0 log created on 02132013_142903 Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2013 Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Kolejna partia czynności: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
jarmot Opublikowano 13 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Malwarebytes nic nie znalazł, po pełnym skanowaniu całego komputera. Czy mogę już zaktualizować Vistę czy jeszcze wykonać jakieś czynności? Co polecasz darmowego do ochrony tego komputera. U siebie stosuję Avire + Comodo, sprawdza się całkiem dobrze, a co ty o tym myślisz? Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2013 Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Czy mogę już zaktualizować Vistę czy jeszcze wykonać jakieś czynności? Tak, teraz czas aktualizacji, które są rozpisane w przyklejonym: KLIK. Konkretnie u Ciebie: 1. Programy z Twojej listy zainstalowanych: do deinstalacji wszystkie wystąpienia Adobe + Java i zastąpienie ich najnowszymi wersjami, aktualizacja pakietu Office 2007. Wg logów masz obecnie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"ENTERPRISE" = Microsoft Office Enterprise 2007 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll () 2. System: do instalacji SP1, SP2, IE9 oraz reszta nowych łat. Rundy z wyszukiwaniem aktualizacji rób do skutku, dopóki skaner jawnie nie stwierdzi, iż nic już nie ma dostępnego. Zgłoś się tu po wykonaniu wszystkich działań. Co polecasz darmowego do ochrony tego komputera. U siebie stosuję Avire + Comodo, sprawdza się całkiem dobrze, a co ty o tym myślisz? Avirę nieszczególnie polecam. Przede wszystkim: w wersji naprawdę darmowej jest limitowana osłona i niedostępny płaszcz Web. Ta funkcjonalność wymaga zgody na instalację śmiecia, paska Ask Toolbar maskowanego jako pasek "Avira". Kieruję raczej na bardziej posażny Avast, właściwie jeden z najbardziej rozbudowanych antywirusów dostępnych za darmo. . Odnośnik do komentarza
jarmot Opublikowano 14 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2013 Witam ponownie. System w całości zaktualizowałem. Trochę dłużej się włącza i wyłącza, a przy odpalaniu np. Firefoxa, albo jakichś innych aplikacji trochę dłużej myśli, zanim się załączą. Trudno powiedzieć czy to sprawa systemowa, czy sprzętowa. Poza tym nic niepokojącego nie zauważyłem, żadnych błędów nie wywala. Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2013 Zgłoś Udostępnij Opublikowano 15 Lutego 2013 Trochę dłużej się włącza i wyłącza, a przy odpalaniu np. Firefoxa, albo jakichś innych aplikacji trochę dłużej myśli, zanim się załączą. Czy doinstalowałeś jakiegoś antywirusa w międzyczasie? Odnośnik do komentarza
jarmot Opublikowano 16 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2013 Żadnego antywirusa jeszcze nie instalowałem. Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2013 Zgłoś Udostępnij Opublikowano 16 Lutego 2013 A czy Malwarebytes nadal jest zainstalowane? Jeśli tak, to usuń. Poza tym, możesz jeszcze pokazać nowe raporty OTL z opcji Skanuj, dla oceny czy coś nowego się nie pojawiło. Odnośnik do komentarza
jarmot Opublikowano 16 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2013 Malwarebytes został odinstalowany jeszcze przed aktualizacjami. Jeśli w logach nic nie będzie, to przypuszczam, że to po porstu urok tego laptopa, ma już trochę lat, trochę bardziej się grzeje, być może nie pracuje już na najwyższych obrotach. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2013 Zgłoś Udostępnij Opublikowano 16 Lutego 2013 Zrób test z czystym rozruchem: KB929135. Odnośnik do komentarza
jarmot Opublikowano 17 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2013 Niestety musze zaraz oddać laptopa i nie zdążę już dzisiaj tego zrobić. Póki co dziękuję Ci bardzo za pomoc i poświęcony czas z tym laptopem. Dopiero za tydzień będę miał możliwość ponownego działania na tym laptopie, także postaram się zrobić ten test. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi