Problemy z wyglądem okien i pobieraniem

[jachu876]

Witam ponownie. Mam problem z laptopem. Jeżeli chodzi o wygląd okien itp, gdy ustawie na "uzyskaj dla najlepszego wyglądu" wszystko pozostaje tak jakby było wyłączone. Mam problem też z pobieraniem. Internet działa, strony się w miarę otwierają. Gdy chce pobierać, to pobiera się normalnie.  W zasadzie jakiś nieduży plik zostanie prawie pobrany i nagle się zatrzyma. Komunikat przy pobieraniu "pozostało kilka sekund" i dalej nic się nie dzieje. Nie wiem jak to naprawić. Pomóżcie.

Załączam odpowiednie logi.

Pozdrawiam.

OTL.Txt

Extras.Txt

[picasso]

Nowe zasady działu, obowiązkowe raporty w tym dziale to także FRST. Poza tym, brakuje i obowiązkowego GMER.

 

Jednakże nie proszę o zrobienie tych logów teraz, bo jest bardzo kiepsko. System jest zainfekowany potwornym wirusem Sality niszczącym wszystkie pliki wykonywalne na wszystkich dyskach. Wirus jest tego rodzaju, że format całego dysku może być na widoku i po czyszczeniu i tak format pewnie zalecę, gdyż uszkodzenia w plikach mogą być nie do opanowania. Sality nabyty z zainfekowanych pendrive. Wstępna próba leczenia:

 

1. Uruchom SalityKiller. Wykonaj nim skan do skutku (powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych). Dopiero gdy taki wynik otrzymasz:

 

2. Z paczki Sality_RegKeys uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Pobierz FRST. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f
Reg: reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v api32 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ares /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v dso32 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v KernelFaultCheck /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

5. Zrób nowe logi: FRST (ma powstać też plik Addition), zaległy GMER oraz USBFix z opcji Listing. Dołącz plik fixlog.txt. Wypowiedz się także co robił SalityKiller.

 

 

 

.

[jachu876]

Wszystkie czynności wykonałem. SalityKiller za drugim razem nie wykazał żadnego pliku zainfekowanego. Załączam wszystkie logi.

Addition.txt

Fixlog.txt

FRST.txt

gmer log.txt

UsbFix Listing 2 HP550.txt

[picasso]

Infekcja Sality wygląda na nieczynną, ale to nie oznacza czystego systemu ani poprawnych plików. Może być dużo uszkodzonych obiektów. Poza tym, w systemie jest jeszcze jedna ukryta infekcja (widzi ją GMER). Doczyszczę system, upewnię się, że nie ma genów Sality, ale i tak zalecę format całego dysku. Na teraz następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?SearchSource=10&ctid=CT2417076
URLSearchHook: gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\tbgry.dll (Conduit Ltd.)
BHO: gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\tbgry.dll (Conduit Ltd.)
Toolbar: HKLM - gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\tbgry.dll (Conduit Ltd.)
Toolbar: HKCU -gry Toolbar - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - C:\Program Files\gry\tbgry.dll (Conduit Ltd.)
C:\Documents and Settings\jan\Dane aplikacji\Hzlklr.exe
C:\*.exe
C:\gry.ico
C:\gry.url
E:\autorun.inf
E:\hckboa.exe
CMD: rd /s /q C:\RECYCLER
CMD: rd /s /q E:\RECYCLER
CMD: attrib /d /s -s -h E:\*
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Hzlklr /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj (o ile zdołasz) adware gry Toolbar.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowe logi: skan FRST (bez Addition), GMER i USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

.

[jachu876]

Wszystkie polecenia wykonane.

Ad. 2 W dodaj/usuń programy nie znalazłem adware gry Toolbar

GMER niczego podejrzanego nie znalazł i żadnego raportu nie wyświetlił.

Poza tym wszystko poszło dobrze.

AdwCleanerR2.txt

AdwCleanerS2.txt

Fixlog.txt

FRST.txt

UsbFix Listing 3 HP550.txt

[picasso]

1. Użyłeś strasznie starą wersję AdwCleaner v2.109. Ten program należy za każdym razem pobierać od początku. Wróć do opisu i linków pobierania: KLIK. Ponów usuwanie.

 

2. Oba widziane pendrivy są nadal zainfekowane (i to różnymi infekcjami). Z jednego z nich uprzednio planowane do usunięcia pliki nie zniknęły, gdyż przepiąłeś urządzenia i litery się zmieniły. Pobierz ponownie FRST (jest nowsza wersja). Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k
HKCU\...\Run: [Hzlklr] - C:\Documents and Settings\jan\Dane aplikacji\Hzlklr.exe
E:\yveqsh93.exe
E:\comment.htt
E:\desktop.ini
E:\hvtuyg.pif
E:\MS32DLL.dll.vbs
E:\lbjxbb.pif
E:\jsgorx.exe
E:\pa39xth.cmd
E:\fcagj.exe
F:\autorun.inf
F:\hckboa.exe
E:\*.lnk
F:\*.lnk
CMD: rd /s /q E:\Recycled
CMD: attrib /d /s -s -h F:\*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Oba pendrivy potraktuj opcją USB Vaccination w Panda USB Vaccine. Opcja Computer Vaccination zbędna, już tę modyfikację wykonałam na początku w skrypcie FRST.

 

4. Wyprodukuj nowe logi: skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt i log AdwCleaner.

 

 

 

.

[jachu876]

Robota wykonana. Załączam logi.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

UsbFix Listing 4 HP550.txt

[picasso]

O ile log z FRST wygląda w porządku, to:

 

1. Nie ma oznak wykonania akcji USB Vaccination na każdym z pendrive. Brak immunizacyjnych plików autorun.inf.

 

2. Wystąpiła tu jakaś dodatkowa dziwna zmiana, tzn. powstały takie oto pliki na dysku C:

 

[03/08/2004 - 22:11:06 | A | 32768] C:\aspnet_wp.exe

[26/10/2001 - 17:29:48 | A | 37376] C:\atievxx.exe

[26/10/2001 - 17:29:50 | A | 32256] C:\brmfrsmg.exe

[19/07/2004 - 18:54:04 | A | 94208] C:\CasPol.exe

[05/01/2002 - 09:39:06 | RA | 49152] C:\ConfigWizards.exe

[03/08/2004 - 22:11:18 | A | 49152] C:\csc.exe

[26/10/2001 - 17:29:52 | A | 24064] C:\devldr32.exe

[26/10/2001 - 17:29:52 | A | 622621] C:\digiview.exe

[18/08/2001 - 06:36:42 | A | 236060] C:\ditrace.exe

[26/10/2001 - 17:29:54 | A | 57856] C:\dvdplay.exe

[26/10/2001 - 17:29:54 | A | 53760] C:\eqndiag.exe

[26/10/2001 - 17:29:54 | A | 52224] C:\eqnlogr.exe

[26/10/2001 - 17:29:54 | A | 62464] C:\eqnloop.exe

[26/10/2001 - 17:29:56 | A | 99840] C:\irftp.exe

[03/08/2004 - 22:12:20 | A | 147456] C:\ngen.exe

[26/10/2001 - 16:50:34 | A | 1899520] C:\ntkrnlmp.exe

[26/10/2001 - 16:50:40 | A | 1898112] C:\ntkrnlpa.exe

[26/10/2001 - 16:50:46 | A | 1871360] C:\ntkrpamp.exe

[26/10/2001 - 16:51:02 | A | 1983616] C:\ntoskrnl.exe

[26/10/2001 - 17:30:02 | A | 86016] C:\pctspk.exe

[19/07/2004 - 18:54:16 | A | 11264] C:\RegSvcs.exe

[26/10/2001 - 17:30:06 | A | 75264] C:\tp4mon.exe

[26/10/2001 - 17:30:06 | A | 77891] C:\usrmlnka.exe

[26/10/2001 - 17:30:06 | A | 69700] C:\usrshuta.exe

[19/07/2004 - 18:54:22 | A | 716800] C:\vbc.exe

[18/08/2001 - 06:37:02 | A | 99865] C:\xlog.exe

[26/10/2001 - 17:30:08 | A | 4608] C:\xrxflnch.exe

[26/10/2001 - 17:30:08 | A | 27648] C:\xrxftplt.exe

 

Pliki mają sygnatury producentów, ale ich lokalizacja jest nienormalna. Czy Ty próbowałeś tu jakiś zamian uszkodzonych plików? Proszę objaśnij co to za akcja, jeśli robiona ręcznie.

 

 

 

.

[jachu876]

Tak. Próbowałem zamienić uszkodzone pliki, ale wykonywałem to po wykonaniu tych poleceń, które mi zaleciłaś. Było to wczoraj późnym wieczorem. Jeżeli teraz jest w porządku to jak naprawić te pliki? Muszę zrobić reinstalacje?

[picasso]

No tak, ale na jakiej podstawie wytypowałeś uszkodzone pliki? I niestety, ale przy Sality uszkodzenia są potężne, tu liczba potencjalnie naruszonych plików jest nieznana, Twoje próby to jakiś ułamek. Nie wiadomo ile plików jest uszkodzonych, nie wiadomo które, a pewne szkody mogą wyjść na jaw dopiero w późniejszej fazie użytkowania Windows i programów. Zamiast ręcznej podmiany niesprecyzowanej liczby plików (co mogłoby trwać w nieskończoność, a jeszcze i trzeba omijać Ochronę systemu plików), tu się po prostu i tak klaruje gwałtowniejsze działanie, czyli postawienie Windows i programów od zera. Tak jest, wyczyszczenie infekcji to jeden etap (na dodatek tu nieukończony, bo jeszcze nie było głównego skanu antywirusowego), który ma zagwarantować brak genów infekcji, które mogłyby przypadkowo zostać przeniesione na sformatowany system.

 

 

 

.

[jachu876]

W takim razie dziękuje poraz kolejny za wielką pomoc No cóż, pozostaje mi postawić system od początku. Co zalecasz? Format i instalacja od nowa czy naprawa? A później wrzuciłbym loga do sprawdzenia, jak prezentuje się system po naprawie.

[picasso]

Teraz upewnij się, że nie ma nigdzie nośnika Sality. SalityKiller jest zbyt wąsko specjalizowany i zbyt ekspresowy. Już tu były przypadki, że zwracał na końcu odczyt "zero", a mimo wszystko ogólny skan antywirusowy i tak wykrył zainfekowane pliki.

 

1. Oczyść pole, by skan nie zwrócił zbędnych rekordów:

- Usuń narzędzia: przez SHIFT+DEL skasuj folder C:\FRST, odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

- Wg OTL Przywracanie systemu było wyłączone, więc tu brak akcji.

 

2. Zrób pełne skanowanie dysku C i każdego pendrive z osobna za pomocą Kaspersky Virus Removal Tool. Domyślnie skaner robi ekspresowe sprawdzanie, musisz wejść do opcji i zaznaczyć wszystko do skanu.

 

3. Gdy skan nic nie wykryje, przymierzaj się do postawienia Windows na nowo. To pójdzie znacznie szybciej i lepiej niż "naprawa":

 

 

Co zalecasz? Format i instalacja od nowa czy naprawa? A później wrzuciłbym loga do sprawdzenia, jak prezentuje się system po naprawie.

Wyraźnie sformułowałam już swoje stanowisko: format a nie naprawy nakładkowe. Naprawa mało Ci da, więcej z niej kłopotów wypłynie niż pożytku, z następujących powodów:

- Reperacja interesuje się tylko określonymi plikami Windows, pozostanie nadal problem reinstalacji uszkodzonych programów wtórnych.

- Reperacja degraduje brutalnie wersje plików Windows do stanu sprzed aktualizacji (może podstawić tylko wersje plików obecne na CD, a te są zbyt stare). Z tego wynikną dodatkowe kłopoty / uszkodzenia i tak wymagące kolejnych nadpisów Windows czy reinstalacji określonych komponentów.

Ta akcja może pogorszyć stan, nie zawarantuje napraw wszystkich plików, strata czasu.

 

 

 

.

[jachu876]

Rozumiem. Dziękuję Ci bardzo za pomoc

Wykonam wszystkie polecenia. Jeżeli będzie czysto, zainstaluje na nowo system. W takim razie temat można zamknąć.

 

P.S. Zapraszam na kawę picasso