Skocz do zawartości
mtkk

Spowolniony komp oraz wirusy, naprawa amatora + Combofix

Rekomendowane odpowiedzi

Witajcie

Nie wiedziałem jak najlepiej zawrzeć wszystko w temacie posta więc ująłem najważniejsze elementy.

Komputer należy do przyjaciółki.

Z tego co się dowiedziałem komputer jej mocno spowolnił i zaczęły pojawiac się komunikaty o wirusach.

Niestety poprosiła sąsiada specjalistę o pomoc i po jego działaniach komp wogóle przestał się uruchamiać.

Udało mi sie pokonać uruchomienie i komputer teoretycznie działa. Jest sporo śmieci "oficjalnych" jak oprogramowanie Asusa czy gierki (chyba z FB), ale widać też pozostałości po działaniu ComboFix'a. Podejrzewam że ten gość po prostu odpalił ComboFix'a.

Bardzo prosze w wolnej chwili o sprawdzenie logów. Może zauważycie coś na co należy zwrócić uwagę. Na razie wstrzymam się z aktualizacjami i odinstalowywaniem śmieci.

 

Do tego wszystkiego okazuje się że po uruchomieniu kompa system się wiesza i nie można normalnie pracować. Jednak żaden proces nie obciąża systemu ani użycie procesora i pamięci nie jest wysokie.

 

FRST

Addition

OTL

Extras

Gmer

 

A poniżej wyniki Security Check

 

 Results of screen317's Security Check version 0.99.74  
 Windows 7  x64 (UAC is enabled)  
 Out of date service pack!!
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Anti-Virus   
 Antivirus out of date!  
`````````Anti-malware/Other Utilities Check:`````````
  Adobe Flash Player 11.5.502.149 Flash Player out of Date!  
 Mozilla Firefox (24.0)
 Google Chrome 24.0.1312.56  
 Google Chrome 24.0.1312.57  
 Google Chrome plugins...  
````````Process Check: objlist.exe by Laurent````````  
 Kaspersky Lab Kaspersky Anti-Virus 2013 avp.exe  
 Trend Micro Titanium TiMiniService.exe  
 Trend Micro Titanium TiResumeSrv.exe  
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Z najświeższych informacji (od właścicielki laptopa) dowiedziałem się że gość który robił coś przy kompie usunął ponad 200 wirusów. (Tak jej powiedział)

Próbowałem skanować DR WEB Cure It ale nic nie znalazł.

Przeskanowałem go AdwCleaner'em. Logi poniżej

 

AdwCleaner[R0]

AdwCleaner[s0]

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

- Był uruchamiany ComboFix, jest na dysku jego log C:\ComboFix.txt.

- Logi są zrobione z poziomu świeżo utworzonego konta Administrator a nie konta użytkownika Kristina. To oznacza brak widoczności wpisów relatywnych do konkretnego konta. Logi muszą powstać z poziomu konta Kristina.

- AdwCleaner użyty także na Administratorze (nie adresował wpisów innego konta). Poza tym, jego użycie nastąpiło przed prawidłową deinstalacją adware via Panel sterowania oraz zmieniło zawartość dostarczonych wcześniej logów i dane nie są zgodne. Utrudniłeś mi pracę tym działaniem, gdyż podany dalej skrypt do FRST musiał zostać nagięty do zmian.

 

Na razie w podanym tu zestawie brak oznak infekcji, tylko adware, ale większe spectrum widoczności na innym koncie. Przed wytworzeniem raportów ponownie przeprowadź jednak te działania:

 

 

Do tego wszystkiego okazuje się że po uruchomieniu kompa system się wiesza i nie można normalnie pracować. Jednak żaden proces nie obciąża systemu ani użycie procesora i pamięci nie jest wysokie.

Na początek skoryguj sytuację w antywirusach, bo to najsilniejszy podejrzany dla problemów:

 

1. Jest tu dramatyczne zestawienie Kaspersky Anti-Virus 2013 + Trend Micro Titanium Internet Security, co samo w sobie może być przyczyną blokowania Windows i zamulenia. Odinstaluj stary Trend, proponuję też sprawdzić dodatkowo i deinstalację Kasperskiego oraz SUPERAntiSpyware, by całkowicie wykluczyć wszystkie programy zabezpieczające jako przyczynę.

 

2. Usuń sterownik Avast:

 

R1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [19600 2012-07-03] (AVAST Software)

 

Cytuję akcje do wykonania z poziomu Trybu awaryjnego Windows:

 

- Start > w polu szukania wpisz regedit > wejdź do klucza klasy klawiatur:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}

 

Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie ruszaj systemowego kbdclass.

 

- Start > w polu szukania wpisz cmd > wpisz te komendy (każdą potwierdzając ENTER):

 

sc stop aswKbd

sc delete aswKbd

 

Po tym możesz skasować z dysku plik C:\Windows\system32\drivers\aswKbd.sys.

 


Po powyższych działaniach kolejna porcja. Pobierz najnowszą wersję FRST. Zaloguj się na konto Kristina. I przeprowadź te akcje:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Run: [Praetorian] - C:\Users\Kristina\AppData\Local\Yandex\Updater\praetorian.exe [1582976 2012-07-17] (Yandex LLC)
Task: {106B6F0E-5021-4412-B485-02679E2A49DF} - \AdobeFlashPlayerUpdate 2 No Task File
Task: {2D9D0170-BD12-4886-913F-9868797AE27D} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe
Task: {73F1741F-73A4-4B75-A10F-8060ADA48158} - System32\Tasks\DealPly => C:\Users\Kristina\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE
Task: {8E827658-D1EF-4777-AA64-CE6D7F53D5A4} - System32\Tasks\EPUpdater => C:\Users\Kristina\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe
Task: {E08F1C36-CAAC-40A0-9F3A-F4901365DD1F} - \AdobeFlashPlayerUpdate No Task File
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=592
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
SearchScopes: HKLM-x32 - Yandex URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms}
SearchScopes: HKLM-x32 - {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm007^YY^pl&si=COeN48e_rLQCFUNa3godwmIAAQ&ptb=03655EC0-1DC8-4999-9491-F0F89F062B76&ind=2013012015&n=77fc202f&psa=&st=sb&searchfor={searchTerms}
BHO-x32: No Name - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No File
BHO-x32: No Name - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - No File
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 usbbus; system32\DRIVERS\lgx64bus.sys [x]
S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [x]
S3 USBModem; system32\DRIVERS\lgx64modem.sys [x]
C:\Users\Kristina\AppData\Local\newhb2.crx
C:\Users\Kristina\AppData\Local\BargainJoy.crx
C:\Users\Kristina\AppData\Local\Yandex
C:\Users\Kristina\AppData\Roaming\Yandex
C:\Users\Kristina\Downloads\avast-Free-Antivirus(13266).exe
C:\Program Files\AVAST Software
C:\ProgramData\AVAST Software
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (zaznacz by powstał ponownie plik Addition). Dołącz plik fixlog.txt oraz zaległy ComboFix.

 

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Picasso

Jest gorzej.

dziewczyna bardzo potrzebowala kompa wiec go jej oddalem. podalem tez linka do tego watku, bo stwierdzila z mezem ze powinni dac sobie rade. dzis z samego rana przybiegli mowiac ze nic nie dziala.

okazuje sie ze klawiatura i touchpad nie dzialaja po uruchomieniu windowsa.

w menu pod F8 i w "naprawianiu systemowym" dziala. powiedzieli ze nie mogli odinstalowac ktoregos antywira, a po usunieciu pliku o ktorym pisalas i resecie juz nie dzialalo.

jest jakas opcja by przywrocic ten sterownik z konsoli?

pytam bo akurat moj laptop dokonczyl zywota i na razie jestem zmuszony korzystac z telefonu.

czytalem w watkach o "zero access" aby wypalic plytke startowa. jesli musze zrobic podobnie to pobiegne do kogos i ja nagram.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

okazuje sie ze klawiatura i touchpad nie dzialaja po uruchomieniu windowsa.

w menu pod F8 i w "naprawianiu systemowym" dziala. powiedzieli ze nie mogli odinstalowac ktoregos antywira, a po usunieciu pliku o ktorym pisalas i resecie juz nie dzialalo.

jest jakas opcja by przywrocic ten sterownik z konsoli?

To sugeruje, że nie został poprawnie usunięty filtr aswKbd z urządzeń. A skoro "nie mogli odinstalować jakiegoś antywira", to prawdopodobnie może tu być też problem ze sterownikami Kasperskiego, które również filtrowały urządzenia klawiatur i myszy:

 

R3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [29280 2013-10-15] (Kaspersky Lab ZAO)

R3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [29280 2013-10-15] (Kaspersky Lab ZAO)

 

Daj im wstępnie takie instrukcje:

 

1. Pobierz FRST i zapisz na pendrive. Przygotuj plik naprawczy. Otwórz Notatnik i wklej:

 

Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f
Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f
Reg: reg query HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}
Reg: reg query HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST.

 

2. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST i na początek opcja Scan, a gdy on się ukończy opcja Fix. Powstaną pliki FRST.txt + Fixlog.txt. Przedstaw oba.

 

3. Sprawdź czy działa klawiatura / touchpad przy wchodzeniu do Windows.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

ps. Picasso, komp jest znow u mnie wiec jesli moge cos zrobic w miedzy czasie zeby przyspieszyc naprawe to jestem za :)

Zastanawialem sie nad przeinstalowanie systemu z krazka ale nie chcialbym znowu skomplikowac czegos.

przepraszam za nie edytowanie postow, ale jestem zmuszony korzystac z wersji mobilnej a tu nie widze takiej opcji.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...