BuddaPL Opublikowano 22 Grudnia 2013 Zgłoś Udostępnij Opublikowano 22 Grudnia 2013 Witam, Mam problem z komputerem: wolne otwieranie stron internetowych, jakby ogólne spowolnienie systemu: długie czasy oczekiwania na reakcje, skokowana pracy myszki (kursora i dwukliku). Uruchomiłem ADWCleanera i usunąłem, to co znalazł (log poniżej): http://wklej.org/id/1213195/ Proszę o sprawdzenie logów z OTL i dalszą poradę: OTL: http://wklej.org/id/1213197/ EXtras: http://wklej.org/id/1213198/ FRST: http://wklej.org/id/1213205/ Addition: http://wklej.org/id/1213206/ Gmer coś wykrył i poprosił o pełne skanowanie, wyraziłem zgodę. Oto log: http://wklej.org/id/1213211/ Odnośnik do komentarza
picasso Opublikowano 23 Grudnia 2013 Zgłoś Udostępnij Opublikowano 23 Grudnia 2013 BuddaPL, adware zostało usunięte w nie do końca niepoprawny sposób. AdwCleaner to nie jest program zastępujący normalne procedury deinstalacji, tylko usuwanie na chama, co czasem skutkuje tym, że zostają martwe wejścia deinstalacyjne. Jak to powinno wyglądać: poprawna deinstalacja adware przez Panel sterowania, a potem po kolei w każdej przeglądarce z osobna (o ile są jakieś inne niż IE), na koniec AdwCleaner. Detekcja GMER: owszem, infekcja rootkit. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: U5 orcnq; C:\Windows\System32\Drivers\orcnq.sys [741376 2013-12-22] () C:\Windows\System32\Drivers\orcnq.sys S1 uuhrenbr; \??\C:\WINDOWS\system32\drivers\uuhrenbr.sys [x] S2 Util WebConnect; "C:\Program Files\WebConnect\bin\utilWebConnect.exe" [x] AppInit_DLLs: c:\docume~1\alluse~1.win\daneap~1\bitguard\271832~1.68\{c16c1~1\bitguard.dll [ ] () C:\Documents and Settings\adm\Dane aplikacji\1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtF1E1I C:\Documents and Settings\adm\Dane aplikacji\avdrn.dat C:\Program Files\Mozilla Firefox Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition) + GMER. Dołącz plik fixlog.txt. . Odnośnik do komentarza
BuddaPL Opublikowano 23 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 23 Grudnia 2013 Dzięki Picasso za zwrócenie mi uwagi na problem odinstalowania adware'u. A tutaj masz logi, o które prosiłaś fixlog.txt http://wklej.org/id/1214020/ FRST nowy http://wklej.org/id/1214022/ GMER nowy http://wklej.org/id/1214023/ Odnośnik do komentarza
picasso Opublikowano 23 Grudnia 2013 Zgłoś Udostępnij Opublikowano 23 Grudnia 2013 FRST nie dał rady usunąć tego sterownika. Zrób skan w Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i zaprezentuj log utworzony przez narzędzie. . Odnośnik do komentarza
BuddaPL Opublikowano 23 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 23 Grudnia 2013 http://wklej.org/id/1214038/ Czy mogę w międzyczasie odinstalować NOD32, bo i tak licencja już wygasła i będzie inny AV? Odnośnik do komentarza
picasso Opublikowano 23 Grudnia 2013 Zgłoś Udostępnij Opublikowano 23 Grudnia 2013 Kaspersky wprawdzie nie rozpoznaje dokładnie typu infekcji, ale widzi ten wpis. 1. Uruchom TDSKiller ponownie. Tym razem dla tego wyniku "orcnq (LockedService.Multi.Generic)" wybierz akcję Delete i zresetuj system. 2. Uruchom ponownie TDSSKiller i sprawdź czy już nie wykrywa tego. Jeśli coś nowego się pokaże, wtedy log TDSSKiller musisz dostarczyć. Czy mogę w międzyczasie odinstalować NOD32, bo i tak licencja już wygasła i będzie inny AV? To już miałam w planach (ten ESET mocno sfatygowany, silnik z 2009). Lecz akcja nie będzie wykonywana teraz. Pierwszeństwo ma pozbycie się rootkita. . Odnośnik do komentarza
BuddaPL Opublikowano 23 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 23 Grudnia 2013 (edytowane) Ok, jak mówiłaś tak zrobiłem. Sterownik prawdopodobnie usunięty. Przynajmniej TDSSKiller już nic nie pokazał. Dopiero teraz obudził się NOD i zablokował kwarantannę TDSS'a. 2013-12-23 12:51:10 Ochrona systemu plików w czasie rzeczywistym plik C:\TDSSKiller_Quarantine\23.12.2013_12.50.30\susp0000\svc0000\tsk0000.dta Win32/Bubnix.AP koń trojański wyleczony przez usunięcie - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację: C:\tdsskiller.exe. Edit: Czyli to już koniec? Dziadostwa nie ma? Edytowane 31 Grudnia 2013 przez BuddaPL Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się