Ogólny spadek wydajności

[htw]

Witam ponownie

 

Tym razem pisze w imieniu siostry, której trzeba pomóc bo jej maszyna została zaatakowana, w tle coprawda działał Nodzik ( ver.4 ) ale mimo wszystko cos przeszło ...

 

Malwarebytes' Anti-Malware cos odnalazł i wywalił ale nie dokońca sobie poradził wiec pisze do Was

 

Oto obowiazkowe logi ......

 

OTL

 

http://wklej.org/id/462902/txt/

 

http://wklej.org/id/462906/txt/

 

czekam na wskazówki

[picasso]

Opis jest dla mnie nieklarowny, co się dzieje aktualnie po czyszczeniu, opisz to wszystko dokładniej. Nie pokazałeś wyników z MBAM, by było jasne co zostało wykryte. Brak odczytu z GMER, a po swoich ostatnich doświadczeniach powinieneś wiedzieć, że jest to niezbędne. Mam też niejasne przypuszczenie, że to system przejechany ComboFixem, oceniając po pewnych konfiguracjach rejestru.

 

W prezentowanym OTL nie ma widocznych żadnych śladów infekcji. Są tylko mało istotne wtręty sponsoringowe Conduit i Crawler. Odinstaluj Softonic_France Toolbar + Yahoo Browser Plus i po tym pokaż nowy zestaw OTL do oceny, w celu wykończenia tych resztówek. Oczywiście GMER też.

[htw]

Opis jest dla mnie nieklarowny, co się dzieje aktualnie po czyszczeniu, opisz to wszystko dokładniej. Nie pokazałeś wyników z MBAM, by było jasne co zostało wykryte. Brak odczytu z GMER, a po swoich ostatnich doświadczeniach powinieneś wiedzieć, że jest to niezbędne. Mam też niejasne przypuszczenie, że to system przejechany ComboFixem, oceniając po pewnych konfiguracjach rejestru.

 

W prezentowanym OTL nie ma widocznych żadnych śladów infekcji. Są tylko mało istotne wtręty sponsoringowe Conduit i Crawler. Odinstaluj Softonic_France Toolbar + Yahoo Browser Plus i po tym pokaż nowy zestaw OTL do oceny, w celu wykończenia tych resztówek. Oczywiście GMER też.

 

 

 

Sprawa ma się tak, ze moja siostra jest we Francji, a niestety ona jest wybitnym beztalenciem komputerowym, zeby zrobila te dwa logi z OTL'a musiałem z nią gadać 45 przez skypa ........ ale skoro mowisz ze to niezbedne to popracowałem troche z nia i mam juz wszystko

 

rzeczy do odinstalowania wywalone i teraz logi :

 

ps. co do objawów z tego co mi powiedziała to własnie najwiekszą bolączka jest spowolniony internet ogolnie podobno jej wolno komputer chodzi no i te kopiuj wklej niedziałające ( ale tylko czasami )

 

 

 

- Pokaż cytowany tekst -Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 5556

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18999

 

19/01/2011 23:47:39

mbam-log-2011-01-19 (23-47-39).txt

 

Type d'examen: Examen complet (C:\|G:\|)

Elément(s) analysé(s): 342871

Temps écoulé: 1 heure(s), 16 minute(s), 17 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\program files\vistacodecpack\filters\ff_x264.dll (Malware.Gen) -> Quarantined and deleted successfully.

c:\temp\cod4_keygen_and_cracked_server\keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

combofix nie był odpalany bo wiem, że o to prosiłaś

.

OTL.Txt

Extras.Txt

Gmer.txt

[picasso]

Log z GMER nieczytelny, wszystko zlepione. Lipiąc do niego nie widzę znaków infekcji (ale nie mogę wykluczyć błędu czytania takiej sieczki). Znaleziska z MBAM: pierwszy to chyba fałszywy alarm na kodeku, wszystko nie wydaje mi się wcale związane z doświadczanymi problemami. I dokończmy już te śmieci po paskach narzędziowych i resztówkę Symantec:

 

1. Odinstaluj LiveUpdate Notice (Symantec Corporation).

 

2. Przeglądarki Internet Explorer i Firefox mają być zamknięte. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://dnl.crawler.com/support/sa_customize.aspx?TbId=60265"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://www.crawler.com/search/ie.aspx?tb_id=60265"
IE - HKU\S-1-5-21-2446411076-420533422-722245841-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2542115"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic_France Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2542115&SearchSource=13"
FF - prefs.js..extensions.enabledItems: {4daac69c-cba7-45e2-9bc8-1044483d3352}:2.7.2.0
[2010/09/05 10:34:00 | 000,000,000 | ---D | M] (Softonic_France Toolbar) -- C:\Users\Ilona\AppData\Roaming\mozilla\Firefox\Profiles\or4br567.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}
[2010/03/16 17:11:42 | 000,000,933 | ---- | M] () -- C:\Users\Ilona\AppData\Roaming\Mozilla\Firefox\Profiles\or4br567.default\searchplugins\conduit.xml
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

Klik w Wykonaj skrypt.

 

2. Do prezentacji wynik z tego przetwarzania skryptu + nowy log z OTL potwierdzający formę finalną.

 

 

co do objawów z tego co mi powiedziała to własnie najwiekszą bolączka jest spowolniony internet ogolnie podobno jej wolno komputer chodzi

 

Pierwsze co się nasuwa przy tych objawach to ten sam mechanizm o którym rozprawiałam już do Ciebie, czyli przetwarzanie potwornie wielkiego pliku HOSTS wprowadzonego przez Spybota:

 

O1 HOSTS File: ([2009/08/23 08:53:53 | 000,324,391 | R--- | M]) - C:\Windows\System32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O1 - Hosts: 127.0.0.1    www.007guard.com
O1 - Hosts: 127.0.0.1    007guard.com
O1 - Hosts: 127.0.0.1    008i.com
O1 - Hosts: 127.0.0.1    www.008k.com
O1 - Hosts: 127.0.0.1    008k.com
(...)
O1 - Hosts: 11103 more lines...

Podawałam Ci już sposoby jak to wyzerować. I tu też sugeruję rozstanie się na stałe ze Spybotem jako takim.

 

no i te kopiuj wklej niedziałające ( ale tylko czasami )

 

Ale: w jakich okolicznościach, przy jakich operacjach (pliki na dysku, kopiowanie ze schowka i np. wklejki w Paint, kopiowanie w obrębie konkretnego programu .....)?

 

 

.

[htw]

Gotowe

 

Logi spreparowane, z tym kopiowaniem to dziwna sprawa bo siostra mowi ze czasami chce kopiowa a czami nie .... nie wiem czym sie to objawia, bardziej precyzyjniej powiedziec bo tego nie widziałem.

 

Host wyzerowany a spyboy wywalony !

 

 

 

btw. ciekawe czemu taka sieczka w tym gmerze .......

 

mam nadzieje ze nic złego sie tam nie działo tylko jak to określasz resztkówki do wywalenia

OTL ze skyptu.Txt

OTL.Txt

Extras.Txt

[picasso]

1. Czy jest jakaś poprawa po zdjęciu modyfikacji pliku HOSTS? Z kopiowaniem nic nie zaradzę, bo opis jest niejasny, nie wiadomo gdzie to kopiowanie nie działa (to jak mogę się zastanawiać gdzie może być usterka).

 

2. "OTL ze skryptu" to nie jest wynik przetwarzania skryptu, tylko stardardowy log OTL, dwa razy załączyłeś główny log z OTL. A zadanie ze skryptem nie wykonane. Jest bez zmian, widać te same zapisy, które podałam do usuwania. Czyli powtórka. Zaznaczam też, że to tylko kosmetyzowanie, nie ma nic wspólnego z problemem głównym.

Edytowane 26 Lutego 2011 przez picasso
26.02.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso