Virus.Win32.Nimnul.a Trojan.Win32.Lebag.agi

[azorek69]

Wiam.

 

Dostałem od kumpla kompa do naprawy, bo działy się z nim "dziwne rzeczy".

 

Na początek (jak to mam w zwyczaju) podłączyłem jego dysk pod mojego kompa i przeskanowałem go w całości Kasperskim. Znalazł mnóstwo zarażonych plików, które usunąłem. (mam log kasperskiego do wglądu jak będzie potrzeba)

 

Następnie włożyłem dysk spowrotem do jego kompa i odpalilem system. Przejrzałem uruchomione usługi, obiekty startowe. Usunąłem kilka podejrzanych dla mnie wpisów w rejestrze.

 

Inernet Explorer się nie uruchamia, prawdopodobnie z powodu toolbara AVG. Usunąłem AVG free antivirus 2011 za pomocą narzędzia ze srony producenta, plików deinstalacyjnych nie było juz na dysku. Odinstalowałem tez Kasperskiego, nie mogłem ściągnąć definicji wirusów, mimo aktywnego połączenia z internetem.

 

Jest tu też zainstalowane oprogramowanie do urządzenia wielofunkcyjnego HP, wiele z jego plików było zainfekowanych wirusem, pewnie część z nich została usunięta.

 

Zainstalowałem Firefoxa 4 i mogę się połączyć z internetem.

 

Następnie zainstalowałem HiJackThis oraz ComboFixa i zebrałem logi (było to zanim przeczytałem info na Waszej stronie, że CF to ostatnia deska ratunku).

 

Później zarejestrowałem się tu i przeczytałem instrukcje, dlatego zebrałem też logi z OTL, Gmera i SecrityCheck. To pierwszy raz kiedy proszę o analizę logów. Nie mam dużego doświadczenia z rootkitami i trojanami, ani z ComboFixem, dlatego liczę, żę się przy okazji czegoś nowego nauczę.

 

Jeśli potrzeba logów z ComboFixa oraz HJT ewentualnie z Kasperskiego, to proszę o informację

 

Z poważaniem, azorek69.

 

P.S. Być może zaraziłem sobie swojego kompa jakimś trojanem, dlatego po skończeniu tego tematu chciałbym prosić o analizę kolejnych logów.

 

 

 

Results of screen317's Security Check version 0.99.10

Windows XP Service Pack 3

Internet Explorer 7 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 22

Out of date Java installed!

Adobe Reader 9.4.2 - Polish

Out of date Adobe Reader installed!

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Jeśli potrzeba logów z ComboFixa oraz HJT ewentualnie z Kasperskiego, to proszę o informację

 

HijackThis = nie (od dawna nie posługujemy się tych archaicznym analizerem, który nie przedstawia połowy komponentów jakie podaje nam OTL). Mógłbyś pokazać ComboFix (tylko log, który wtedy powstał = nie uruchamiaj ponownie narzędzia!) i Kaspersky dla nakreślonenia pełnego obrazu sytuacji. Aczkolwiek te dane są niebyłe w obliczu tego co zaraz powiem.

 

 

Inernet Explorer się nie uruchamia, prawdopodobnie z powodu toolbara AVG.

 

Bardziej prawdopodobne = uszkodzone infekcją / zainfekowane pliki. Tym bardziej, że:

 

Niestety, jeśli logi pochodzą już po leczeniu systemu, to infekcja wykonywalnych Nimnul jest jak najbardziej czynna. W GMER widać hooki oraz te ukryte pliki związane z Nimnul:

 

---- Files - GMER 1.0.15 ----
 
File            C:\Program Files\scjyquqh\wwyktauk.exe                                                                          156038 bytes executable
File            C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\wwyktauk.exe                              156038 bytes executable
File            C:\Documents and Settings\Waldek\Menu Start\Programy\Autostart\wwyktauk.exe                                     156038 bytes executable

OTL datuje regenerację folderu elementu rootkit następująco:

 

[2011-04-04 20:06:48 | 000,000,000 | ---D | C] -- C:\Program Files\scjyquqh

Na wczoraj są datowane dwa ukryte zadania w Harmonogramie:

 

[2011-04-06 13:15:32 | 000,000,464 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{CF231B9E-2E58-404E-B0B4-E6B705AF61BE}.job
[2011-04-06 13:15:35 | 000,000,410 | -H-- | M] () -- C:\WINDOWS\Tasks\{F897AA24-BDC3-11D1-B85B-00C04FB93981}_WALDEK-32D1CC80_Waldek.job

Tu nie ma wyboru, dopóki nie usuniesz całej infekcji z wykonywalnych, nie ma szans na uzyskanie sprawności i kroi się format wszystkich partycji. Wypal na swoim komputerze płytę Kaspersky Rescue Disk i zbootuj na chory komputer. Usuwaj nim do skutku. Możliwe, że będzie potrzebne nadpisanie całkowite Windows i wszystkich aplikacji. Prawdę mówiąc, szybciej i bez nerwów poszedłby format (przy założeniu, że nic z gatunku wykonywalnych i plików HTML nie zostanie przeniesione do kopii zapasowej, która po formacie odtworzy infekcję).

 

Na wszelki wypadek, jeszcze sprawdź czy nie ma tu do kolekcji jakiegoś bootkita w MBR. Wykonaj odczyt za pomocą Kaspersky TDSSKiller.

 

 

Na początek (jak to mam w zwyczaju) podłączyłem jego dysk pod mojego kompa i przeskanowałem go w całości Kasperskim. Znalazł mnóstwo zarażonych plików, które usunąłem. (mam log kasperskiego do wglądu jak będzie potrzeba)

 

P.S. Być może zaraziłem sobie swojego kompa jakimś trojanem, dlatego po skończeniu tego tematu chciałbym prosić o analizę kolejnych logów.

 

Wprawdzie nie odczytuję, byś coś z tamtego dysku bezpośrednio uruchamiał, gdy był podpięty pod Twój komp, ale nie można na 100% wykluczyć, że nie zaszczepiłeś tego wirusa u siebie. Dlatego, przedstaw i dane ze swojego systemu.

 

 

 

.

[azorek69]

Wypal na swoim komputerze płytę Kaspersky Rescue Disk i zbootuj na chory komputer. Usuwaj nim do skutku. Możliwe, że będzie potrzebne nadpisanie całkowite Windows i wszystkich aplikacji. Prawdę mówiąc, szybciej i bez nerwów poszedłby format (przy założeniu, że nic z gatunk wykonywalnych i plików HTML nie zostanie przeniesione do kopii zapasowej, która po formacie odtworzy infekcję).

 

Na wszelki wypadek, jeszcze sprawdź czy nie ma tu do kolekcji jakiegoś bootkita w MBR. Wykonaj odczyt za pomocą Kaspersky TDSSKiller.

 

Wprawdzie nie odczytuję, byś coś z tamtego dysku bezpośrednio uruchamiał, gdy był podpięty pod Twój komp, ale nie można na 100% wykluczyć, że nie zaszczepiłeś tego wirusa u siebie. Dlatego, przedstaw i dane ze swojego systemu.

 

 

Ściągnąłem tą płytę Kasperskiego i już uruchomiłem skanowanie, logi zamieszczę po skończeniu skanowania (logi z ComboFixa również później, jeśli to nie problem).

ComboFixa uruchamiałem kilkakrotnie, ale przed uruchomieniem skanowania z płytki Kasperskiego, znalazłem kilka wersji logów w folderze qoobox, wiec dodam najstarszy, chyba najwięcej plików usuniętych było wg tamtego loga.

Jeśli skanowanie i płytka nie usuną infekcji, to rzeczywiście zrobię format. Szkoda czasu na walkę z wiatrakami. Pytanie tylko, jakie pliki mogę zbackupować? Zdjęcia i inne media? Dokumenty? Bo oczywiście jak rozumiem wykonywalnych oraz bibliotek nie ruszać.

 

Korzystając z tej chwili chciałbym właśnie przedstawić logi z mojego PC. Logi OTL, Gmer i SecurityCheck.

 

EDIT:

 

Jako że nie ma jeszcze odpowiedzi, pozwolę sobie na edycję postu. Kaspersky Rescue Disk ukończył działanie, znalazł ok 900 infekcji. Większość z zarażonych plików znajduje się w System Restore i jest zarażona Nimulem. Trzy wymienione powyżej pliki z loga GMERa zarażone są trojanem Lebag. Jest też oczywiście kilkanaście plików używanych aplikacji, które są zarażone. Nawet GMER, OTL i chyba CF wyglądają na zarażone.

 

Jak rozumiem mam usunąć wszystkie infekcje i przedstawić tu raport?

 

Czy skan mojego własnego kompa tą płytką Kasperskiego nie zaszkodzi?

 

EDIT2:

 

Kolejna edycja. Infekcje z komputera kolegi usunąłem. Pobrałem logi z OTC i GMERa po usunięciu wszystkich wykrytych zagrożeń. Internet Explorer nadal nie działa, jednak przy jakimkolwiek skanie antywirusowym pliki IE nie były zainfekowane. Być może jakieś biblioteki się "pousuwały".

 

Zadania z Harmonogramu zadań, miały chyba coś wspólnego z Windows Live i synchronizacją. TDSSkiller nie znalazł infekcji ani na komputerze kolegi, ani na moim. Dodatkowo Kaspersky Rescue Disk nie znalazł u mnie nic podejrzanego (poza znanymi mi zagrożeniami z keygenów, znajdujących się w archiwach).

 

Załączam brakujące logi.

 

Dodam opisy załączników, żeby było jaśniej:

 

1) MyPC_OTL.txt - log OTL z mojego komputera

2) MyPC_SecurityCheck.txt - log SecurityCheck z mojego komputera

3) MyPC_OTL_Extras.txt - log OTL z mojego komputera

4) MyPC_gmer.txt - log GMER z mojego komputera

 

5) FriendPC_gmer_new - log gmer z komputera kolegi, po wyleczeniu plików dyskiem ratunkowym Kasperskiego (raport jako ostatni załącznik)

6) FriendPC_ComboFix_1st_run.txt - pierwszy log CF z komputera kolegi

7) FriendPC_kaspersky_cured_files_1st_run.txt - pliki usunięte lub uleczone podczas skanowania dysku kolegi na moim komputerze

8) FriendPC_OTL_new.Txt - log OTL z komputera kolegi, po wyleczeniu plików dyskiem ratunkowym Kasperskiego

9) FriendPC_OTL_Extras_new.Txt - log OTL z komputera kolegi, po wyleczeniu plików dyskiem ratunkowym Kasperskiego

10) FriendPC_kaspersky_rescue_disk_report.txt - raport ze skanowania dyskiem ratunkowym Kasperskiego

 

Kolejność czynności na komputerze kolegi:

1) FriendPC_kaspersky_cured_files_1st_run.txt

2) FriendPC_ComboFix_1st_run.txt

3) logi OTL i Gmer z pierwszego posta

4) FriendPC_kaspersky_rescue_disk_report.txt

5) FriendPC_OTL_new.Txt

6) FriendPC_OTL_Extras_new.Txt

7) FriendPC_gmer_new

 

(Oby zadziałało tym razem)

MyPC_OTL.Txt

MyPC_OTL_Extras.Txt

MyPC_gmer.txt

MyPC_SecurityCheck.txt

FriendPC_ComboFix_1st_run.txt

FriendPC_kaspersky_cured_files_1st_run.txt

FriendPC_OTL_new.Txt

FriendPC_OTL_Extras_new.Txt

FriendPC_gmer_new.txt

FriendPC_kaspersky_rescue_disk_report.txt

[picasso]

Przepraszam za zwłokę w odpowiedzi, ale mam poważny problem techniczny z serwisem, którym się aktualnie zajmuję, a który uniemożliwia komfortowe przeglądanie forum.

 

 

Logi kolegi:

 

Kolejność czynności na komputerze kolegi:

1) FriendPC_kaspersky_cured_files_1st_run.txt

2) FriendPC_ComboFix_1st_run.txt

3) logi OTL i Gmer z pierwszego posta

4) FriendPC_kaspersky_rescue_disk_report.txt

5) FriendPC_OTL_new.Txt

6) FriendPC_OTL_Extras_new.Txt

7) FriendPC_gmer_new

 

Biorę pod uwagę logi "new". Oceniając je, nie widzę już nic co by wskazywało na infekcję czynną (patrzę na GMER), ale folder rootkita nadal jest na dysku:

 

[2011-04-04 20:06:48 | 000,000,000 | ---D | C] -- C:\Program Files\scjyquqh

 

1. Drobny skrypt poprawkowy usuwający ów folder, martwe wpisy i resztki po AVG. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-04-04 20:06:48 | 000,000,000 | ---D | C] -- C:\Program Files\scjyquqh
SRV - File not found [On_Demand | Stopped] --  -- (QVU)
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
FF - prefs.js..keyword.URL: "http://search.avg.com/route/?d=4cb35992&v=6.103.018.001&i=23&tp=ab&iy=&ychte=us&lng=pl&q=" 
FF - HKLM\software\mozilla\Firefox\Extensions\\avg@igeared: C:\Program Files\AVG\AVG10\Toolbar\Firefox\avg@igeared
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.)
O18 - Protocol\Handler\avgsecuritytoolbar {F2DDE6B2-9684-4A55-86D4-E255E237B77C} -  File not found
[2011-04-04 19:36:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVG Security Toolbar
[2010-10-05 17:23:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\MFAData
[2010-10-05 17:25:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Waldek\Dane aplikacji\AVG10
 
:Commands
[clearallrestorepoints]
[emptyflash]
[emptytemp]

Rozpocznij przez Wykonaj skrypt. System zostanie zrestartowany i na koniec zostanie podany log z usuwania.

 

2. Odinstaluj MyAshampoo Toolbar + Ask Toolbar.

 

3. Przedstaw nowe logi z OTL + GMER.

 

 

Internet Explorer nadal nie działa, jednak przy jakimkolwiek skanie antywirusowym pliki IE nie były zainfekowane. Być może jakieś biblioteki się "pousuwały".

 

Na czym polega to "niedziałanie"? Reinstalacja Internet Explorer, odświeżająca jego pliki, sprowadza się do uruchomienia Reperacji z płyty CD XP (co zdowngraduje IE do wersji IE6) lub lepiej:

 

Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)

Nadinstaluj całość nowszą wersją: Internet Explorer 8 .

 

 

 

Twoje logi:

 

Znaków infekcji brak. Ale można nieco posprzątać martwe wpisy i wyrzucić wmontowane do IE i Firefox sponsoringowe rozszerzenie DVDVideoSoft.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
[2010-11-03 17:58:32 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Documents and Settings\Wszyscy chetni\Dane aplikacji\Mozilla\Firefox\Profiles\l7dj6q1t.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
O2 - BHO: (no name) - {3B2315D5-C53E-4376-8C66-535540F42312} - Reg Error: Value error. File not found
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {AB25C083-C1DD-40DA-815E-9A21F92C4D11} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-725345543-764733703-839522115-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
OO4 - HKLM..\Run: [uDC Integration]  File not found
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\Wszyscy chetni\Dane aplikacji\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes "file://C:\WINDOWS\Java\classes\dajava.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\WRNotifier: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
[2010-11-03 17:58:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Wszyscy chetni\Dane aplikacji\DVDVideoSoftIEHelpers
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Wystarczy, iż tylko log z usuwania pokażesz.

 

2. Oprogramowanie do aktualizacji:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{87CC8013-56D1-43E1-A0A5-AD406B4EBA95}" = Opera 10.63
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Gadu-Gadu" = Gadu-Gadu 7.7
"InstallWIX_{D0DCD54F-C829-41A5-AF32-71E632BB0E2C}" = Kaspersky Internet Security 6.0
"KLiteCodecPack_is1" = K-Lite Codec Pack 4.8.0 (Full)
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)

• Stary Adobe (to wersja z luką umożliwiającą infekcję z wklejek na www) do deinstalacji, w zamian Adobe Reader X (10.0.1) (montaż bez McAfee).
  
• Wszystkie przeglądarki do aktualizacji: Firefox 4.0 / Opera 11.01 / Internet Explorer 8 (istotny mimo używania innych przeglądarek, silnik bazowy z którego korzysta system i aplikacje trzecie).
  
• Ten Kaspersky jest dość sfatygowany, jeśli jest możliwość aktualizacji / wymiany, postaraj się.
  
• Natomiast zamienniki dla niepełosprawnego GG7 są w temacie Darmowe komunikatory. Propozycje: WTW / Miranda.
  

3. I bardzo mało wolnego miejsca zostało na dysku systemowym:

 

Drive C: | 32,81 Gb Total Space | 1,56 Gb Free Space | 4,76% Space Free | Partition Type: NTFS

Analitykę zajętego miejsca możesz przeprowdzić w darmowym programiku SpaceSniffer .

 

 

 

.

[azorek69]

Witam po dość długim czasie. Na weekend wyjechałem z domu, także nie mogłem sprawdzić odpowiedzi. A po powrocie dopiero teraz znalazłem chwilę, żeby zajrzec do tego komputera.

 

Rozpocznij przez Wykonaj skrypt. System zostanie zrestartowany i na koniec zostanie podany log z usuwania.

 

KOMP KOLEGI

 

Skrypt wykonany, zamieścić log z usuwania, czy tylko nowe logi OTL i gmer?

 

Ashampoo Toolbar usunięy, Ask Toolbar nie chce się usunąć, wyskakuje komunikat o błędzie Cannot import dll c:\program files\askbardis\bar\bin\psvincse.dll

 

Podobny komunikat pojawia się podczas próby deinstalacji k-lite mega codec pack. Inny proces deinstalacji zgłasza brak pliku ctor.dll.

 

Pewnie będę musiał poczyścić rejestr ręcznie z tych wpisów.

 

Na czym polega to "niedziałanie"? Reinstalacja Internet Explorer, odświeżająca jego pliki, sprowadza się do uruchomienia Reperacji z płyty CD XP (co zdowngraduje IE do wersji IE6) lub lepiej:

 

No właśnie zainstalowałem IE8 i już działa. W międzyczasie pousuwałem wiele zbędnych programów, jak również zainstalowałem KAV 2011.

 

Załączam pliki.

 

Czy mogę już przywrócić zmiany zrobione defoggerem?

 

----------------------------------------------------------------------

 

MÓJ KOMP

 

 

Znaków infekcji brak. Ale można nieco posprzątać martwe wpisy i wyrzucić wmontowane do IE i Firefox sponsoringowe rozszerzenie DVDVideoSoft.

 

Cieszę się, że nie ma infekcji. A a wtyczka DVDVideoSoft to nawet przydatna jest. Czasami z niej korzystam, celowo ją nawet zainstalowałem przy instalacji. (choć w sumie teraz do ściągania mp3 z youtube, to chyba jdownloadera używam).

 

Stary Adobe (to wersja z luką umożliwiającą infekcję z wklejek na www) do deinstalacji, w zamian Adobe Reader X (10.0.1) (montaż bez McAfee).

Wszystkie przeglądarki do aktualizacji: Firefox 4.0 / Opera 11.01 / Internet Explorer 8 (istotny mimo używania innych przeglądarek, silnik bazowy z którego korzysta system i aplikacje trzecie).

Ten Kaspersky jest dość sfatygowany, jeśli jest możliwość aktualizacji / wymiany, postaraj się.

Natomiast zamienniki dla niepełosprawnego GG7 są w temacie Darmowe komunikatory. Propozycje: WTW / Miranda.

 

Adobe chyba odinstaluje w ogóle, bo za "duży". Myślałem, żeby się przerzucić na FoxitReadera, dobry typ?

IE8 celowo nie instalowałem, ponieważ już chyba od wersji IE7 przy otwieraniu nowej karty Kasperski wyrzuca monit o otwieraniu przegłądarki z parametrami wiersza poleceń (ochrona proaktywna). Wiem, że te monity można wyłączyć, jednak chwalę je sobie w innych okolicznościach. Może nowsze wersje Kasperskiego sobie lepiej z tym radzą, nie sprawdzałem.

No właśnie Kasperski jest stary, ale chyba spełnia swoją rolę, aktualizacje pobiera przynajmniej regularnie No chyba, że są jakieś przeciwwskazania, żeby tej wersji już nie używać? Co polecasz?

 

GG jakoś mało używam, już nie wspominając o niechęci przerzucenia się na wszystkie nowsze wersje, za dużo wodotrysków. Sprawdzę to WTW, ktoś coś mi o tym niedawno wspominał i polecał.

 

3. I bardzo mało wolnego miejsca zostało na dysku systemowym:

 

Ilość wolnego miejsca na partycji systemowej się u mnie ciągle zmienia. Generalnie wiem co się tu znajduje, czasem jak mi brakuje miejsca na innych partycjach, to przerzucam coś na systemową i to może tam na dłużej się zadomowić. A sprzątanie wszystkich partycji to ja przeprowadzam już chyba od ponad roku bez powodzenia

 

Cóż, mój system się już od dawna prosi o czystkę, jednak nigdy nie mam dość czasu na to.

FriendPC_OTL_2011.04.16.Txt

FriendPC_OTL_Extras_2011.04.16.Txt

FriendPC_gmer_2011.04.16.Txt

[picasso]

Komputer kolegi:

 

1. Drobnostki do usunięcia, w OTL w sekcji Własne opcje skanowania / skrypt wklej co poniżej, klik w Wykonaj skrypt.

 

:OTL
SRV - File not found [On_Demand | Stopped] --  -- (NMIndexingService)
O3 - HKU\S-1-5-21-861567501-2049760794-725345543-1004\..\Toolbar\WebBrowser: (no name) - {5A074B29-F830-49DE-A31B-5BB9D7F6B407} - No CLSID value found.
[2011-04-16 14:30:08 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Waldek\Dane aplikacji\PriceGong

 

2. W OTL wywołaj Sprzątanie.

 

 

Ashampoo Toolbar usunięy, Ask Toolbar nie chce się usunąć, wyskakuje komunikat o błędzie Cannot import dll c:\program files\askbardis\bar\bin\psvincse.dll

 

Podobny komunikat pojawia się podczas próby deinstalacji k-lite mega codec pack. Inny proces deinstalacji zgłasza brak pliku ctor.dll.

 

Pewnie będę musiał poczyścić rejestr ręcznie z tych wpisów.

 

Możliwe, że to skutki po wirusie.

 

• Ask Toolbar: spróbuj usunąć za pomocą Multi-Toolbar Remover.
  
• K-Lite: pobierz dokładnie tę samą wersję (jest na Filehippo: K-Lite Mega Codec Pack 1.67) i nadinstaluj nakładkowo, by się odświeżyły pliki, a następnie odinstaluj. Proces jest zgrabniejszy niż próba ręcznego usunięcia.
  
• Natomiast ten komunikat z brakiem pliku ctor.dll, czy to nadal aktualne? Widzę ten plik w logu jako świeżo utworzony:
  

[2011-04-16 14:49:44 | 000,069,715 | ---- | C] (InstallShield Software Corporation) -- C:\WINDOWS\System32\ctor.dll

 

Czy mogę już przywrócić zmiany zrobione defoggerem?

 

Tak.

 

 

 

Twój komputer:

 

Rozumiem, że skryptu nie wykonałeś i powstrzymało Cię planowanie usuwania wpisów DVDVideoSoft. To wytnij te wpisy ze skryptu i puść resztę.

 

 

A a wtyczka DVDVideoSoft to nawet przydatna jest. Czasami z niej korzystam, celowo ją nawet zainstalowałem przy instalacji. (choć w sumie teraz do ściągania mp3 z youtube, to chyba jdownloadera używam)

 

Twój wybór, w mojej opinii to niepotrzebnie zabiera zasoby przeglądarki. Nawiasem mówiąc: DVDVideoSoft Menu i tak jest niezgodne z Firefox 4.0, do którego aktualizacji namawiam.

 

 

Adobe chyba odinstaluje w ogóle, bo za "duży". Myślałem, żeby się przerzucić na FoxitReadera, dobry typ?

 

Foxit jest u mnie spalony. Próbuje śmiecić komputer całkowicie zbędnymi paskami sponsoringowymi zamaskowanymi jakoby była to część funkcjonalności. Owszem, można to ominąć, ale co z tego. Dlatego przy wykryciu zdezaktualizowanej wersji czytnika PDF proponuję oryginał, a jeśli jakiś zamiennik lajtowy to prędzej polecam Sumatra PDF.

 

 

No właśnie Kasperski jest stary, ale chyba spełnia swoją rolę, aktualizacje pobiera przynajmniej regularnie No chyba, że są jakieś przeciwwskazania, żeby tej wersji już nie używać? Co polecasz?

 

Aktualizacja baz a cała podkładowa struktura / sterowniki = dwie różne rzeczy. Przeciwskazania? Stare oprogramowanie to luki w tymże i większa podatność na deaktywację przez malware. Nie spodziewaj się, że antywirus sprzed kilku lat jest tak samo mocny jak antywirus wydany w tym roku ... Co polecam? Jeśli nie ma szans na unowocześnienie komercji do najnowszej wersji, to bierz któreś rozwiązanie darmowe i w mojej opinii nie ma znaczenia które z czołówki.

 

 

IE8 celowo nie instalowałem, ponieważ już chyba od wersji IE7 przy otwieraniu nowej karty Kasperski wyrzuca monit o otwieraniu przegłądarki z parametrami wiersza poleceń (ochrona proaktywna). Wiem, że te monity można wyłączyć, jednak chwalę je sobie w innych okolicznościach. Może nowsze wersje Kasperskiego sobie lepiej z tym radzą, nie sprawdzałem.

 

Nie powinieneś podporządkowywać bezpieczeństwa systemu do zachowania (przestarzałego) Kasperskiego. Powinno być na odwrót: to Kaspersky powinien zostać dostosowany do systemu.

 

 

GG jakoś mało używam, już nie wspominając o niechęci przerzucenia się na wszystkie nowsze wersje, za dużo wodotrysków. Sprawdzę to WTW, ktoś coś mi o tym niedawno wspominał i polecał.

 

Pod żadnym pozorem nie kieruję do wymiany na nowsze wersje oryginału, bo to co w tych wersjach zroblili woła o pomstę do nieba. WTW zaś szczerze polecam, sama z niego korzystam.

 

 

 

 

.

[azorek69]

1. Drobnostki do usunięcia, w OTL w sekcji Własne opcje skanowania / skrypt wklej co poniżej, klik w Wykonaj skrypt.

2. W OTL wywołaj Sprzątanie.

 

Zrobione.

 

Możliwe, że to skutki po wirusie.

 

Ask Toolbar: spróbuj usunąć za pomocą Multi-Toolbar Remover.

K-Lite: pobierz dokładnie tę samą wersję (jest na Filehippo: K-Lite Mega Codec Pack 1.67) i nadinstaluj nakładkowo, by się odświeżyły pliki, a następnie odinstaluj. Proces jest zgrabniejszy niż próba ręcznego usunięcia.

Natomiast ten komunikat z brakiem pliku ctor.dll, czy to nadal aktualne? Widzę ten plik w logu jako świeżo utworzony:

 

Asktoolbar usunięty. Okazało się, że brakujący plik psvince.dll nie ma znajdować się w c:\windows\system32 tylko w folderze z daną instalacją (bo to plik instalatora InnoSetup). To samo było z K-Lite Codec Packiem. Przyznam, że wcześniej ściągnąłem właśnie taką samą wersją z myślą o nadinstalowaniu i ewentualnie odinstalowaniu, nie zadziałało, być może coś źle zrobiłem.

 

Plik ctor.dll ściągnąłem, jednak też wrzuciłem do c:\windows\system32 trzeba było wrzucić w inne miejsce (szkoda pissć długiej ścieżki). W każdym razie to nie był jedyny brakujący blik instalatora InstallShield, dlatego musiałem przeprowadzić reinstalację InstallShield Engine. Teraz działa poprawnie.

 

Reszty sprzątać już nie będę, myślę, że jak jakiś program nie będzie koledze działać, to sobie poradzi z reinstalacją.

 

EDIT:

 

Zapomniałem jeszcze o jednej sprawie. Widzę, że foldera Qoobox już nie ma. Pewnie OTL sprzątnął, jednak na dyskach są jeszcze foldery $AVG\$VAULT podejrzewam, że to foldery kwarantanny AVG, ale skoro już go odinstalowałem, to pewnie foldery spokojnie można usunąć?

No i jeszcze sprawa odinstalowania Konsoli Odzyskiwania Systemu (czy co tam się zainstalowało z ComboFixem). Jakieś konkretne procedury są potrzebne? (na swoim laptopie chyba źle o kiedyś odinstalowałem, ponieważ teraz żeby zbootować system z dysku, muszę się tam dostać z menu Hiren's Boot CD - podejrzewam, że repair windowsa by pomógł, ale nie próbowałem).

 

Jest jeszcze folder Kaspersky Rescue Disk 10, można usuwać?

 

Twój komputer:

 

Rozumiem, że skryptu nie wykonałeś i powstrzymało Cię planowanie usuwania wpisów DVDVideoSoft. To wytnij te wpisy ze skryptu i puść resztę.

 

Właściwie skryptu nie wykonałem, ponieważ nie miałem czasu na to. Tak mnie uspokoiła wiadomość o braku infekcji u mnie, że zostawiłem swojego kompa w spokoju. Domyślałem się, ze wystarczy usunąć odpowiednie wpisy ze skryptu, jednak skoro uważasz, że wtyczka jest zbędna, to pewnie się jej pozbędę. Jak już pisałem podobne czynności mogę wykonać jdownloaderem.

 

Foxit jest u mnie spalony. Próbuje śmiecić komputer całkowicie zbędnymi paskami sponsoringowymi zamaskowanymi jakoby była to część funkcjonalności. Owszem, można to ominąć, ale co z tego. Dlatego przy wykryciu zdezaktualizowanej wersji czytnika PDF proponuję oryginał, a jeśli jakiś zamiennik lajtowy to prędzej polecam Sumatra PDF.

 

Rzeczywiście ciekawa ta Sumatra Ale zainstaluję oryginał również.

 

Co polecam? Jeśli nie ma szans na unowocześnienie komercji do najnowszej wersji, to bierz któreś rozwiązanie darmowe i w mojej opinii nie ma znaczenia które z czołówki.

 

No w takim razie rozejrzę się za czymś nowym. A z komercyjnych wersji co byś poleciła?

 

Nie powinieneś podporządkowywać bezpieczeństwa systemu do zachowania (przestarzałego) Kasperskiego. Powinno być na odwrót: to Kaspersky powinien zostać dostosowany do systemu.

 

OK, zainstaluję IE8 i wyłączę opcje z Kaspa, żeby nie klikać za dużo na "Allow"

 

Pod żadnym pozorem nie kieruję do wymiany na nowsze wersje oryginału, bo to co w tych wersjach zroblili woła o pomstę do nieba. WTW zaś szczerze polecam, sama z niego korzystam.

 

A tak na marginesie, czy pliki archiwum z GG ten programik przeczyta, czy stare wiadomości nie będą już dostępne?

[picasso]

(...) na dyskach są jeszcze foldery $AVG\$VAULT podejrzewam, że to foldery kwarantanny AVG, ale skoro już go odinstalowałem, to pewnie foldery spokojnie można usunąć?

(...)

Jest jeszcze folder Kaspersky Rescue Disk 10, można usuwać?

 

Jasne, można usuwać te foldery.

 

 

No i jeszcze sprawa odinstalowania Konsoli Odzyskiwania Systemu (czy co tam się zainstalowało z ComboFixem). Jakieś konkretne procedury są potrzebne? (na swoim laptopie chyba źle o kiedyś odinstalowałem, ponieważ teraz żeby zbootować system z dysku, muszę się tam dostać z menu Hiren's Boot CD - podejrzewam, że repair windowsa by pomógł, ale nie próbowałem).

 

Deinstalacja Konsoli jest rozłożona na następujące kroki:

- Edycja pliku BOOT.INI, jak zaznaczone w opisie: KLIK.

- Usunięcie obiektów Konsoli z dysku: pliku CMLDR + folderu CMDCONS. Przy czym usuwanie folderu wymaga dodatkowej akcji, gdyż ComboFix modyfikuje nieco proces instalacji konsoli, blokując przez uprawnienia usunięcie tego folderu. Należy wejść do opcji uprawnień folderu (KLIK) i dla grupy Wszyscy odznaczyć Odmów na rzecz Pełnej kontroli. Po tej operacji folder będzie gotowy do kasacji.

 

Na temat Twojego przypadku: to nie powinno się stać po prawidłowym usunięciu Konsoli. Zaprezentuj zawartość pliku boot.ini + widok układu dysków z diskmgmt.msc.

 

 

A tak na marginesie, czy pliki archiwum z GG ten programik przeczyta, czy stare wiadomości nie będą już dostępne?

 

Cytat z mojej pracy:

 

Archiwizacja:

 

(...) Karta Konserwacja udostępnia czynności importujące i porządkowe. WTW potrafi importować archiwum Tlena, Gadu w wersji 6/7 (archives.dat), Konnekta (o ile eksport wykonano w formacie XML) oraz AQQ2 (formaty DC2 i DCC). (...)

 

 

No w takim razie rozejrzę się za czymś nowym. A z komercyjnych wersji co byś poleciła?

 

Nie mam nic przeciwko marce Kaspersky i powieleniu produktu, tylko w nowszej wersji. Ponadto możesz jeszcze poczytać w dziale zabezpieczeń o testach i opiniach na temat różnych rzeczy: KLIK.

 

 

 

.

[azorek69]

Witam po dość długiej przerwie. Niestety nawał obowiązków nie pozwalał mi na zajęcie się wszystkim na poważnie.

 

Oprogramowanie uaktualniłem, oprócz antywira i k-lite codec packa.

 

Wykonałem też skrypt OTL, szkoda, ze wcześniej nie sprawdziłem co oznaczają komendy [emptyflash] i [emptytemp]. Generalnie wole śmieci usuwać ręcznie niż automatycznie... :/

 

Postaram się teraz skonfigurować wspominane WTW.

 

Załączam też loga z usuwania OTL.

 

 

Na temat Twojego przypadku: to nie powinno się stać po prawidłowym usunięciu Konsoli. Zaprezentuj zawartość pliku boot.ini + widok układu dysków z diskmgmt.msc.

 

boot.ini przywracałem z pliku .BAK wygląda dokładnie tak jak na stacjonarnym kompie, podobnie układ dysków wygląda na dobry, partycja systemowa jest prawidłowo wykrywana jako systemowa. Tak sobie przypomniałem (poniekąd), że mój problem może wynikać z nieudanej próby uruchomienia ComboFixa na laptopie, chyba wtedy on się po prostu na jakiejś czynności zawiesił, przez ponad pół godziny żadnej aktywności nie wykazywał komputer, jednak niczego nie mogłem anulować w ComboFixie, dlatego nastąpił restart. Być może gdzieś jakieś flagi są źle poustawiane.

 

A co do antywira, to muszę jeszcze podpytać/poczytać opinie.

05092011_123614.txt

[picasso]

Wykonałem też skrypt OTL, szkoda, ze wcześniej nie sprawdziłem co oznaczają komendy [emptyflash] i [emptytemp]. Generalnie wole śmieci usuwać ręcznie niż automatycznie... :/

 

Nie rozumiem co Cię tu tak "zmartwiło".

 

 

boot.ini przywracałem z pliku .BAK wygląda dokładnie tak jak na stacjonarnym kompie, podobnie układ dysków wygląda na dobry, partycja systemowa jest prawidłowo wykrywana jako systemowa

 

Mówię, zaprezentuj mi zawartość BOOT.INI + układ partycji z diskmgmt.msc. By to ocenić, muszę mieć precyzyjne dane. Zaś porównania z innym komputerem to nie jest dobra metoda sprawdzania.

 

 

.

[azorek69]

Nie rozumiem co Cię tu tak "zmartwiło".

 

Właściwie to przede wszystkim usunięcie elementów z kosza. Ja nie korzystam z kosza, wiec usuwam pliki bezpośrednio, jednak sam nie korzystam z komputera i wolałbym wiedzieć, czy inny członek rodziny nie usunął czegoś "do kosza". No nieważne, przeżyje jakoś.

 

 

Mówię, zaprezentuj mi zawartość BOOT.INI + układ partycji z diskmgmt.msc. By to ocenić, muszę mieć precyzyjne dane. Zaś porównania z innym komputerem to nie jest dobra metoda sprawdzania.

 

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

[picasso]

Partycją aktywną jest C. Zaprezentuj mi wygląd plików startowych (data modyfikacji + suma kontrolna). W OTL wszystkie opcje ustaw na Brak + Żadne, a w polu Własne opcje skanowania / skrypt wklej:

 

/md5start
NTLDR
NTDETECT.COM
/md5stop

Klik w Skanuj. Przeklej wyniki.

[azorek69]

OTL logfile created on: 2011-05-09 21:22:05 - Run 3

OTL by OldTimer - Version 3.2.22.3 Folder = D:\!!!!!!!!!rootkit

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 29,00% Memory free

2,00 Gb Paging File | 1,00 Gb Available in Paging File | 31,00% Paging File free

Paging file location(s): [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 12,00 Gb Total Space | 2,31 Gb Free Space | 19,26% Space Free | Partition Type: NTFS

Drive D: | 43,89 Gb Total Space | 5,30 Gb Free Space | 12,09% Space Free | Partition Type: NTFS

Drive E: | 379,32 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

 

Computer Name: ACER4021WLMI | User Name: Kris | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Custom Scans ==========

 

 

 

< MD5 for: NTDETECT.COM >

[2004-08-03 23:38:34 | 000,047,564 | ---- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\cmdcons\NTDETECT.COM

[2006-10-07 02:13:11 | 000,047,564 | RHS- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\NTDETECT.COM

[2004-08-03 22:38:34 | 000,047,564 | ---- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\WINDOWS\ServicePackFiles\i386\ntdetect.com

 

< MD5 for: NTLDR >

[2008-10-24 04:15:02 | 000,251,152 | RHS- | M] () MD5=B9571DF2FFE8031E58370FC017691136 -- C:\ntldr

[2008-04-13 20:31:58 | 000,251,152 | ---- | M] () MD5=B9571DF2FFE8031E58370FC017691136 -- C:\WINDOWS\ServicePackFiles\i386\ntldr

 

< End of report >

[picasso]

Widzę, że nie usunąłeś Konsoli z dysku w sposób pełny - jest tu zwrot tyczący obecności cmdcons. Patrząc na parametry plików, to teoretycznie rozmiary + suma kontrolna się zgadzają (ale nie daty modyfikacji). Oto skan z mojego SP3:

 

[2008-04-15 08:30:00 | 000,047,564 | RHS- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\NTDETECT.COM
 
[2008-04-15 08:30:00 | 000,251,152 | RHS- | M] () MD5=B9571DF2FFE8031E58370FC017691136 -- C:\ntldr

Przeprowadź następujące operacje:

 

1. Pozbądź się katalogu cmdcons, a także pliku CMLDR, o ile jest. Już podałam informację jaki tu jest haczyk wprowadzony przez ComboFix (trzeba przestawić uprawnienia).

 

2. Zastartuj do Konsoli odzyskiwania, ale z płyty (jeśli nie masz CD XP, tu płytka z samą konsolą: KLIK) i wklep polecenie FIXBOOT

 

3. Zresetuj komputer i sprawdź czy Windows potrafi sam z siebie zbootować, bez tej pomocniczej sztuczki z Hirensem.

 

 

.

[azorek69]

Pozwolę sobie zrobić to jutro Dziękuję za poświęcony czas

 

 

EDIT:

 

Konsola usunięta, wcześniej tego nie robiłem, ponieważ wystarczyło mi wyedytowanie boot.ini (przynajmniej tak mi się wydawało)

 

Niestety FIXBOOT nie pomógł.

 

Wklejam wyniki MD5 z OTL po usunięciu konsoli i FIXBOOT

 

OTL logfile created on: 2011-05-10 09:58:08 - Run 4

OTL by OldTimer - Version 3.2.22.3 Folder = D:\!!!!!!!!!rootkit

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 58,00% Memory free

2,00 Gb Paging File | 1,00 Gb Available in Paging File | 61,00% Paging File free

Paging file location(s): [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 12,00 Gb Total Space | 2,35 Gb Free Space | 19,55% Space Free | Partition Type: NTFS

Drive D: | 43,89 Gb Total Space | 5,30 Gb Free Space | 12,09% Space Free | Partition Type: NTFS

Drive E: | 379,32 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

 

Computer Name: ACER4021WLMI | User Name: Kris | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Custom Scans ==========

 

 

 

< MD5 for: NTDETECT.COM >

[2006-10-07 02:13:11 | 000,047,564 | RHS- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\NTDETECT.COM

[2004-08-03 22:38:34 | 000,047,564 | ---- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\WINDOWS\ServicePackFiles\i386\ntdetect.com

 

< MD5 for: NTLDR >

[2008-10-24 04:15:02 | 000,251,152 | RHS- | M] () MD5=B9571DF2FFE8031E58370FC017691136 -- C:\ntldr

[2008-04-13 20:31:58 | 000,251,152 | ---- | M] () MD5=B9571DF2FFE8031E58370FC017691136 -- C:\WINDOWS\ServicePackFiles\i386\ntldr

 

< End of report >

 

Jak na moje, to poza zniknięciem plików konsoli, żadnych zmian.

[picasso]

Wklejam wyniki MD5 z OTL po usunięciu konsoli i FIXBOOT

 

Skan OTL niepotrzebny w tym przypadku, to przecież nie mogło zmienić parametrów plików startowych, bo się nie zajmuje tym. FIXBOOT przepisuje sektor rozruchowy dysku twardego. Skoro jest to nieskuteczne, wypróbuj jeszcze komend: FIXMBR oraz CHKDSK /P /R.

[azorek69]

FIXMBR poskutkował.

 

Dziękuję. Myślę, że póki co to tyle pytań.