Problem z ładowaniem stron internetowych

[teletombola]

Zanim tu zajrzałam, użyłam narzędzia Combofix... Został mi polecony przez kogoś, ponieważ komputer przy przeglądaniu stron internetowych bardzo zamulał. Co prawda po użyciu Combofixu lepiej "chodzi", ale chciałabym wiedzieć co się wygenerowało w tym raporcie, czy to jakieś wirusy, czy trojany. Przeczytałam trochę na Waszym forum o Combofixie i nie wiem, czy mam jeszcze robić logo z narzędzi polecanych przez Was. Czy mogę Wam pokazać logo z Combofixu?

 

Pozdrawiam

Ola

[Landuss]

Już wklej tego loga z ComboFix skoro go ruszałaś, ale wymagane u nas logi też prosze utworzyć z OTL + Gmer.

[teletombola]

Po zrobieniu loga z Combofixem usunęłam Deamona Toolsa i dopiero Wasze logi

OTL.Txt

GMER.txt

ComboFix.txt

[picasso]

Landussa nie ma, więc przejmuję temat. Napisałaś na PW:

 

Włożyłam dzisiaj pen driva, wiedziałam, że ma wirusa, chociaż avast go od razu nie wykrył, a po przeskanowaniu owszem - w9.exe - usunęłam go, ale na kompie pewnie też jest... muli bardzo...

 

Podpięcie urządzenia mogło zmienić sytuację w systemie, więc muszę poprosić o:

- Nowy zestaw logów OTL z teraz

- Raport z USBFix z opcji Listing, tworzony z podpiętym pendrive.

 

 

 

.

[teletombola]

dzięki

 

Z OTL wygenerował się jeden jeden log OTL, Extras był poprzednio - teraz go nie ma (wkleić ten poprzedni?)

OTL.Txt

UsbFix.txt

[picasso]

Extras był poprzednio - teraz go nie ma (wkleić ten poprzedni?)

 

Tym razem nie powstał nowy, gdyż OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na Brak, a ma być "Użyj filtrowania".

 

Jedna wątpliwość, co to za ukryty folder:

 

[18/06/2010 - 13:24:22 | RSHD ] 	H:\seka

 

Poza tym, infekcji tu nie widzę, ale są rzeczy wymagające naprawy / ulepszenia. Głównie deinstalacje mam na uwadze:

 

1. Avast jest w starszej wersji. Kwalifikuje się do deinstalacji i zamiany najnowszą wersją Avast 6 (za darmo więcej funkcji). Po deinstalacji wersji obecnej i jeszcze przed wprowadzeniem nowej sprawdź czy system nie pracuje lepiej.

 

2. Do deinstalacji także zbędny downloader Adobe Akamai NetSession Interface.

 

3. Do deinstalacji paski sponsoringowe: free-downloads.net Toolbar, Softonic-Polska Toolbar. Oprócz tego, w Firefox wejdź do menedżera rozszerzeń i wymontuj to samo plus Conduit Engine i Daemon Tools Toolbar (DTToolbar@toolbarnet.com).

 

4. Widzę GG10, straszny zamulacz. Opcjonalnie rozważ wymianę na szybszy i bezreklamowy komunikator alternatywny z obsługą GG8/10. Np. WTW lub Miranda. Opisy w temacie: Darmowe komunikatory.

 

5. Windows do aktualizacji:

 

Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)

Uzupełnij SP1 i IE9. Szczegóły aktualizacyjne: INSTRUKCJE.

 

 

Po przeprowadzeniu wszystkich zaleceń wytwórz nowe logi do oceny oraz przedstaw sytuację systemową. Wtedy będzie się można zająć czyszczeniem drobnostek.

 

 

.

[teletombola]

Jedna wątpliwość, co to za ukryty folder:

 

[18/06/2010 - 13:24:22 | RSHD ] 	H:\seka

 

nie mam pojęcia

 

Głównie deinstalacje mam na uwadze:

 

3. Do deinstalacji paski sponsoringowe: free-downloads.net Toolbar, Softonic-Polska Toolbar. Oprócz tego, w Firefox wejdź do menedżera rozszerzeń i wymontuj to samo plus Conduit Engine i Daemon Tools Toolbar (DTToolbar@toolbarnet.com).

 

deamona nie ma w rozszerzeniach (a może miałam gdzie indziej go szukać?)

 

 

w ogóle porażka jakaś się stała...

zrobiłam to co napisałaś, pousuwałam jeszcze kilka rzeczy, które uznałam, ze już mi niepotrzebne, zaktualizowałam Windowsa, wywaliłam tamtego avasta, zainstalowałam avasta 6. Pomiędzy avastami może i trochę lepiej było, ale z avastem 6 robiłam log z OTL i OTL się zaciął, potem coś dziwnego się działo - wszystkie obrazy się zacięły - ale raporty się wygenerowały:

 

 

Potem GMER - odłączyłam wszystkie funkcje avasta i dłuuugo bardzo się generowało, netbook się uśpił i za nic w świecie nie chciał się "obudzić"... A potem to już śladu po GMERZE nie było... Nie wiem, czy go jeszcze raz mam robić?

A teraz za każdym razem przy włączaniu kompa wyświetla sie komunikat o sterowniku:

 

 

Mam wrażenie, ze jest jeszcze gorzej... Co robić?

Extras.Txt

OTL.Txt

[picasso]

Mam wrażenie, ze jest jeszcze gorzej... Co robić?

 

No ale teraz to przesadziłaś. Są aż dwa antywirusy czynne (!): Avast + Microsoft Security Essentials. Tak być nie może. Wybierz jeden z nich, drugi definitywnie odinstaluj.

 

 

A teraz za każdym razem przy włączaniu kompa wyświetla sie komunikat o sterowniku - screen.

 

Błąd wskazuje na niezgodność sterownika HID Non-User Input Data Filter:

 

Error - 4/14/2011 5:55:59 AM | Computer Name = Ola-Komputer | Source = Application Popup | ID = 875
Description = Sterownik NuidFltr.sys został zablokowany dla ładowania.

Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > wyszukaj tam myszki i klawiatury, wejdź do Właściwości i sprawdź czy da się zaktualizować sterownik. Jeśli niemożliwe, wejdź na stronę MS i pobierz najnowsze sterowniki IntelliPoint / IntelliType: KLIK.

 

 

deamona nie ma w rozszerzeniach (a może miałam gdzie indziej go szukać?)

 

Ciągle go widzę:

 

FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014

 

To już wyczyszczę skryptem puszczonym przez OTL.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2617050095-927467253-1458461005-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1098640"
FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "free-downloads.net Customized Web Search"
FF - prefs.js..extensions.enabledItems: {ecdee021-0d17-467f-a1ff-c7a115230949}:2.5.6.0
FF - prefs.js..extensions.enabledItems: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}:2.7.1.3
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&q="
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O3 - HKU\S-1-5-21-2617050095-927467253-1458461005-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2617050095-927467253-1458461005-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O37 - HKU\S-1-5-21-2617050095-927467253-1458461005-1001\...exe [@ = exefile] -- Reg Error: Key error. File not found
 
:Files
C:\Users\Ola\AppData\Local\Temp*.html
C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\k7sndy5c.default\searchplugins\ask.uk.xml
C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\k7sndy5c.default\searchplugins\conduit.xml
C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\k7sndy5c.default\searchplugins\daemon-search.xml

Klik w Wykonaj skrypt.

 

2. Nowe logi z OTL to już pokażesz dopiero po deinstalacji antywirusa. Zaś w związku z tym, że:

 

 

nie mam pojęcia

 

.... zrobisz skan dostosowany pokazujący zawartość tego ukrytego folderu. W polu Własne opcje skanowania / skrypt wklej (zakładam, że dysk będzie nadal zmapowany pod literą H:);

 

DIR /S /A H:\seka /C

klik w Skanuj.

 

 

 

 

.

[teletombola]

No ale teraz to przesadziłaś. Są aż dwa antywirusy czynne (!): Avast + Microsoft Security Essentials. Tak być nie może. Wybierz jeden z nich, drugi definitywnie odinstaluj.

upss...

Avast usunięty

 

 

w trakcie skanu OTL Microsoft Security Essentials znalazł na H i C robaka Win32/Autorun!inf i go sobie usunął

OTL1.txt

OTL2.Txt

Extras.Txt

[picasso]

Czy poradziłaś sobie ze sterownikami, o których mówiłam? Widzę w logu nowe pliki, czyli operacja zaistniała. Czy błąd zablokowanego sterownika zniknął?

 

 

Avast usunięty

 

Czy po deinstalacji system lepiej się czuje? Po Avaście zostały te foldery, skasuj ręcznie:

 

[2011/04/14 13:26:02 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software
[2011/04/14 13:26:02 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software

 

w trakcie skanu OTL Microsoft Security Essentials znalazł na H i C robaka Win32/Autorun!inf i go sobie usunął

 

Pokaż ten wynik. Zaś skan OTL pokazuje, że ów ukryty folder H:\seka jest prawie pusty (tylko plik desktop.ini w środku). Skasuj ten folder.

 

 

 

.

[teletombola]

Czy poradziłaś sobie ze sterownikami, o których mówiłam? Widzę w logu nowe pliki, czyli operacja zaistniała. Czy błąd zablokowanego sterownika zniknął?

tak, skorzystałam z linka, którego mi dałaś, bo sam nie chciał się zaktualizować - gadał, że u niego jest o.k. ;-)

 

w trakcie skanu OTL Microsoft Security Essentials znalazł na H i C robaka Win32/Autorun!inf i go sobie usunął

 

wrzucam screen (o to chodziło?? )

 

 

ukryty folder H:\seka jest prawie pusty (tylko plik desktop.ini w środku). Skasuj ten folder.

 

nie umiem...

Panel sterowania->Opcje folderów->zaznaczyłam "pokaż ukryte" i nie ma

[picasso]

Czyli podsumuj tu jakie jeszcze problemy notujesz, gdyż nie potrafię odczytać, czy wszystko już w porządku?

 

 

nie umiem...

Panel sterowania->Opcje folderów->zaznaczyłam "pokaż ukryte" i nie ma

 

Ta opcja nie wystarczy. Opcje ukrytych są dwie. Musisz jeszcze odptaszkować "Ukryj chronione pliki systemu operacyjnego".

 

 

wrzucam screen (o to chodziło?? )

 

To dziwne skąd ten autorun.inf na dysku H. W poprzednio dostarczonym USBFix w ogóle nie było tego pliku. Zabezpiecz ten nośnik USB przez Panda USB Vaccine. Instalator uruchom w trybie zgodności z Vista, nie instaluj strażnika i obsługi NTFS, narzędzie masz wykorzystać tylko do wpuszczenia na urządzenie całkowicie zablokowanego podrobionego autorun.inf, a po akcji Pandę usunąć z systemu.

 

 

 

.

[teletombola]

Czyli podsumuj tu jakie jeszcze problemy notujesz, gdyż nie potrafię odczytać, czy wszystko już w porządku?

 

system jest o.k., internet - nie jest super, ale lepiej, dziękuję bardzo za szybką pomoc i chylę czoła ;-)

 

 

Ta opcja nie wystarczy. Opcje ukrytych są dwie. Musisz jeszcze odptaszkować "Ukryj chronione pliki systemu operacyjnego".

wklejam screeny, okazuje się, że seka jest.. koszem? gdy go otwarłam, miał tam śmieci z mojego kosza pulpitowego (?), no i jak go chcę usunąć, to gada, że jest tym z pulpitu... o co chodzi?

 

 

To dziwne skąd ten autorun.inf na dysku H

był dzisiaj na ksero, więc pewnie się zaraził u nich

[picasso]

był dzisiaj na ksero, więc pewnie się zaraził u nich

 

No tak, to wyjaśnia sprawę. Zabezpieczenie Pandą, które poleciłam, przynajmniej spowoduje niemożność zapisania się szkodliwych plików autorun.inf na Twoim dysku.

 

 

internet - nie jest super, ale lepiej

 

W jaki sposób się to objawia? Następnie: czy robi różnicę typ przeglądarki, tzn. jak to wygląda na Firefox a jak na Internet Explorer?

 

 

wklejam screeny, okazuje się, że seka jest.. koszem? gdy go otwarłam, miał tam śmieci z mojego kosza pulpitowego (?), no i jak go chcę usunąć, to gada, że jest tym z pulpitu... o co chodzi?

 

To nie może być prawdziwy Kosz. Kosz może nosić następujące nazwy: RECYCLER (starsze systemy na NTFS), RECYCLED (starsze systemy na FAT) oraz $Recycle.Bin (Vista i Windows 7). Tu jest pewnie użyta sztuczka ze stworzeniem wirtualizowanego widoku i z poziomu Windows Explorer widzisz to jako "kosz". Ale z linii komend (raport z USBFix) widać to inaczej.

 

Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator i wpisz polecenia:

 

1. Zmiana napędu na dysk H:

 

H:

 

ENTER

 

2. Usunięcie folderu:

 

RD /S /Q H:\seka

 

ENTER

 

 

 

.

[teletombola]

jednak nie jest dobrze, już myślałam, że to wina dostawcy internetu, ale okazało się,że drugi komp (stacjonarny) działa dobrze

 

właśnie włożyłam pen driva, żeby zrobić z nim to co mówiłaś, usunęłam tego seka i chwilę potem MSE wykrył robaka na H i jego kopię na C :win32/Taterf.B, a w elementach pisze, że to w9.exe... dziasiaj pendrive nigdzie nie był... i pojawił sie nowy folder - ukryty - "golemikurac" z aplikacją "ninabadric"

 

W jaki sposób się to objawia? Następnie: czy robi różnicę typ przeglądarki, tzn. jak to wygląda na Firefox a jak na Internet Explorer?

nie ma znaczenia przeglądarka, strony się dłuuugo otwierają, wiadomość najpierw się pisze, a potem się pokazuje (czyli działa z opóźnieniem), często jest "przekroczono limit czasu" , a teraz jak sie pojawił ten taterif to przy otwieraniu strony wyskoczył taki komunikat:

 

Nasze systemy wykryły nietypowy ruch pochodzący z Twojej sieci komputerowej. 

Spróbuj ponowić swoje żądanie nieco później. Dlaczego tak się stało?

 

 

Adres IP: 83.30.90.21

Godzina: 2011-04-15T18:11:29Z

Adres URL: hxxp://translate.googleusercontent.com

/translate_c?hl=en&rurl=translate.google.com&sl=auto&tl=pl&u=http:

//www.fasterpccleanclean.com/da/win32-taterf-b-removal&usg=ALkJrhh8HNejbCiFT_UXgOfb6mFxyfGXVw

 

Zabezpieczenie Pandą, które poleciłam, przynajmniej spowoduje niemożność zapisania się szkodliwych plików autorun.inf na Twoim dysku.

zrobione - a przynajmniej tak mi się wydaje, bo nie ma tam żadnego folderu autorun (a chyba o to chodziło)

[picasso]

właśnie włożyłam pen driva, żeby zrobić z nim to co mówiłaś, usunęłam tego seka i chwilę potem MSE wykrył robaka na H i jego kopię na C :win32/Taterf.B, a w elementach pisze, że to w9.exe... dziasiaj pendrive nigdzie nie był... i pojawił sie nowy folder - ukryty - "golemikurac" z aplikacją "ninabadric"

 

A może to jest konsekwencja niedoczyszczenia po odwiedzinach na ksero? Nie sprawdzałam zawartości urządzenia z tego etapu. Zaczynamy od początku: dostarcz cały komplet logów z OTL / GMER oraz USBFix przedstawiający zawartość tego dysku.

[teletombola]

o.k.

OTL.Txt

Extras.Txt

GMER.txt

UsbFix.txt

[picasso]

1. Widzę, że już zabezpieczyłaś urządzenie za pomocą Pandy, jest plik autorun.inf wytworzony przez to narzędzie:

 

[15/04/2011 - 21:58:12 | H | 16] 	H:\AUTORUN.INF

Na urządzeniu notuję tylko ten ukryty folder infekcji (przez SHIFT+DEL skasuj go z urządzenia), o którym sama mówisz:

 

[14/04/2011 - 11:33:04 | RSHD ] 	H:\golemikurac

I nic więcej. Zaczynam się jednak zastanawiać czy w pozostałych folderach tego urządzenia, wyglądających na prawidłowe, nie ma czegoś niedobrego. Tego za pomocą raportu USBFix nie jestem w stanie stwierdzić, gdyż raport nie robi skanu rekursywnego i nie widzę składowych folderów. Czy wszystkie foldery zostały przeskanowane?

 

2. Problem: w pozostałych logach nie widać żadnych oznak infekcji. Pomijając zdarzenie z odtworzeniem robaka na pendrive:

 

 

jednak nie jest dobrze, już myślałam, że to wina dostawcy internetu, ale okazało się,że drugi komp (stacjonarny) działa dobrze

 

Tak się zastanawiam czy problemu nie stanowi tu przypadkiem LogMeIn Hamachi (ingeruje w układ sieciowy) .... Kilkukrotnie rozwiązywałam tematy z Windows 7, gdzie ten program wystąpił w kontekście negatywnego wpływu na system. Tu na dodatek nie widzę programu w postaci całkowitej, brak wpisu na liście zainstalowanych, ale w logu stoi sterownik:

 

DRV - [2009/03/18 17:35:40 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\hamachi.sys -- (hamachi)

Zweryfikuj gdzie widać ślady Hamachi:

 

1. Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > z menu Widok włącz pokazywanie ukrytych urządzeń > na ujawnionej liście Sterowników niezgodnych z Plug and Play czy widać sterownik Hamachi. Również sprawdź gałąź Karty sieciowe czy nie ma jakiegoś dodatkowego obiektu.

 

2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie oceń jakie komponenty są używane przez połączenie, zaprezentuj z tego obrazek.

 

 

 

 

.

[teletombola]

Na urządzeniu notuję tylko ten ukryty folder infekcji (przez SHIFT+DEL skasuj go z urządzenia), o którym sama mówisz:

 

[14/04/2011 - 11:33:04 | RSHD ] H:\golemikurac

 

Usunęłam go MSE - pisało, że to trojan:

 

 

I nic więcej. Zaczynam się jednak zastanawiać czy w pozostałych folderach tego urządzenia, wyglądających na prawidłowe, nie ma czegoś niedobrego. Tego za pomocą raportu USBFix nie jestem w stanie stwierdzić, gdyż raport nie robi skanu rekursywnego i nie widzę składowych folderów. Czy wszystkie foldery zostały przeskanowane?

 

MSE - reszta jest o.k.

 

 

Zweryfikuj gdzie widać ślady Hamachi:

 

1. Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > z menu Widok włącz pokazywanie ukrytych urządzeń > na ujawnionej liście Sterowników niezgodnych z Plug and Play czy widać sterownik Hamachi. Również sprawdź gałąź Karty sieciowe czy nie ma jakiegoś dodatkowego obiektu.

 

niczego o nazwie hamachi tam nie znalazłam, natomiast z lokalizacji pokazanej w logu

C:\Windows\System32\drivers\hamachi.sys -- (hamachi)

po prostu usunęłam - nie wiem czy to wystarczy?

 

2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie oceń jakie komponenty są używane przez połączenie, zaprezentuj z tego obrazek.

 

wklejam

[picasso]

Usunęłam go MSE - pisało, że to trojan (wklejam screena)

 

Usuń jeszcze cały folder, bo z tego co rozumiem antywirus interesował się tylko plikiem w tym folderze.

 

 

po prostu usunęłam - nie wiem czy to wystarczy?

 

Należy jeszcze skasować usługę sterownika. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę: sc delete hamachi

 

 

---

 

Na temat problemów z internetem, spróbuj jeszcze:

 

1. Zresetować podstawowe ustawienia sieciowe. W cmd uruchomionym w trybie administracyjnym po kolei wpisz te komendy:

 

ipconfig /flushdns

netsh advfirewall reset

netsh winsock reset

netsh int ip reset c:\resetlog.txt

 

Zresetuj komputer.

 

2. Wyszukać i zaktualizować sterowniki urządzeń sieciowych.

 

 

 

 

.

[teletombola]

2. Wyszukać i zaktualizować sterowniki urządzeń sieciowych.

 

sorry, może głupie pytanie... gdzie i jak? chodzi o dostępne karty sieciowe i ich sterowniki ?

[picasso]

chodzi o dostępne karty sieciowe i ich sterowniki ?

 

Tak. Chodzi mi o sprawdzenie czy nie ma jakiś aktualizacji.

[teletombola]

zrobione, zaktualizowane

 

picasso masz jeszcze jakieś pomysły? co sądzisz o speed testach i "programach przyspieszających internet" ?

[picasso]

Czyli mam rozumieć, że: zostały wykonane komendy resetujące sieć oraz aktualizacja sterowników sieciowych, a problem jest nadal? Sprawdź jeszcze te warunki:

- Na wszelki wypadek wykonaj skan za pomocą Kaspersky TDSSKiller.

- Czy widzisz poprawę startując system w stanie czystego rozruchu (KB929135)?

- Czy widzisz poprawę po całkowitej deinstalacji Microsoft Security Essentials?

- Czy nastąpią jakieś zmiany po reinstalacji wszystkich urządzeń sieciowych z poziomu Menedżera urządzeń (wszystko odinstalować > restart > powinna nastąpić autoreinstalacja)?

- Czy połączenie bezprzewodowe a kablowe wykazują różnicę?

 

Temat prawdopodobnie nadaje się już do innego działu Sieci. Jeśli nic nie wyjdzie z podanych wyżej, przekieruję Cię i podam jaki raport masz tam załączyć.

 

 

co sądzisz o speed testach i "programach przyspieszających internet" ?

 

"Przyśpieszacze" = naciągacze.

 

 

 

.

Edytowane 24 Maja 2011 przez picasso
24.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso