Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Niektóre strony się nie wczytują

karololszak

Przez karololszak
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

karololszak

karololszak

Opublikowano
Opublikowano

Jestem na wakacjach, i wstępuję do różnych kolegów na internet - bo u siebie nie mam :P Teraz jestem przy komputerze innego kolegi. Ten nie przymula, ale z kolei część stron się nie wczytuje, padają chyba na www.google-analytics.com (gdy skrypt chce się wczytać, i np. onet czy interia nie chcą działać - nagle 'wybielają się'). Komputer w tym samym lanie nie ma problemu, tak więc router (i/lub jego firewall) wykluczyłem. Na komputerze był Norton, który odinstalowałem gdyż koledze skończyła się licencja - i planuję zainstalować avast! 5 (po zrobieniu logów). Prosiłbym o sprawdzenie logów z OTL i GMERa. Nie wiem czy jest zainstalowana jakaś wirtualna maszyna... A, no i standardowo, proszę o wskazówki - co usunąć, zaktualizować itp. ;) - namierzyłem już kilka Toolbarów i przerażająco starego Adobe Acrobat Reader'a, ale pewnie coś jeszcze się znajdzie ;)

Extras.Txt

GMER.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Log z GMER, a pośrednio także wyciąg z Dziennika zdarzeń OTL (błędy Ftdisk), wskazuje na rootkita TDL: zainfekowany sterownik nVidia nvatabus.sys. Rozpocznij od użycia Kaspersky TDSSKiller (wybór opcji Cure pozostawić) i przedstaw tu wyniki jego pracy. Oraz wytwórz po użyciu tego narzędzia nowy zestaw logów GMER + OTL. Jeśli TDL, mający tu priorytet, zostanie pomyślnie wyeliminowany, będzie można się zająć resztą, bo w OTL są widoczne różne ślady po innych infekcjach i śmieci.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Sterownik nVidia zaprawiony TDL został namierzony i wyleczony. W logu z GMER ustąpiły zapisy od TDL. W OTL usługa nvatabus stoi jako świeżo modyfikowana (po Kasperskym). Wygląda na to, że sprawa z rootkitem jest rozwiązana i przypuszczam, że to powinno naprostować sprawę z wczytywaniem stron. Idziemy dalej, czyli odpadki po innych infekcjach, śmieci paskowe oraz czyszczenie lokalizacji tymczasowych i cache Przywracania systemu:

 

 

1. Odinstaluj w Dodaj / Usuń Zynga Toolbar. Jeśli nie jest używane, także Google Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system\svchost.exe -- (CreateProcess)
O4 - HKU\S-1-5-21-1715567821-1220945662-839522115-1004..\Run: [wsctf.exe]  File not found
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} "http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/ZwinkyInitialSetup1.0.1.1.cab" (Reg Error: Key error.)
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.defaulturl: "http://uk.search.yahoo.com/search?ei=UTF-8&fr=ytff-wc&p="
FF - prefs.js..browser.search.param.yahoo-fr: "moz2-ytff-wc"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "moz2-ytff-wc"
FF - prefs.js..browser.search.selectedEngine: "Yahoo"
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.2.2.20100615122059
[2010-06-21 06:26:58 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Documents and Settings\beny\Dane aplikacji\Mozilla\Firefox\Profiles\xnki2vfm.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
O4 - HKLM..\Run: [YeppStudioAgent] C:\Program Files\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe File not found
O33 - MountPoints2\{817deac1-d969-11de-a4c3-806d6172696f}\Shell\AutoRun\command - "" = E:\AUTORUN\AUTORUN.EXE -- File not found
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

Uruchom przez Wykonaj skrypt. Po restarcie otrzymasz log. W logu będzie na pewno jeden "błąd", czyli przy przetwarzaniu linii UserInit poda, że plik explorer.exe jest "whitelisted". Tak ma być, tu chodzi mi tylko o usunięcie linii z rejestru po infekcji z USB.

 

3. Wytwarzasz nowy zestaw z OTL, doczepiasz też log z usuwania z punktu 2.

 

Z OTL nie powstał log extras.txt, być może coś źle zaznaczyłem w opcjach, jak jest potrzeny to odpalę OTL jeszcze raz.

 

OTL uruchomiony więcej niż raz ma automatycznie odznaczoną opcję Rejestr - skan dodatkowy i to za każdym razem trzeba ręcznie przestawiać na Użyj filtrowania, by wygenerować Extras na nowo.

 

 

 

.

Edytowane przez picasso
3.09.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...