Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Komputer wolniej chodzi. Opera po 2-3 zamyka się
23 Lis 2011, 21:13
Witam
Od jakiegoś czasu komputer jakby wolniej chodzi. A teraz jeszcze Opera po 2-3 sekundach się ciągle zamyka.
Prosze o pomoc i jakieś sugestie. podaję logi:
OTL.Txt
http://www.wklej.eu/index.php?id=5945419e9d
Extras.Txt
http://www.wklej.eu/index.php?id=cc3128a610
Z góry dziękuję za pomoc
Pozdrawiam
pawel_gas
Od jakiegoś czasu komputer jakby wolniej chodzi. A teraz jeszcze Opera po 2-3 sekundach się ciągle zamyka.
Prosze o pomoc i jakieś sugestie. podaję logi:
OTL.Txt
http://www.wklej.eu/index.php?id=5945419e9d
Extras.Txt
http://www.wklej.eu/index.php?id=cc3128a610
Z góry dziękuję za pomoc
Pozdrawiam
pawel_gas
Re: Proszę o sprawdzenie logów
23 Lis 2011, 21:36
Był tu chyba używany Combofix. Podaj z Niego raport. Odinstaluj 
HijackThis.
Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj Skrypt. Dajesz log z usuwania + nowe logi z OTL.
HijackThis.Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
- Kod:
:OTL
DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme)
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
IE - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF - HKLM\Software\MozillaPlugins\[email protected]/YahooActiveXPluginBridge;version=1.0.0.1: C:\Program Files\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.)
O3 - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab (MainControl Class)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
@Alternate Data Stream - 166 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2
@Alternate Data Stream - 125 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:7E95B6FD
@Alternate Data Stream - 115 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:2BE9FEFC
:Files
C:\WINDOWS\ERUNT
C:\SDFix
C:\Program Files\Trend Micro
C:\Documents and Settings\User01\Ustawienia lokalne\Dane aplikacji\Symantec_Corporation
C:\Documents and Settings\User01\Dane aplikacji\Symantec
C:\WINDOWS\System32\drivers\vproeventmonitor.sys
C:\WINDOWS\System32\drivers\v2imount.sys
C:\Documents and Settings\User01\Pulpit\SDFix1.240.exe
C:\WINDOWS\System32\4234089482.sys
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ControlCenter2.0"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj Skrypt. Dajesz log z usuwania + nowe logi z OTL.
Re: Proszę o sprawdzenie logów
23 Lis 2011, 22:11
Witam
Dziekuję za szybką odp.
Zrobione
HijackThis odinstalowany, skrypt wykonany http://www.wklej.eu/index.php?id=8ac34830f7
To nie był combofix tylko SDfix raport http://www.wklej.eu/index.php?id=71d0df2c49
jeszcze profilaktycznie używam ccleaner
nowe logi z OTL:
http://www.wklej.eu/index.php?id=5af27b562f
http://www.wklej.eu/index.php?id=4cb4ea04c2
Dziekuję za szybką odp.
Zrobione
HijackThis odinstalowany, skrypt wykonany
http://www.wklej.eu/index.php?id=8ac34830f7To nie był combofix tylko SDfix raport
http://www.wklej.eu/index.php?id=71d0df2c49jeszcze profilaktycznie używam ccleaner
nowe logi z OTL:
http://www.wklej.eu/index.php?id=5af27b562f
http://www.wklej.eu/index.php?id=4cb4ea04c2
Re: Proszę o sprawdzenie logów
23 Lis 2011, 22:15
Jak już to skrypt powinien wyglądać tak, bo tamten usuwa prawidłowe pliki:
:OTL
IE - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O3 - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
:Files
C:\Documents and Settings\User01\Ustawienia lokalne\Dane aplikacji\Symantec_Corporation
C:\Documents and Settings\User01\Dane aplikacji\Symantec
C:\WINDOWS\System32\drivers\vproeventmonitor.sys
C:\WINDOWS\System32\drivers\v2imount.sys
:Commands
[clearallrestorepoints]
[emptytemp]
Re: Proszę o sprawdzenie logów
23 Lis 2011, 22:17
czy to duży problem?
Re: Proszę o sprawdzenie logów
23 Lis 2011, 22:18
mam wprowadzić prawidłowy skrypt?
Re: Proszę o sprawdzenie logów
23 Lis 2011, 22:21
No teraz już nie. Wyciągnij plik 4234089482.sys z kwarantanny OTL (czyli z folderu C:\_OTL ) i wrzuć do folderu C:\WINDOWS\System32
Podaj także brakujący log z Gmer viewtopic.php?f=22&t=13967#p88736
Podaj także brakujący log z Gmer
viewtopic.php?f=22&t=13967#p88736
Re: Proszę o sprawdzenie logów
23 Lis 2011, 22:37
nie mam takiego folderu C:\_OTL ani nie znajduje pliku 4234089482.sys
podaję loga z Gmer:
http://www.wklej.eu/index.php?id=dee5c86e32
podaję loga z Gmer:
http://www.wklej.eu/index.php?id=dee5c86e32
Re: Proszę o sprawdzenie logów
24 Lis 2011, 17:56
mati8898 napisał(a):No teraz już nie. Wyciągnij plik 4234089482.sys z kwarantanny OTL (czyli z folderu C:\_OTL ) i wrzuć do folderu C:\WINDOWS\System32
A cóż to za plik? Ja Go nie kojarzę. Ponadto ta losowa nazwa... . Do autora: wstrzymaj się z wszelkimi instrukcjami do czasu wyjaśnienia sytuacji z tym plikiem.
Re: Proszę o sprawdzenie logów
24 Lis 2011, 18:00
Jak widać w logu, występuje w parze z plikiem KGyGaAvL.sys http://www.bleepingcomputer.com/filedb/ ... -8527.html
http://www.bleepingcomputer.com/filedb/ ... -8527.html
Re: Proszę o sprawdzenie logów
24 Lis 2011, 18:36
Aha, a więc to plik od DivX`a. Zwracam honor 
. Spójrz jeszcze raz do kwarantanny OTL _OTL i poszukaj ponownie tego pliku. Najlepiej włącz przeszukiwania całego folderu w poszukiwaniu pliku o nazwie 4234089482 i wrzuć go do C:\WINDOWS\System32, a następnie podaj nowe logi z OTL.
. Spójrz jeszcze raz do kwarantanny OTL _OTL i poszukaj ponownie tego pliku. Najlepiej włącz przeszukiwania całego folderu w poszukiwaniu pliku o nazwie 4234089482 i wrzuć go do C:\WINDOWS\System32, a następnie podaj nowe logi z OTL.