trojany, m.in csrr

[ydak]

Witam,
Wlazły mi jakieś robale. Blokują dostęp do internetu i spowalniają pracę. W FF dopiero po zmianie ustawień proxy w ogóle cokolwiek chodzi. Bardzo proszę o przejrzenie logów i radę co mam robić.
z OTL'a:
http://www.wklej.eu/index.php?id=6c30b1b904
http://www.wklej.eu/index.php?id=bbda188c17
z GMER'a
http://www.wklej.eu/index.php?id=6fdb054dc5

[mateo8898]

Użyj AdwCleaner http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p139531 z opcji Delete i podaj utworzony log. Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- -- (SoundMAX Agent Service (default))
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=37c87cc0-18c0-11e1-83ac-00080dcfeffe
IE - HKU\S-1-5-21-1229272821-842925246-1343024091-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-1229272821-842925246-1343024091-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:60909
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=37c87cc0-18c0-11e1-83ac-00080dcfeffe&q="
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 60909
FF - prefs.js..network.proxy.type: 4
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2011-07-11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Sławek\Dane aplikacji\Mozilla\Firefox\Profiles\7orcsxaq.default\searchplugins\startsear.xml
[2010-10-25 12:32:21 | 000,003,803 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\MyHeritage.xml
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKU\S-1-5-21-1229272821-842925246-1343024091-1004\..\Toolbar\WebBrowser: (no name) - {463DF6D5-BEC1-4D67-B217-59DB692DFC53} - No CLSID value found.
O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\Temp\_ex-68.exe File not found
O4 - HKU\S-1-5-21-1229272821-842925246-1343024091-1004..\Run: [winlogon] C:\Documents and Settings\Sławek\winlogon.exe File not found
[2012-02-22 20:48:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Sławek\Dane aplikacji\382E2
[2012-02-22 14:42:50 | 000,000,000 | ---D | C] -- C:\Program Files\E2B62
[2012-02-22 14:42:13 | 000,000,000 | ---D | C] -- C:\Program Files\LP

:Reg
[HKEY_USERS\S-1-5-21-1229272821-842925246-1343024091-1004\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[ydak]

log z AdwCleanera niestety zrobiony po uruchomieniu skryptu w OTL (restartował mi komputer i straciłem pierwszy)
http://www.wklej.eu/index.php?id=ec8043b1f3
logi z OTL'a:
http://www.wklej.eu/index.php?id=f68d57efe1
http://www.wklej.eu/index.php?id=58c56a7e04
http://www.wklej.eu/index.php?id=17f1cd98fb

Siec chodzi mi koszmarnie wolno

[mateo8898]

Użyj ComboFix i daj log z niego.

[ydak]

Nie mogę uruchomić Combofix'a. Po instalacji próbuje pobrać aktualizację ale bezskutecznie.

[mateo8898]

Pobierz go stąd http://www.bleepingcomputer.com/downloa ... s/combofix

[ydak]

log z Combofixa:
http://www.wklej.eu/index.php?id=ed85d06f9c

[mateo8898]

Teraz w OTL wklej:

:OTL
IE - HKU\S-1-5-21-1229272821-842925246-1343024091-1004\..\URLSearchHook: {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files\Family Toolbar\tbhelper.dll ()
O3 - HKLM\..\Toolbar: (Family Toolbar) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - C:\Program Files\Family Toolbar\tbcore3.dll ()
O3 - HKU\S-1-5-21-1229272821-842925246-1343024091-1004\..\Toolbar\WebBrowser: (Family Toolbar) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - C:\Program Files\Family Toolbar\tbcore3.dll ()
O2 - BHO: (MHTBPos00 Class) - {0C37B053-FD68-456a-82E1-D788EE342E6F} - C:\Program Files\Family Toolbar\tbcore3.dll ()

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIEW"=-
"ALLUpdate"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
"QuickTime Task"=-
"Adobe Photo Downloader"=-

:Commands
[clearallrestorepoints]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[ydak]

http://www.wklej.eu/index.php?id=73e8400300
http://www.wklej.eu/index.php?id=8c9d12cca3
http://www.wklej.eu/index.php?id=9e225d8ac5

[mateo8898]

W OTL wklej:

:OTL
[2012-02-24 14:20:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Agnieszka\Dane aplikacji\382E2
[2012-02-26 19:23:01 | 000,743,878 | ---- | C] (V9 Downloader) -- C:\Documents and Settings\Sławek\Pulpit\ComboFix_Downloader.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1330283393_829293
IE - HKU\S-1-5-21-1229272821-842925246-1343024091-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1330283393_829293

Klikasz Wykonaj skrypt, później Sprzątanie

W AdwCleaner kliknij Uninstall

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Odinstaluj stare wersje Javy:

Java(TM) 6 Update 20
Java(TM) SE Runtime Environment 6 Update 1
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html

Odinstaluj stare wersje czytnika .PDF:

Adobe Reader 9.4.7 - Polish
Adobe Reader 9.5.0 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

Przy okazji, w Dzienniku zdarzeń jest sporo błędów, mogących wskazywać na problem z dyskiem:

Error - 2012-02-26 15:59:29 | Computer Name = ANULA | Source = Disk | ID = 262151
Description = W urządzeniu \Device\Harddisk0\D wystąpił zły blok.

Podaj screenshoty z HD Tune http://www.instalki.pl/programy/downloa ... _Tune.html z zakładek Health i Error Scan.

[ydak]

Wszystko zrobiłem co zaleciłeś.
log z Malwarebytes:
http://wklej.eu/index.php?id=35db3033c2
trojany usunięte
screeny z HD:
http://img21.otofotki.pl/obrazki/tm564_HDerror.jpg
http://img21.otofotki.pl/jl833_HDhealth.jpg.html
Nadal mam problem z siecią. Bardzo wolno ładują się np. wszystkie strony instalki.pl, a z google.pl w ogóle nie może się połączyć. na tych stronach, z którymi są problemy pojawiają się komunikaty w pasku aktywnych zadań:
oczekiwanie na google.com
przesyłanie danych z facebook.com
przesyłanie danych z google-analytics.com

[kominekl]

trojany usunięte

OK. Opróżnij jeszcze kwarantannę Malwarebytes.

screeny z HD

Mamy tu masę bad sectorów. Spróbuj je naprawić za pomocą HDDRegenerator`a [strona nie jest już dostępna].

[ydak]

Oczywiście kwarantannę usunąłem.
z tej strony, którą mi podałeś nie mogę ściągnąć HDD Regeneratora, a nie mogę skorzystać z wyszukiwarki bo google nie chodzą i nie wiem czemu. nie wiem gdzie są zablokowane.
Czy możesz podać inny link?

[mateo8898]

http://www.instalki.pl/programy/downloa ... rator.html

[ydak]

wreszcie porobiłem porządki. jest dużo lepiej ale wciąż mam problem z łączeniem się z niektórymi stronami. m.in instalki.pl wolno się ładują. wygląda na to, że FF blokuje się przy łączeniu z google i facebook. nie wiem jak to zmienić.
będę wdzięczny za sprawdzenie logów i pomoc.
gmer:
http://wklej.eu/index.php?id=886193f9eb
otl:
http://www.wklej.eu/index.php?id=057b75f95b
http://www.wklej.eu/index.php?id=c201f81133