Problem z komputerem (może wirus?)

Post01 gru 2012, 12:07

Mam problem:

Objawy:
1. komputer wolniej chodzi
2. antywirus przestał działać
3. nie daje się go zrestartować ani wyłączyć
4. nie mogę pobierać plików z internetu, zarówno za pomocą Firefoxa, jak i IE oraz Chrome

Wydaje mi się, że to może być wirus. Ja z tego komputera rzadko korzystam, korzysta z niego moja mama i mówiła, że kilka dni temu wyskoczył jej komunikat o możliwym zarażeniu wirusem, gdy weszła na jakąś stronę.

Mogę przeinstalować system od zera, ale chciałbym zlikwidować tą usterkę "pokojowo".

Nie mogę ściągnąć żadnych OTL ani Hijack, ani żadnych innych plików, bo wyskakuje błąd:

Cytat

Plik C:\DOCUME~1\maria\USTAWI~1\Temp nie może zostać zapisany, ponieważ nie można zmienić zawartości tego folderu.

Należy zmienić właściwości folderu, a następnie spróbować ponownie lub wybrać inny folder docelowy.

Proszę o pomoc
Pozdrawiam

Post01 gru 2012, 12:22

Mogę przeinstalować system od zera, ale chciałbym zlikwidować tą usterkę "pokojowo".

To nie rozwiązanie, lecz kapitulacja.

Nie mogę ściągnąć żadnych OTL ani Hijack, ani żadnych innych plików, bo wyskakuje błąd:

HijackThis jest już przestarzały. Pobierz na innym komputerze OTL i uruchom w trybie awaryjnym, jeśli nie masz skąd pobrać to uruchom system w trybie awaryjnym z obsługą sieci i pobierz narzędzia z tamtego trybu. Program uruchom również w tamtym trybie. Ponadto zapraszam do lektury (powinno się przydać) -> bezpieczenstwo/regulamin-bezpiecze-stwa-t19001.html.

Post01 gru 2012, 12:32

Właśnie jestem w trybie awaryjnym. Niestety, ale i tutaj nie mogę pobierać plików (wyskakuje ten sam błąd)

Dodatkowo, w trybie normalnym, nie mogę wejść do "Dodaj usuń programy"

Post01 gru 2012, 12:37

michalprog pisze:Właśnie jestem w trybie awaryjnym. Niestety, ale i tutaj nie mogę pobierać plików (wyskakuje ten sam błąd)

Dodatkowo, w trybie normalnym, nie mogę wejść do "Dodaj usuń programy"

Mam podejrzenie konkretnej infekcji, ale na to potrzeba dowodów w postaci logów. Pobierz na innym komputerze wspomniane narzędzia (OTL + TDSSKiller) i zrób logi, oraz je podaj

.

Plik C:\DOCUME~1\maria\USTAWI~1\Temp nie może zostać zapisany, ponieważ nie można zmienić zawartości tego folderu.

Należy zmienić właściwości folderu, a następnie spróbować ponownie lub wybrać inny folder docelowy.

Spróbuj pobrać to w "niezwykły sposób". Otóż wybierz PPM i -> Zapisz element Docelowy, jako -> na Pulpit.

Post01 gru 2012, 12:51

Udało mi się ściągnąć (PPM + Zapisz jako) plik z pobieraczem OTL, jednak po jego uruchomieniu zniknęło okno. Przy próbie pobrania tym samym sposobem pliku 7z z archiwum OTL, nie chce się nic pokazać, jakby coś blokowało wyskakiwanie okienek wszelkiego rodzaju.

Udało mi się uruchomić Dodaj Usuń programy. Skasowałem antywirusa. Jednak problem nie zniknął.

Post01 gru 2012, 13:14

Udało mi się ściągnąć (PPM + Zapisz jako) plik z pobieraczem OTL, jednak po jego uruchomieniu zniknęło okno. Przy próbie pobrania tym samym sposobem pliku 7z z archiwum OTL, nie chce się nic pokazać, jakby coś blokowało wyskakiwanie okienek wszelkiego rodzaju.

Mam nadzieję, że uruchamiałeś w trybie awaryjnym. Jeśli tak to walczymy inaczej. Pobierz to -> Dostępne tylko dla zarejestrowanych użytkowników. Zapisz pod losową nazwą i rozszerzeniem (np. 1241.com). Wykonuj pełne skanowania dotąd, dopóki nic nie będzie znajdował. Następnie podaj logi wymagane przez dział.

Post01 gru 2012, 21:51

Jestem właśnie w trybie awaryjnym. Udało się ściągnąć załączony plik. Po uruchomieniu pojawia się komunikat czy chcę uruchomić ten plik. Po czym, plik się uruchamia, ale po 2-3 sek. coś go zabija. W menedżerze urządzeń widać, jak plik jest uruchomiony, po czym, znika z listy.

P.S.

Pobrałem antywirusa ze strony i próbowałem zainstalować, ale wyskoczył komunikat, że nie można zapisać do folderu Temp.

P.S.2

Ściągnąłem z internetu G-DATA i wypaliłem na płycie na innym komputerze. Po zabootowniu znalazł jakiegoś trojana i usunął go, po czym mielił przez dłuższy czas więc go wyłączyłem. Ale udało mi się ściągnąć OLT. Oto logi:

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post02 gru 2012, 13:23

Logi.

Zapoznaj się z tym -> http://www.hotfix.pl/instrukcja-usuwani ... a-a382.htm. Wykonaj wszelkie kroki, o które tam proszę i podaj logi, o których jest tam również mowa.

Post02 gru 2012, 18:08

Zainstalowałem poprawkę ze strony Microsoftu, ale link, który jest w wiadomości, do BitDefender Removal Tool wygasł i nie mogę go ściągnąć. Ściągnąłem innej firmy removal do Confickera, ale nie wykrywa go.

PS. To kolejne logi: Dostępne tylko dla zarejestrowanych użytkowników

Post03 gru 2012, 12:47

michalprog pisze:Zainstalowałem poprawkę ze strony Microsoftu, ale link, który jest w wiadomości, do BitDefender Removal Tool wygasł i nie mogę go ściągnąć. Ściągnąłem innej firmy removal do Confickera, ale nie wykrywa go.

PS. To kolejne logi: Dostępne tylko dla zarejestrowanych użytkowników

To co się miało zrobić się zrobiło

. Jest dobrze. Teraz bierzemy się już za czynności właściwe. Użyj Combofix (podaj raport z jego pracy) -> http://www.hotfix.pl/articles.php?article_id=41 + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL (oba).

Post03 gru 2012, 18:45

Wielkie dzięki. Po przeskanowaniu przez ComboFix i usunięciu kilku plików, duża poprawa: wróciło Centrum Zabezpieczeń Windows, pobieranie plików wróciło. Dzięki.

Daję logi:

Dostępne tylko dla zarejestrowanych użytkowników COMBOFIX
Dostępne tylko dla zarejestrowanych użytkowników TDSS
Dostępne tylko dla zarejestrowanych użytkowników ADW
Dostępne tylko dla zarejestrowanych użytkowników OTL (Tylko jeden log wyskoczył)

A jaki darmowy antywirus polecasz?

Post03 gru 2012, 19:08

A jaki darmowy antywirus polecasz?

Comodo -> Dostępne tylko dla zarejestrowanych użytkowników. Tylko nie zapomnij przedtem odinstalować obecnego

.

Tylko jeden log wyskoczył

W OTL nie zaznaczyłeś w sekcji Rejestr - Skan Dodatkowy opcji -> Użyj Filtrowania. Spokojnie, poprawisz następnym razem

.

Combofix.

Wejdź w START -> URUCHOM -> i wklej tam -> "c:\documents and settings\maria\Pulpit\ComboFix.exe" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..extensions.enabledItems: {11483926-db67-4190-91b1-ef20fcec5f33}:0.4.3
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
[2010-10-21 23:06:31 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\maria\Dane aplikacji\Mozilla\Firefox\Profiles\9t42pzct.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
O15 - HKLM\..Trusted Domains: 127.0.0.1 ([]http in Zaufane witryny)
O15 - HKCU\..Trusted Domains: ([]msn in Mój komputer)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_07)
[2012-12-03 18:20:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\maria\Pulpit\tdsskiller
[2012-12-03 18:05:14 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012-12-03 18:05:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2012-12-02 20:39:11 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012-12-02 17:52:53 | 000,259,312 | ---- | C] (Sophos Group) -- C:\sctcleanupservice.exe
[2012-11-17 01:16:30 | 000,000,000 | ---D | C] -- C:\Config.Msi

:Files
C:\Program Files\Google\Update
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\maria\Pulpit\conficker-remover-7z.htm
C:\Documents and Settings\maria\Pulpit\ArcaSetup2012-PL-32bit.exe
C:\Documents and Settings\maria\Pulpit\setup.exe
c:\documents and settings\maria\Menu Start\Programy\Autostart\OpenOffice.ux.pl 3.0.lnk

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"=-
"NokiaOviSuite2"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"=-
"SoundMan"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKLM\~\startupfolder\C:^Documents and Settings^maria^Menu Start^Programy^Autostart^OpenOffice.ux.pl 3.0.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[-HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
[-HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post04 gru 2012, 19:52

Oto logi:

Dostępne tylko dla zarejestrowanych użytkowników skrypt
Dostępne tylko dla zarejestrowanych użytkowników otl
Dostępne tylko dla zarejestrowanych użytkowników extras
Dostępne tylko dla zarejestrowanych użytkowników autruns

Zaraz zainstaluję AV.

PS.
A, nie udało się usunąć tego ComboFixa, usunąłem go z pulpitu. Wyskakiwał błąd, że nie ma takiej lokalizacji. Chyba chodzi o spacje w nazwie folderu.

Post04 gru 2012, 20:22

A, nie udało się usunąć tego ComboFixa, usunąłem go z pulpitu. Wyskakiwał błąd, że nie ma takiej lokalizacji. Chyba chodzi o spacje w nazwie folderu.

Tak się nie liczy. Wejdź w START -> URUCHOM -> "C:\Documents and Settings\maria\Pulpit\ComboFix.exe" /uninstall. Nazwa lokalizacji, jak widzisz ma być w cudzysłowiu, a po nim jest spacja, slash i polecenie deinstalacji.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2009-08-11 13:32:02 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
O15 - HKCU\..Trusted Domains: ([]msn in Mój komputer)

:Services
gupdate
gupdatem

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Autoruns.

Ma być w formie pliku .ARN, ale wstrzymaj się do czasu deinstalacji Combofix`a.