Wirus ze Skype+restartowanie się komputera

Post31 gru 2012, 14:40

Witam
Jakieś 2 miesiące temu dostałam wiadomość hej czy to Twój nowy profil i link do pobrania. Niestety, kliknęłam, pobrałam to, wirus rozesłał się do znajomych. Chcąc to zastopować szukałam wszędzie informacji. Znalazłam filmik. Pooglądałam je, następnie odinstalowałam skypea, usunęłam folder wytworzony przez wirusa w %appdata%, zamknęłam proces, zmieniłam hasło na stronie skypea. Wirus przestał się wysyłać. Niestety ostatnio raz zdarzył mi się bluescreen, a komputer czasem się restartuje. Czy to może być przez tego wirusa? Komputer jest chroniony przez McAfee Total Protection, zapora jest włączona, ochrona w czasie rzeczywistym również, stałe skanowanie. Co może być przyczyną? Wiem, że pomagacie na podstawie logów itd., jednak, niestety, jestem zielona. Moglibyście napisać krok po kroku co mam zrobić, co zainstalować itd. ? Prosiłabym również o wyrozumiałość, w dodatku jestem blondynką i to ciemną

. Jeżeli wątek się powtarza, przepraszam, ale sama już nie wiem co mam robić.
Mogę dodać, że komputer był składany na zamówienie, jakiś czas temu Zaczął się wyłączać, 2 minuty po włączeniu, potem guzik włączenia nie odpowiadał, trzeba było wyjąć wtyczkę zasilania, poczekać trochę, włożyć, i dopiero wtedy się włączał. Był w naprawie, posmarowali czymś procesor i kazali obserwować. Właśnie po tej naprawie zdarzył mi się już raz bluescreen i 3-4 resety. Komputer był w naprawie w sobotę, może to jest jakaś przyczyna?

Parametry komputera:
System: Windows 7 Ultimate 64-bitowy
Procesor: AMD FX(tm)-6100 Six-Core Processor 3.30 GHz
Liczba rdzeni procesora: 6
Pamięć (RAM): 16,0 GB
Grafika: AMD Radeon HD 7800 Series

Jeszcze raz proszę, o po kolei wytłumaczenie co mam robić, jak wcześniej pisałam, w tych sprawach jestem zielona i kiepsko wiem o co chodzi

.

//Przenosze do bezpieki
djkamil09061991

Strona WWW · Post31 gru 2012, 14:58

Podaj logi według instrukcji:
http://www.hotfix.pl/obsluga-programu-otl-a143.htm

Oraz dla pewności Sprawdz czy w lokalizacji:
C:\Windows\Minidump są jakieś pliki, jeśli tak odczytaj je tym programem:
Dostępne tylko dla zarejestrowanych użytkowników
i podaj raporty z każdego ze zrzutu (Po otwarciu progam automatycznie zlokalizuje pliki DMP. Zanzacz plik i wybierz:
File -> Save Selected Items
Wklej tutaj raport.

Post31 gru 2012, 15:13

Niestety, kliknęłam, pobrałam to, wirus rozesłał się do znajomych.

Rada na przyszłość - nie otwieraj linków od nieznajomych bez uprzedniego ich sprawdzenia

.

Niestety ostatnio raz zdarzył mi się bluescreen, a komputer czasem się restartuje. Czy to może być przez tego wirusa?

Raczej jest to mało prawdopodobne, żeby to on to powodował, aczkolwiek są wirusy wkradające się w sterowniki, powodując BSOD.

Komputer jest chroniony przez McAfee Total Protection, zapora jest włączona, ochrona w czasie rzeczywistym również, stałe skanowanie.

Osobiście jakoś nie jestem fanem tego antywirusa, głównie ze względu na to, że lubi się szerzyć w systemie, co znaczy, że po prostu lubi przymulać system

.

Prosiłabym również o wyrozumiałość, w dodatku jestem blondynką i to ciemną .

Blondynki są piękne, a my tu do każdego podchodzimy z szacunkiem, więc nie martw się

.

Jeżeli wątek się powtarza, przepraszam, ale sama już nie wiem co mam robić.

W Moim dziale, a zapewne zaraz zostaniesz do mnie przeniesiona każdy, choćby miał taki sam problem, co ktoś inny ma mieć własny temat, więc robisz bardzo słusznie

.

Podsumowanie.

Przeczytaj instrukcję podane przez kolegę powyżej. Wykonaj je i przedstaw wspomniane dane na forum.

Mogę dodać, że komputer był składany na zamówienie, jakiś czas temu Zaczął się wyłączać, 2 minuty po włączeniu, potem guzik włączenia nie odpowiadał, trzeba było wyjąć wtyczkę zasilania, poczekać trochę, włożyć, i dopiero wtedy się włączał. Był w naprawie, posmarowali czymś procesor i kazali obserwować. Właśnie po tej naprawie zdarzył mi się już raz bluescreen i 3-4 resety. Komputer był w naprawie w sobotę, może to jest jakaś przyczyna?

Rozumiem, że pewnie posmarowali czymś ogólnie w jednostce, co mylnie wielu nazywa procesorem. Pewnie problem przegrzewania i użyli pasty termoizolacyjnej. Po rozpatrzeniu problemów dotyczących bezpieczeństwa, sprawdzę, czy problem może leżeć w problemach cieplnych.

Post31 gru 2012, 16:33

kominekl pisze:
Niestety, kliknęłam, pobrałam to, wirus rozesłał się do znajomych.

Rada na przyszłość - nie otwieraj linków od nieznajomych bez uprzedniego ich sprawdzenia .

Dostałam ten link od kolegi, do którego mam całkowite zaufanie, więc nawet nie podejrzewałam, że to wirus, dopiero się zorientowałam, gdy zobaczyłam jego wiadomość, żeby nie klikać bo to wirus, ale było już za późno

. Teraz mam już nauczkę.

djkamil09061991 pisze:Podaj logi według instrukcji:
http://www.hotfix.pl/obsluga-programu-otl-a143.htm

Oraz dla pewności Sprawdz czy w lokalizacji:
C:\Windows\Minidump są jakieś pliki, jeśli tak odczytaj je tym programem:
Dostępne tylko dla zarejestrowanych użytkowników
i podaj raporty z każdego ze zrzutu (Po otwarciu progam automatycznie zlokalizuje pliki DMP. Zanzacz plik i wybierz:
File -> Save Selected Items
Wklej tutaj raport.

Robiłam wg instrukcji, ale wyświetliły mi się jeszcze jakieś opcje. W razie czego zrobię jeszcze raz. Oto ustawienia na jakich były robione logi:
Dostępne tylko dla zarejestrowanych użytkowników
Same logi:
OTL.txt: Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt: Dostępne tylko dla zarejestrowanych użytkowników
W lokalizacji którą podałeś znajdują się 2 pliki, zrobiłam tym programem również wg instrukcji raporty, oto do nich linki:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dodam, że gdy kliknęłam tym programem na drugi plik, 2 jakby "części wewnętrzne" tego pliku miały czerwone tło w liście poniżej

Wkleiłam na wklej.eu, bo tak przeczytałam w poście w dziale bezpieczeństwa. W razie czego mogę wkleić na jakąś inną stronkę

Post31 gru 2012, 17:02

Dostałam ten link od kolegi, do którego mam całkowite zaufanie, więc nawet nie podejrzewałam, że to wirus, dopiero się zorientowałam, gdy zobaczyłam jego wiadomość, żeby nie klikać bo to wirus, ale było już za późno . Teraz mam już nauczkę.

Wirus podszywa się pod kolegę

.

Caused By Driver : ntoskrnl.exe
Caused By Driver : USBD.SYS

Kość RAM-u masz w jednym kawałku, czy w kilku? Poza tym, odczyt mówi nam tyle, że powodów moze być wiele, a równocześnie może być ten najbardziej oczywisty. Na początek zagramy z Konsolę Odzyskiwania dla Windows`a 7. Uruchom ją -> Dostępne tylko dla zarejestrowanych użytkowników -> wejdź w Wiersz Polecenia -> i wprowadź w Ntam polecenie -> CHKDSK /R . Jeśli nie masz płyty z systemem to spróbuj ją pożyczyć, a w razie czego damy tu czas obserwacyjny, czyli poczekamy na kolejny BSOD.

Wkleiłam na wklej.eu, bo tak przeczytałam w poście w dziale bezpieczeństwa. W razie czego mogę wkleić na jakąś inną stronkę

Bardzo dobrze zrobiłaś

.

"Shop for HP Supplies" = Shop for HP Supplies

To zbędne oprogramowanie. To pierwsze to śmieć od HP. Natomiast co do McAfee, jak wspomniałem nie jestem fanem tego oprogramowania, jednak po zobaczeniu w logu danych dotyczących pamięci jestem skłonny pozostawić Go tu. Chyba, że to on powoduje problem na co póki co nic nie wskazuje, ale poczekajmy.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2805314738-3781743171-97620729-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2805314738-3781743171-97620729-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2805314738-3781743171-97620729-1000\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
IE - HKU\S-1-5-21-2805314738-3781743171-97620729-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\amigo\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\amigo\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-2805314738-3781743171-97620729-1000..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-2805314738-3781743171-97620729-1000..\Run: [Facebook Update] C:\Users\amigo\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\S-1-5-21-2805314738-3781743171-97620729-1000..\Run: [Google Update] C:\Users\amigo\AppData\Local\Google\Update\GoogleUpdate.exe (Google Inc.)
O4 - HKU\S-1-5-21-2805314738-3781743171-97620729-1000..\Run: [Wlomoi] C:\Users\amigo\AppData\Roaming\Wlomoi.exe File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000 File not found

:Files
C:\Users\amigo\AppData\Local\Facebook\Update
C:\Users\amigo\AppData\Local\Google\Update
C:\found.*
C:\03d8f498c71b7b3ee6562d66
C:\083dcf0b5b59e0aac4
C:\70e3bd5da0e86a1715
C:\Users\amigo\Rappelz_PL.exe
C:\Windows\tasks\*.job
C:\Users\amigo\Documents\AutoSkrypt.ecs
C:\Users\amigo\Documents\_programy_EasyClicker Pro 1.3v.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj nowe logi z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

Post31 gru 2012, 17:15

Caused By Driver : ntoskrnl.exe
Caused By Driver : USBD.SYS

Kość RAM-u masz w jednym kawałku, czy w kilku? Poza tym, odczyt mówi nam tyle, że powodów moze być wiele, a równocześnie może być ten najbardziej oczywisty. Na początek zagramy z Konsolę Odzyskiwania dla Windows`a 7. Uruchom ją -> Dostępne tylko dla zarejestrowanych użytkowników -> wejdź w Wiersz Polecenia -> i wprowadź w Ntam polecenie -> CHKDSK /R . Jeśli nie masz płyty z systemem to spróbuj ją pożyczyć, a w razie czego damy tu czas obserwacyjny, czyli poczekamy na kolejny BSOD.

Aż poszłam po kartę gwarancyjną-2x 8 Gb Kingstone

. System Windowsa mam na płycie, jeżeli o to chodzi, specjalnie sprowadzali system ultimate, jednak jest to wersja OEM System Bulider, nie wiem czy może być... Już się zabieram się do robienia tego co napisałeś

.

Post31 gru 2012, 17:17

System Windowsa mam na płycie, jeżeli o to chodzi, specjalnie sprowadzali system ultimate, jednak jest to wersja OEM System Bulider, nie wiem czy może być...

Może być.

Aż poszłam po kartę gwarancyjną-2x 8 Gb Kingstone .

Winna może być po części uszkodzona kość, ale nie koniecznie, najpierw sprawa z Konsolą, potem będziemy wykluczać inne możliwości, jeśli zajdzie taka potrzeba

.

Post31 gru 2012, 18:35

kominekl pisze:
Caused By Driver : ntoskrnl.exe
Caused By Driver : USBD.SYS

Kość RAM-u masz w jednym kawałku, czy w kilku? Poza tym, odczyt mówi nam tyle, że powodów moze być wiele, a równocześnie może być ten najbardziej oczywisty. Na początek zagramy z Konsolę Odzyskiwania dla Windows`a 7. Uruchom ją -> Dostępne tylko dla zarejestrowanych użytkowników -> wejdź w Wiersz Polecenia -> i wprowadź w Ntam polecenie -> CHKDSK /R . Jeśli nie masz płyty z systemem to spróbuj ją pożyczyć, a w razie czego damy tu czas obserwacyjny, czyli poczekamy na kolejny BSOD.

Trochę się namęczyłam z bootowaniem z płyty. Udało mi się, weszłam w Wiersz Polecenia, wpisałam tą komendę, ale niestety wyświetlił mi się komunikat:

Typ systemu plików to NTFS
Nie można zablokować bieżącego dysku
System Windows nie może uruchomić sprawdzania dysku na tym woluminie, ponieważ jest on zabezpieczony przed zapisem.

-- 31 gru 2012, 19:35 --

Log z usuwania OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Raport z TDSSKiller:
Dostępne tylko dla zarejestrowanych użytkowników

Kolejny log z OTL:
OTL.txt: Dostępne tylko dla zarejestrowanych użytkowników
Extras się nie pojawił.

Post31 gru 2012, 18:50

Trochę się namęczyłam z bootowaniem z płyty. Udało mi się, weszłam w Wiersz Polecenia, wpisałam tą komendę, ale niestety wyświetlił mi się komunikat:

Przy włożonej płycie z systemem do napędu wejdź w START -> URUCHOM -> i wklej tam -> SFC /SCANNOW .

Extras się nie pojawił.

W OTL, w sekcji Rejestr - Skan Dodatkowy nie zaznaczyłaś -> Użyj Filtrowania. To nieistotne, nie potrzebny już Extras, informuję na przyszłość

.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O3 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found.

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns (w formie pliku .ARN) -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post31 gru 2012, 19:10

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

Log z AutoRuns: Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post31 gru 2012, 19:18

Caused By Driver : USBD.SYS

Co do tego radziłbym dla pewności zainstalować sterownik do chipsetu oraz sprawdzić jak sytuacja będzie sie miała gdy odepniesz wszystko od portów usb, jeśli byłoby ok to warto zaaktualizowac sterowniki podpiętych urządzeń.

Post31 gru 2012, 19:22

djkamil09061991 pisze:
Caused By Driver : USBD.SYS

Co do tego radziłbym dla pewności zainstalować sterownik do chipsetu oraz sprawdzić jak sytuacja będzie sie miała gdy odepniesz wszystko od portów usb, jeśli byłoby ok to warto zaaktualizowac sterowniki podpiętych urządzeń.

Czyli zaktualizować sterowniki płyty głównej?

Post31 gru 2012, 19:24

djkamil09061991 pisze:
Caused By Driver : USBD.SYS

Co do tego radziłbym dla pewności zainstalować sterownik do chipsetu oraz sprawdzić jak sytuacja będzie sie miała gdy odepniesz wszystko od portów usb, jeśli byłoby ok to warto zaaktualizowac sterowniki podpiętych urządzeń.

Można, a nawet trzeba to zrobić, ale po kolei najpierw sprawdzenie oryginalności plików systemowych, potem dopiero korekta sterowników sprzętowych.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RtHDVCpl

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
HP Software Update
StartCCC
SunJavaUpdateSched

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

AML Device Install.lnk
HP Digital Imaging Monitor.lnk

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

EADM
Skype

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Toolbar

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
AMD External Events Utility
MOBKbackup
MSK80Service
npggsvc
odserv
ose
Skype C2C Service
SkypeUpdate
WinDefend
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

Logi.

Następnie podajesz nowe logi z OTL.

Komentarz Dotyczący Edycji Posta.

Edytuję ze względu na błędy stylistyczne

.

Strona WWW · Post31 gru 2012, 19:25

Sterownik do chipsetu płyty nie zaszkodzą

oraz tak jak pisałem odepnij jeśli masz od usb zbędne urządzenia i sprawdz czy niespodziewane restarty nadal beda sie pojawiać.

Post31 gru 2012, 19:27

djkamil09061991 pisze:Sterownik do chipsetu płyty nie zaszkodzą oraz tak jak pisałem odepnij jeśli masz od usb zbędne urządzenia i sprawdz czy niespodziewane restarty nadal beda sie pojawiać.

Ja też już się zgadzam, bo wcześniej podałem instrukcję o sprawdzeniu plików, wiec jestem za tą instrukcją, z tym, że inna kolejność. Wykonaj teraz to o co prosił kolega, a dopiero potem rusz z Autoruns`em.