Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Logi OTL - zmasowany atak virusów, reklam itd.

aksel_pl 01 Kwi 2014 04:57 1722 18
  • #1 01 Kwi 2014 04:57
    aksel_pl
    Poziom 25  

    Witam
    Niestety dałem się nabrać pewnemu sprytnemu programowi. Otóż zorientowałem się że coś jest nie tak i nie nadusiłem Instaluj, ale najwyraźniej wystarczyło nadusić dalej i to rozpoczęło zmasowany atak. Cuda zaczeły się pojawiać, nawet kopalnie bitcoinów lol... W porę użyłem rkilla który wyłączył wiele rzeczy, następnie poszedł adwcleaner, JRT, Combofix, kolejno malwarebyte i bitdefender. Niestety to na 100% nie jest wszystko ponieważ programy nie chcą się za bardzo odpalać w trybie normalnym. OTL udało mi się włączyć z trybu awaryjnego. Są pewne procesy ale nie mogę ich wyłączyć.

    Proszę o pomoc Panowie, bo zrobił mi się spory burdel w systemie ;/

    0 18
  • #2 01 Kwi 2014 10:16
    Kolobos
    Spec od komputerów

    Nie używaj Combofix.

    Wykonaj skrypt w OTL:

    :OTL
    DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\PerformanceTest\DirectIo64.sys -- (DIRECTIO)
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&t...id=ST1000DM003-9YN162_Z1D0LVGKXXXXZ1D0LVGK&q={searchTerms}
    IE - HKU\S-1-5-21-142889562-2815495211-2958168802-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK
    IE - HKU\S-1-5-21-142889562-2815495211-2958168802-1000\..\SearchScopes\{1C7AD448-6DB9-4f9b-B0A9-75BA0A59B8AB}: "URL" = http://www.google.com/custom?client=pub-37942...3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
    O3 - HKU\S-1-5-21-142889562-2815495211-2958168802-1000\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
    O34 - HKLM BootExecute: (??9??????????????1)
    O34 - HKLM BootExecute: (u2W8k??9?autocheck autochk *)
    O34 - HKLM BootExecute: (??9???9??????????????1)
    O34 - HKLM BootExecute: (_??9???)
    O34 - HKLM BootExecute: (sasnative64)
    O34 - HKLM BootExecute: (st)
    O34 - HKLM BootExecute: (t)
    O34 - HKLM BootExecute: (?g?)
    O34 - HKLM BootExecute: (l)
    O34 - HKLM BootExecute: (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.3dmark-11-result\OpenWithList)
    O34 - HKLM BootExecute: (t)
    O34 - HKLM BootExecute: (?g?)
    O34 - HKLM BootExecute: (j)
    O34 - HKLM BootExecute: (Software\CyberLink\PowerDirector11\MediaObj\MediaCache5\ProgramInfo\F:/PRIVATE/AVCHD/BDMV/STREAM/00006.MTS)
    O34 - HKLM BootExecute: (???)
    [2014-04-01 03:05:59 | 000,000,000 | ---D | M] -- C:\Users\Cyber-Tek\AppData\Roaming\qone8


    Pozbądź się BitDefendera. Zrób skan przy pomocy Cureit.

    0
  • #3 01 Kwi 2014 14:07
    aksel_pl
    Poziom 25  

    Niestety OTL się zawiesza na ??9??????????????1 zarówno w trybie awaryjnym jak i normalnie. Z każdym restartem komputera usuwa się również brama do internetu. Obecnie skanuje CureITem.

    0
  • #4 01 Kwi 2014 14:15
    Kolobos
    Spec od komputerów

    Usuń ręcznie te uszkodzone wpisy z HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute (tylko te, które podałem!)

    0
  • #5 01 Kwi 2014 19:17
    aksel_pl
    Poziom 25  

    CureIT nic nie znalazł, klucze zaraz będę usuwał.

    Dodano po 4 [godziny] 41 [minuty]:

    Zostawiłem tylko "autocheck autochk *"

    Nadal usuwa brame domyślną i łapie dziwne zwiechy których być nie powinno.

    0
  • #6 01 Kwi 2014 21:41
    Kolobos
    Spec od komputerów

    Użyj przywracania systemu o ile masz jakieś punkty.

    0
  • #7 01 Kwi 2014 22:45
    aksel_pl
    Poziom 25  

    Niestety jest wyłączona. Czy coś jeszcze można zrobić?

    0
  • #9 01 Kwi 2014 23:16
    aksel_pl
    Poziom 25  

    Okazało się że nie mogę nic utworzyć w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

    Tudzież SystemMechanic nie może się przez to zainstalować.
    Net też muli, przy łączu 45mb strony otwierają się kilka sekund, a właściwie kilka sekund trwa lag zanim strona się otworzy.
    Logi OTL - zmasowany atak virusów, reklam itd.

    0
  • #10 01 Kwi 2014 23:20
    Kolobos
    Spec od komputerów

    Daj jeszcze screen z CDI dla dysku D:

    0
  • #11 01 Kwi 2014 23:27
    aksel_pl
    Poziom 25  

    Na C mam windowsa i wszystkie programy(oprócz gier). D jest do filmów, gier, instalek itd.
    Pracuję na samym ramie, pamięć virtualna jest wyłączona.

    Logi OTL - zmasowany atak virusów, reklam itd.

    0
  • #12 02 Kwi 2014 21:22
    aksel_pl
    Poziom 25  

    Jak tam, udało Ci się coś wymyślić, czy generalnie ciężka sprawa?

    Oprócz tego wszystkiego tak jak system mi się włączał w paręnaście sekund tak teraz wszystko włącza się szybko do ZAPRASZAMY i potem robi się czarny ekran z kursorem na jakąś prawie minute zanim pulpit odpali. Explorer jest uruchomiony w procesach.

    Dodam jeszcze że za każdym razem jak odpalam speedtesta to mam ping -7 czego wcześniej nie było.

    0
  • Pomocny post
    #13 03 Kwi 2014 11:36
    Kolobos
    Spec od komputerów

    Dyski wygladaja ok. Szkoda, ze nie masz punktow przywracania systemu.

    0
  • #14 03 Kwi 2014 18:32
    aksel_pl
    Poziom 25  

    Z bramą i czarnym ekranem już sobie poradziłem.
    W zasadzie nie wiem czemu wyłączyło się przywracanie systemu, zawsze miałem włączone.

    Jest już w miarę ok i czuję że lepiej raczej nie będzie.

    Dodano po 2 [godziny] 41 [minuty]:

    Niestety Anti-Malware nie chce się instalować, wyskakują błędy Runtime podczas instalacji. Mimo że instalacja przechodzi to program się nie włącza, Chameleon od niego też nic nie daje.

    Dodano po 3 [godziny] 54 [minuty]:

    Log z OTSa z ostatnich 7 dni, tylko pliki i foldery. Może znajdzie ktoś coś co go nakieruje...

    0
  • #15 03 Kwi 2014 18:41
    Kolobos
    Spec od komputerów

    Juz lepiej daj oba logi z FRST.

    0
  • #16 04 Kwi 2014 23:57
    aksel_pl
    Poziom 25  

    Ostatecznie cały problem z wolnym internetem i generalnie kompem rozwiązał program o nazwie Hitman PRO. Tylko on wyeliminował problem do końca, bo adwcleaner, malwarebyte, tdds, combofix, drweb, bitdefender sobie z tym nie poradziły.

    0
  • #17 05 Kwi 2014 00:04
    Kolobos
    Spec od komputerów

    Co dokladnie wykryl i usunal?

    0
  • #18 05 Kwi 2014 00:28
    aksel_pl
    Poziom 25  

    Niestety nic po sobie nie zostawił bo wybrałem opcje jednorazowe skanowanie, chyba że zostawił w jakiejś swojej domyślnej lokalizacji.

    Było 6 rejestrów i 3-4 pliki, ale nie stwierdził że to jakieś poważne zagrożenie tak jak w przypadku zhackowanego steam api, gdzie zaznaczył na czerwono.
    Wiem że to nie wiele mówi, ale nie zwróciłem większej uwagi na to co zostanie usunięte bo z niczym znanym mi się to nie kojarzyło, nie brałem pod uwagę że może coś naprawić bo nigdy o nim nawet nie słyszałem:) Wiem że przydałaby się ta wiedza tutaj w wątku, ale nawet przez chwile nie pomyślałem, że to rozwiąże problem.

    0
  • #19 05 Kwi 2014 20:17
    aksel_pl
    Poziom 25  

    Net wrócił z powrotem znowu muli i tym razem skanowanie już nic nie daje. Nie wiem o co tu chodzi;/

    0