Bardzo wolne wylaczanie komputera.

[rafi9-92]

Witam ! Od jakiegos miesiaca od wcisniecia przycisku ZAMKNIJ KOMPUTER do jego wylaczenia minie spokojnie z 10 min. Optymilizacje windowsa robilem jakos w czerwcu.Nie moge zrobic skanu Gmera bo jak probuje go wlaczyc to blue screen mi wyskakuje , usunalem wszystkie programy emulacyjne oraz Sptd. Dolaczam logi z OTL`a i dds`a


Log z Otl :
http://www.wklej.org/id/376030/
http://www.wklej.org/id/376031/

Log z dds :
http://www.wklej.org/id/376032/

[NieWiem]

Na mamy infekcję. Prawdopodobnie keylogger, więc dopóki się nie wyczyścimy nie loguj się na maile, serwery itp.

Zamknij wszystko nad czym aktualnie pracujesz, także wyłącz swój program antywirusowy, zaporę, programy antyspyware. To ważne. Jak to zrobić, opisane tutaj.

Pamiętaj także o wyinstalowaniu wirtualnych napędów i usunięciu ich sterownika: klik

Pobierz ComboFixa od sUBs'a:
stąd lub stąd

ZANIM UŻYJESZ - Przeczytaj dokładnie jego instrukcję:
http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix

Zalecam instalowanie Konsoli Odzyskiwania (XP, 2000), lub zaopatrzenie się w płytę WinRE (Vista, Se7en). Mimo wszystko ComboFix nie jest doskonały.

Przeklej na forum wyniki pracy narzędzia. Będą automatycznie otwarte w notatniku, znajdziesz je także w pliku C:\ComboFix.txt


Potem także nowe logi z OTL.

[rafi9-92]

Przy koncu skanowania combofixa dokladnie przy 50 etapie wywala mi bluescreena , 2 razy probowalem i 2 razy to samo ;/

zrobilem skan malwarevybytes

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.44
Wersja bazy definicji: 3793
Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702

2010-08-14 08:25:59
mbam-log-2010-08-14 (08-25-51).txt

Typ skanowania: Pełne skanowanie (C:\|)
Przeskanowane obiekty: 322905
Upłynęło: 2 hour(s), 58 minute(s), 23 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 0
Zainfekowane foldery: 0
Zainfekowane pliki: 1

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:
(Nie wykryto groźnych plików)

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.

[Andziorka]

A spróbuj użyć Combofixa w trybie awaryjnym.

[rafi9-92]

Niestety w awaryjnym to samo.

EDIT : Wrzucilem analize blue screena moze cos to pomoze W pozostalych trzech jest dokladnie to samo.

Kod: Zaznacz wszystko

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WINDOWS\Minidump\Mini081410-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: SRV*c:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 2600.xpsp_sp3_gdr.100216-1514
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055d720
Debug session time: Sat Aug 14 01:30:29.811 2010 (GMT+2)
System Uptime: 1 days 1:03:29.383
Loading Kernel Symbols
...............................................................
................................................................
........................
Loading User Symbols
Loading unloaded module list
.......................................
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 19, {20, 891147c0, 89114bd8, 1a830001}

Unable to load image catchme.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for catchme.sys
*** ERROR: Module load completed but symbols could not be loaded for catchme.sys
Unable to load image klif.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for klif.sys
*** ERROR: Module load completed but symbols could not be loaded for klif.sys
Probably caused by : catchme.sys ( catchme+10d7 )

Followup: MachineOwner
---------

[wojtas]

odinstaluj Google Toolbar

usuń co znalazł Mbam


Uruchom OTL i w sekcji własne opcje skanowania / skrypt (Custom Scans/Fixes) wklej:

:OTL
O4 - HKU\S-1-5-21-776561741-1788223648-839522115-1004..\Run: [SandboxieControl] C:\Gry\Sandboxie\SbieCtrl.exe File not found
O4 - Startup: C:\Documents and Settings\Krzysztof\Menu Start\Programy\Autostart\eXtreme Movie Manager Updater.exe ()
O33 - MountPoints2\{0b4284aa-1a4d-11de-9982-4d6564696130}\Shell - "" = AutoRun
O33 - MountPoints2\{0b4284aa-1a4d-11de-9982-4d6564696130}\Shell\AutoRun\command - "" = F:\Autorun.exe -- File not found
O33 - MountPoints2\{2b2c6ba0-38e2-11df-9c08-00ff01000001}\Shell\AutoRun\command - "" = H:\APPInst.exe -- File not found
O33 - MountPoints2\{762c25ed-7835-11dd-8342-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{762c25ed-7835-11dd-8342-806d6172696f}\Shell\AutoRun\command - "" = D:\autorun.exe -- File not found
O33 - MountPoints2\{82c64902-725e-11de-9a52-4d6564696130}\Shell - "" = AutoRun
O33 - MountPoints2\{82c64902-725e-11de-9a52-4d6564696130}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540001} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
@Alternate Data Stream - 500 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF
@Alternate Data Stream - 188 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1CE11B51
@Alternate Data Stream - 177 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:0CE7F3C9
@Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:FB06F092
@Alternate Data Stream - 111 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:4F8F308F

:Files
C:\Documents and Settings\Krzysztof\Menu Start\Programy\Autostart\eXtreme Movie Manager Updater.exe

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

Kliknij wykonaj skrypt (Run Fix). I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia

[rafi9-92]

Zrobione , daje logi o ktore prosiles.

Czyszczenie http://www.wklej.org/id/376776/
Nowy log OTL http://www.wklej.org/id/376779/

[wojtas]

Wykonaj czynności końcowe :

1.Uruchom OTL z opcji sprzątanie.
2. wykonaj optymalizację Windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
4. zrób skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )


Zaktualizuj zabezpieczenia:
>>> Adobe Reader 9.3 (bez Free McAfee® Security Scan Plus)
>>> Java™ 6 Update 21
>>> Mozilla Firefox