Uciążliwa praca komputera, blokada webmatrix

[MaxQuake]

Witam, odwiedzam to forum ponieważ tracę siły do mojego peceta. Ostatnim razem wyczyściłem go formatem, defragmentacja dysków, optymalizacja pamięci, czyszczenie i defragmentacja rejestru, skan systemu nodem32, SpyBot Search & Destroy czy też przejechanie wszystkiego Advanced System Optimizer. Wszystko śmigało w miarę zadowalająco chociaż nie obyło się bez problemów z internetem (Nod32 Smart Security ku mojemu zdziwieniu zawieszał modem, blokował sieć - coś dziwnego w każdym razie, choć nigdy nie miałem takiego problemu). Teraz po nie długiej pracy na czyściochu, komputer znów chodzi wolno (zawiesza przeglądarkę co jakiś czas, długo uruchamia się Mój komputer - oczywiście sporadycznie) i co więcej znów coś blokuje ASP.NET Web Matrix'a a dokładnie jego serwer. Uruchomienie serwera na jakimkolwiek porcie wyrzuca komunikat że jest on w użyciu. Kiedyś miałem podobną sytuację i problem był w antywirusie, ale jego wyłączenie czy też wykluczenie sprawdzania portów nie pomaga. Przed chwilą znowu przeskanowałem system przed robakami tą samą metodą co wcześniej i znalazło dwa świństwa - sukcesywnie usunięte. Dalej coś jest nie tak. Dodam że nie uruchamiam Bóg wie ilu kart w Firefoxie by ten się zacinał bo zwykle kończę na nie więcej niż dziesięciu, pulpit nie jest wypchany (kilka najważniejszych skrótów), a z dysku staram się usuwać niepotrzebne rzeczy. W Windows Worms Door Cleaner wszystkie porty zamknięte jak należy. Problem nie występują od początku a po nie długim czasie po formatowaniu. Ostatnio zauważyłem też że coś spowalnia mi internet, a czasem go "zawiesza". Tak jak prosicie usunąłem Alcohol120% i sptd.sys i dorzucam logi:

Kod: Zaznacz wszystko

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-05-11 16:11:56
Windows 5.1.2600 Dodatek Service Pack 3
Running: ofkc1v01.exe; Driver: C:\DOCUME~1\Piotr\USTAWI~1\Temp\ufldypod.sys


---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0        sector 61: malicious code @ sector 0x1749ddc1 size 0x1c1
Disk            \Device\Harddisk0\DR0        sector 62: copy of MBR

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs       eamon.sys (Amon monitor/ESET)
AttachedDevice  \Driver\Tcpip \Device\Ip     epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Tcpip \Device\Tcp    epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Tcpip \Device\Udp    epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Tcpip \Device\RawIp  epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

---- EOF - GMER 1.0.15 ----


OTL - Extras.txt
http://www.wklej.org/id/332046/
OTL - Extras.txt
http://www.wklej.org/id/332047/

Z góry dziękuję za poświęcony czas . Pozdrawiam

P.S. problem tymczasowo rozwiązany z WebMatrix'em - serwer mogę odpalić blokując ruch sieciowy w Nodzie, opdalając serwer, wznawiając ruch sieciowy.

P.S.2 niepokoi mnie fakt iż kosz na pulpicie jest pusty ale aktywna jest opcja "opróżnij kosz" po której kliknięciu pyta czy usunąć WINDOWS

[wojtas]

te plik/i :

C:\WINDOWS\System32\sasnative32.exe

przeskanuj tu
http://virusscan.jotti.org/
http://www.virustotal.com/

i daj raporty ze skanow

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
SRV - File not found [Auto | Stopped] -- -- (StarWindServiceAE)
SRV - File not found [Auto | Stopped] -- -- (.EsetTrialReset)
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3

:Files
C:\Documents and Settings\Piotr\Dane aplikacji\Search Settings
C:\Documents and Settings\Damian\Dane aplikacji\Search Settings
C:\Documents and Settings\Mama\Dane aplikacji\Search Settings

:Commands
[emptytemp]
[resethosts]
[emptyflash]
[clearallrestorepoints]

Kliknij w Run Fix. I potwierdź reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera + raport z pliku

[MaxQuake]

http://www.virustotal.com/pl/analisis/bf28a8eb57684f7819ae1c76282d26356590559f827eddb576662bada1d2c9fc-1272208804
tylko jeden wynik

Kod: Zaznacz wszystko

Rising    22.44.06.04    2010.04.25    Trojan.Win32.Generic.51FAF1AA

http://virusscan.jotti.org/pl/scanresult/a1dfefd74378ee09c7fc7caf0ec1754487333a06/66daf7d412623b17fc87e8504c6e60e311e87894
nic nie znaleziono

teraz wykonam Fix w OTL

Dodano 11.05.2010 20:17:10:
Raport czyszczenia

Kod: Zaznacz wszystko

All processes killed
========== OTL ==========
Service StarWindServiceAE stopped successfully!
Service StarWindServiceAE deleted successfully!
Service .EsetTrialReset stopped successfully!
Service .EsetTrialReset deleted successfully!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{B922D405-6D13-4A2B-AE89-08A030DA4402} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ not found.
Prefs.js: pdfforge@mybrowserbar.com:1.1.2 removed from extensions.enabledItems
Prefs.js: searchsettings@spigot.com:1.2.3 removed from extensions.enabledItems
========== FILES ==========
C:\Documents and Settings\Piotr\Dane aplikacji\Search Settings\kb130\temp folder moved successfully.
C:\Documents and Settings\Piotr\Dane aplikacji\Search Settings\kb130 folder moved successfully.
C:\Documents and Settings\Piotr\Dane aplikacji\Search Settings folder moved successfully.
C:\Documents and Settings\Damian\Dane aplikacji\Search Settings\kb130\temp folder moved successfully.
C:\Documents and Settings\Damian\Dane aplikacji\Search Settings\kb130 folder moved successfully.
C:\Documents and Settings\Damian\Dane aplikacji\Search Settings folder moved successfully.
C:\Documents and Settings\Mama\Dane aplikacji\Search Settings\kb130\temp folder moved successfully.
C:\Documents and Settings\Mama\Dane aplikacji\Search Settings\kb130 folder moved successfully.
C:\Documents and Settings\Mama\Dane aplikacji\Search Settings folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Damian
->Temp folder emptied: 8766653 bytes
->Temporary Internet Files folder emptied: 20390759 bytes
->Java cache emptied: 1795050 bytes
->FireFox cache emptied: 62973263 bytes
->Flash cache emptied: 3321 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Mama
->Temp folder emptied: 2330307 bytes
->Temporary Internet Files folder emptied: 27233586 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 62642357 bytes
->Flash cache emptied: 405 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Piotr
->Temp folder emptied: 1990715 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 52337 bytes
->FireFox cache emptied: 79673368 bytes
->Flash cache emptied: 3491 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2596 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 256,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYFLASH]

User: All Users

User: Damian
->Flash cache emptied: 0 bytes

User: Default User

User: LocalService

User: Mama
->Flash cache emptied: 0 bytes

User: NetworkService

User: Piotr
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb

Restore points cleared and new OTL Restore Point set!

OTL by OldTimer - Version 3.2.4.1 log created on 05112010_210504

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Extras.txt:
http://wklej.org/id/332232/
OTL.txt:
http://wklej.org/id/332233/

[wojtas]

PRC - [2010-01-08 00:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:Files
C:\Program Files\Application Updater

:Commands
[emptytemp]

Kliknij w Run Fix. I potwierdź reset kompa .


odinstaluj w dodaj usuń pdfforge Toolbar

Wykonaj czynności końcowe :

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację Windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
4. zrób skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )


Zaktualizuj zabezpieczenia:
>>> Adobe Reader 9.3 (bez Free McAfee® Security Scan Plus)

[MaxQuake]

Po wykonaniu tych czynności szykować jakiś log? Skan Malware dziś zrobiłem, wyrzuciło 7 robaczków, log:

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Wersja bazy: 4090

Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702

2010-05-11 19:09:00
mbam-log-2010-05-11 (19-09-00).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|)
Przeskanowano obiektów: 236036
Upłynęło: 52 minut(y), 15 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 7

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
C:\System Volume Information\_restore{718B485C-CADF-452C-9EC0-AD09D8FE2BB7}\RP30\A0007199.dll (Trojan.FakeAlert) -> No action taken.
D:\RECYCLER\S-1-5-21-2052111302-1606980848-682003330-1004\Dd2\rozne\1000 gier JAVA\Tennis Maniac\keygen.exe (Worm.Autorun.B) -> No action taken.
D:\RECYCLER\S-1-5-21-2052111302-1606980848-682003330-1004\Dd2\rozne\1000 gier JAVA\MVRPool\MVRPool\keygen.exe (Worm.Autorun.B) -> No action taken.
D:\RECYCLER\S-1-5-21-2052111302-1606980848-682003330-1004\Dd2\rozne\1000 gier JAVA\MGS-Silverball_v1.60\Silverball_v1.60\keygen.exe (Worm.Autorun.B) -> No action taken.
D:\RECYCLER\S-1-5-21-2052111302-1606980848-682003330-1004\Dd2\rozne\1000 gier JAVA\MGSkarting_cracked\karting\keygen.exe (Worm.Autorun.B) -> No action taken.
D:\System Volume Information\_restore{718B485C-CADF-452C-9EC0-AD09D8FE2BB7}\RP30\A0007298.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{9B772C4F-99B9-461F-80C4-C6BE3838D217}\RP195\A0197091.exe (Malware.Packer.Gen) -> No action taken.


[wojtas]

usuń je , wykonaj inne instrukcje. więcej nic nie widać już więc logów nie dawaj

Autor postu otrzymał pochwałę

[MaxQuake]

Okej w takim razie jutro zacznę ponownie defragmentację i czyszczenie komputera resztą sposobów. Wszystkie instrukcje prócz oczyszczania zrobione . Wielkie dzięki. Pozdrawiam