DarkT
(Kubcio 1995)
15 Sierpień 2011 16:42
#1
Potrzebuje pomocy.
Mój laptop, system operacyjny Vista, cały czas się wyłącza i włącza. Na przemian w tryb awaryjny i normalny. Bez końca.
Możliwe, że jest na nim sławny wirus z Facebooka. Nie mam jak podesłać logów. Jakieś pomysły ? Sugestie ?
Locked1986
(Andrzejswit)
15 Sierpień 2011 17:17
#2
Zmień tytuł tematu, bo zaraz moderator zakrzyczy. [np. Laptop się wyłącza i włącza samoczynnie]
Instrukcje do OTL:
otl-gmer-rsit-dss-inne-instrukcje-t370405.html
ps nie wklejaj tego kodu do okienka
DarkT
(Kubcio 1995)
15 Sierpień 2011 17:28
#3
Tytuł zmieniony. ja wiem ja się robi loga. Problem w tym, że nie mogę go zrobić, gdy laptop się cały czas włącza i wyłącza. Jest na to sposób ?
Locked1986
(Andrzejswit)
15 Sierpień 2011 17:31
#4
DarkT
(Kubcio 1995)
15 Sierpień 2011 17:42
#5
Udało mi się uruchomić laptopa.
Tryb normalny oto logi
:http://wklej.org/id/577245/
:http://wklej.org/id/577246/
Locked1986
(Andrzejswit)
15 Sierpień 2011 18:04
#6
Toolbary wywalamy oprócz Nortonowskiego
Zaraz dam skrypt poczekaj bo masz troche tego syfu
– Dodane 15.08.2011 (Pn) 20:08 –
Tam gdzie emotka wpisz : processes [bez spacji]
:processes killallprocesses :OTL SRV - [2011-07-26 14:59:10 | 001,183,232 | -H-- | M] () [Auto | Running] – C:\Windows\update.1\svchost.exe – (wxpdrivers) SRV - File not found [Auto | Stopped] – -- (Norton Internet Security) SRV - File not found [On_Demand | Stopped] – -- (McComponentHostService) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.asp … ynote_lj65 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.packardbell.com/rdr.asp … ynote_lj65 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=fbpage1&s={searchTerms}&f=4 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.asp … ynote_lj65 FF - prefs.js…keyword.URL: “http://start.facemoods.com/results.php?f=5&a=fbpage1&q= ” O4 - HKLM…\Run: [9939051.exe] C:\Windows\Temp\9939051.exe () O4 - HKLM…\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe () O4 - HKLM…\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe () O4 - HKLM…\Run: [tray_ico] File not found O4 - HKLM…\Run: [tray_ico0] C:\Windows\update.tray-15-0\svchost.exe () O4 - HKLM…\Run: [tray_ico1] C:\Windows\update.tray-9-0\svchost.exe () O4 - HKLM…\Run: [tray_ico2] C:\Windows\update.tray-10-0\svchost.exe () O4 - HKLM…\Run: [tray_ico3] File not found O4 - HKLM…\Run: [tray_ico4] File not found O4 - HKLM…\Run: [PLFSetI] File not found O4 - HKLM…\Run: [NBKeyScan] File not found O3 - HKLM…\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - File not found O3 - HKCU…\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - File not found O4 - HKLM…\Run: [2695637.exe] C:\Users\pack bell\AppData\Local\Temp\2695637.exe () O4 - HKLM…\Run: [wxpdrv] C:\Windows\services32.exe () O4 - HKCU…\Run: [steam] File not found O4 - HKCU…\Run: [EA Core] File not found O33 - MountPoints2{d9b4eb27-8b6c-11e0-8d5d-00235ae3272a}\Shell\AutoRun\command - “” = chxnxyx.exe O33 - MountPoints2{d9b4eb27-8b6c-11e0-8d5d-00235ae3272a}\Shell\open\Command - “” = chxnxyx.exe [2011-07-26 15:09:52 | 000,000,000 | -H-D | C] – C:\Windows\update.1 [2011-07-26 15:09:23 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-9-0-lnk [2011-07-26 15:09:23 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-9-0 [2011-07-26 15:09:23 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-15-0-lnk [2011-07-26 15:09:23 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-15-0 [2011-07-26 15:09:23 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-10-0-lnk [2011-07-26 15:09:23 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-10-0 PRC - [2011-08-15 18:33:49 | 000,258,048 | ---- | M] () – C:\Windows\sysdriver32_.exe PRC - [2011-08-15 18:33:49 | 000,258,048 | ---- | M] () – C:\Windows\sysdriver32.exe PRC - [2011-07-26 14:59:10 | 001,183,232 | -H-- | M] () – C:\Windows\update.tray-9-0\svchost.exe PRC - [2011-07-26 14:59:10 | 001,183,232 | -H-- | M] () – C:\Windows\update.tray-15-0\svchost.exe PRC - [2011-07-26 14:59:10 | 001,183,232 | -H-- | M] () – C:\Windows\update.tray-10-0\svchost.exe PRC - [2011-07-26 14:59:10 | 001,183,232 | -H-- | M] () – C:\Windows\update.1\svchost.exe PRC - [2011-05-28 17:47:06 | 000,126,976 | ---- | M] () – C:\Windows\System32\UAService7.exe PRC - [2010-12-21 16:27:01 | 000,065,024 | RHS- | M] () – C:\Windows\nvsvc32.exe :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] “FirewallOverride” = 0 “DisableThumbnailCache” = 0 “FirewallDisableNotify” = 0 “UpdatesDisableNotify” = 0 “AntiVirusDisableNotify” = 0 :commands [emptyflash] [resethosts] [emptytemp]
Wklej to w białe okienko na dole.
Kliknij wykonaj skrypt. Zgódź się na restart komputera. Log ukaże sie po ponownym uruchomieniu - go wrzucasz.
I nowe logi z OTL.
DarkT
(Kubcio 1995)
15 Sierpień 2011 18:15
#7
Log po restarcie się ni pojawił.
Następne skanowanie już leci.
Zaraz wrzucę log po ponownym skanowaniu.
Locked1986
(Andrzejswit)
15 Sierpień 2011 18:18
#8
Hmm, zajrzyj do C:_OTL musi gdzieś być
DarkT
(Kubcio 1995)
15 Sierpień 2011 18:22
#9
Nie zlazłem. Jedyny jaki mam to po nowym skanowaniu.
http://wklej.org/id/577271/
Problem może być taki, że komputer zrestartował się samoczynnie, bez pytania o zgodę.
@EDIT
Zauważyłem też, że przy wyłączonym internecie się nie wyłącza, lecz zaraz po jego uruchomieniu, komputer się restartuje.
@EDIT x2
Zauważyłem również, że po Twoim zabiegu i przy włączonym internecie jest już wszystko dobrze. : )
Locked1986
(Andrzejswit)
15 Sierpień 2011 18:34
#10
PRC - [2011-05-28 17:47:06 | 000,126,976 | ---- | M] () – C:\Windows\System32\UAService7.exe PRC - [2010-12-21 16:27:01 | 000,065,024 | RHS- | M] () – C:\Windows\nvsvc32.exe
Infekcja nie do końca usunięta…
Tak więc zrobimy coś takiego
EDIT
:processes
nvsvc32.exe
:files
C:\Windows\nvsvc32.exe
C:\Windows\loader2.exe_ok
:commands
[resethosts]
Wklej to w białe okienko na dole.
Kliknij wykonaj skrypt.
Pokaże się log [bez restartu].
DarkT
(Kubcio 1995)
15 Sierpień 2011 18:39
#11
http://wklej.org/id/577282/
Czy to już wszystko i mogę zacząć dziękować ?
Locked1986
(Andrzejswit)
15 Sierpień 2011 18:41
#12
Wszystko dobrze poszło Dla pewności zrób skan http://www.malwarebytes.org i co wyłapie to usuwaj i się nie pytaj
Tak, to już wszystko Pozdrawiam.
– Dodane 15.08.2011 (Pn) 20:43 –
w otl użyj funkcji Sprzątanie lub wywal folder C:_OTL
DarkT
(Kubcio 1995)
15 Sierpień 2011 18:44
#13
Dziękuję bardzo : )
Szkoda, że jestem 9 lat młodszy.
Zaprosił bym Cię w nagrodę na piwo : )
Jeszcze jedno pytanie, czy to mogło być przez serwer priv do Metina2 ?
Locked1986
(Andrzejswit)
15 Sierpień 2011 18:50
#14
Otóż tak ponieważ komputer łączy się z takim serwerem i są wymieniane dane [np. jak się ruszysz to komputer wysyła informacje ruchu i gdzie to zrobiłeś, a serwer wysyła mu odpowiedź że to zaakceptował] i również są ściągane pliki wymagane przez serwer tak więc w tych plikach mógł być ale nie zapewniam że to akurat stąd. Zależy również po jakich stronach użytkownik chodził. Infekcja mogła również pochodzić z Pendrive, co świadczy o tym:
ale to mogła być inna infekcja, choć było trochę do usuwania co świadczył o tym skrypt.
Pisz w razie pytań
Pozdrawiam.
Witam
Mam podobny problem co kolega DarkT
Laptop mojej siostry włancza się i wyłancza na zmiane w trybie normalnym i awaryjnym
Skorzystałem z OTL
nie wiem za bardzo co mam zrobic z tymi logami
Proszę o pomoc
Locked1986
(Andrzejswit)
10 Listopad 2011 19:35
#16
Hej kolego,
załóż nowy temat w dziale bezpieczeństwo. Na pewno ktoś Ci pomoże. Pozdrawiam.