olo_o_0
14 Sierpień 2009 10:07
#1
Prośba o sprawdzenie loga z HijackThis. Powód, miałem kilka trojanów. Kilka usunąłem ale dalej nie jestem pewny.
http://www.wklej.org/id/134835/
Może są tutaj jakieś procesy, których w ogóle nie powinienem włączać?
deFco247
14 Sierpień 2009 10:14
#2
Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file) O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [HP Software Update] “R:\Programy\HP\HP Software Update\HPWuSchd2.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “H:\Program Files\Java\jre6\bin\jusched.exe” O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [NeroFilterCheck] H:\Program Files\Common Files\Nero\Lib\NeroCheck.exe O4 - HKLM…\Run: [Nokia FastStart] “H:\Program Files\Nokia\Nokia Music\NokiaMusic.exe” /command:faststart O4 - HKLM…\Run: [LanguageShortcut] “H:\Program Files\CyberLink\PowerDVD\Language\Language.exe” O16 - DPF: {2A781DED-C22D-4153-9812-CEA98A32981C} (GameDesire Makao) - http://67.15.101.33/g_bin/pl/cardsmakao_2_0_0_29.cab
Pokaż log OTL
olo_o_0
14 Sierpień 2009 10:22
#3
deFco247
14 Sierpień 2009 10:34
#4
Nie musisz wklejać loga z HiJacka po raz drugi.
Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector tych narzędzi
Lub format.
Sam majstrowałeś przy pliku hosts?
Te wpisy wolałbym jednak zostawić, bo blokują niepożądane strony.
W Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2008-04-14 22:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) – H:\WINDOWS\Explorer.EXE O3 - HKU\S-1-5-21-1801674531-1965331169-839522115-1003…\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1801674531-1965331169-839522115-1003…\Toolbar\WebBrowser: (no name) - {463DF6D5-BEC1-4D67-B217-59DB692DFC53} - No CLSID value found. O3 - HKU\S-1-5-21-1801674531-1965331169-839522115-1003…\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O4 - Startup: H:\Documents and Settings\Właściciel\Menu Start\Programy\Autostart\Adobe Media Player.lnk = H:\Program Files\Adobe Media Player\Adobe Media Player.exe File not found O33 - MountPoints2{46ebab02-cd6e-11dc-a7b2-001cf05bde21}\Shell\AutoRun\command - “” = iqe68o.bat O33 - MountPoints2{46ebab02-cd6e-11dc-a7b2-001cf05bde21}\Shell\explore\Command - “” = iqe68o.bat O33 - MountPoints2{46ebab02-cd6e-11dc-a7b2-001cf05bde21}\Shell\open\Command - “” = iqe68o.bat O33 - MountPoints2{49bea313-ae87-11dd-a900-001cf05bde21}\Shell - “” = AutoRun O33 - MountPoints2{49bea313-ae87-11dd-a900-001cf05bde21}\Shell\Auto\command - “” = explorers.exe O33 - MountPoints2{49bea314-ae87-11dd-a900-001cf05bde21}\Shell\AutoRun\command - “” = 188qsm.bat O33 - MountPoints2{49bea314-ae87-11dd-a900-001cf05bde21}\Shell\explore\Command - “” = 188qsm.bat O33 - MountPoints2{49bea314-ae87-11dd-a900-001cf05bde21}\Shell\open\Command - “” = 188qsm.bat O33 - MountPoints2{5d4350b9-e1ff-11dc-a81c-001cf05bde21}\Shell\AutoRun\command - “” = J:\USBNB.exe – File not found O33 - MountPoints2{d27b6d04-0b6f-11dd-a8fa-001cf05bde21}\Shell\AutoRun\command - “” = sv8c2bjw.bat O33 - MountPoints2{d27b6d04-0b6f-11dd-a8fa-001cf05bde21}\Shell\open\Command - “” = sv8c2bjw.bat :Files H:\WINDOWS\msa.exe H:\WINDOWS\tasks{7B02EF0B-A410-4938-8480-9BA26420A627}.job H:\WINDOWS\tasks{BB65B0FB-5712-401b-B616-E69AC55E2757}.job H:\WINDOWS\System32\msxml71.dll :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy OTL.txt
olo_o_0
14 Sierpień 2009 10:54
#5
Nie mam nic takiego podłączonego
Tak, sam. Działa, nie zauważyłem problemów.
PRC - [2008-04-14 22:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) – H:\WINDOWS\Explorer.EXE O3 - HKU\S-1-5-21-1801674531-1965331169-839522115-1003…\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1801674531-1965331169-839522115-1003…\Toolbar\WebBrowser: (no name) - {463DF6D5-BEC1-4D67-B217-59DB692DFC53} - No CLSID value found. O3 - HKU\S-1-5-21-1801674531-1965331169-839522115-1003…\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O4 - Startup: H:\Documents and Settings\Właściciel\Menu Start\Programy\Autostart\Adobe Media Player.lnk = H:\Program Files\Adobe Media Player\Adobe Media Player.exe File not found O33 - MountPoints2{46ebab02-cd6e-11dc-a7b2-001cf05bde21}\Shell\AutoRun\command - “” = iqe68o.bat O33 - MountPoints2{46ebab02-cd6e-11dc-a7b2-001cf05bde21}\Shell\explore\Command - “” = iqe68o.bat O33 - MountPoints2{46ebab02-cd6e-11dc-a7b2-001cf05bde21}\Shell\open\Command - “” = iqe68o.bat O33 - MountPoints2{49bea313-ae87-11dd-a900-001cf05bde21}\Shell - “” = AutoRun O33 - MountPoints2{49bea313-ae87-11dd-a900-001cf05bde21}\Shell\Auto\command - “” = explorers.exe O33 - MountPoints2{49bea314-ae87-11dd-a900-001cf05bde21}\Shell\AutoRun\command - “” = 188qsm.bat O33 - MountPoints2{49bea314-ae87-11dd-a900-001cf05bde21}\Shell\explore\Command - “” = 188qsm.bat O33 - MountPoints2{49bea314-ae87-11dd-a900-001cf05bde21}\Shell\open\Command - “” = 188qsm.bat O33 - MountPoints2{5d4350b9-e1ff-11dc-a81c-001cf05bde21}\Shell\AutoRun\command - “” = J:\USBNB.exe – File not found O33 - MountPoints2{d27b6d04-0b6f-11dd-a8fa-001cf05bde21}\Shell\AutoRun\command - “” = sv8c2bjw.bat O33 - MountPoints2{d27b6d04-0b6f-11dd-a8fa-001cf05bde21}\Shell\open\Command - “” = sv8c2bjw.bat :Files H:\WINDOWS\msa.exe H:\WINDOWS\tasks{7B02EF0B-A410-4938-8480-9BA26420A627}.job H:\WINDOWS\tasks{BB65B0FB-5712-401b-B616-E69AC55E2757}.job H:\WINDOWS\System32\msxml71.dll :Commands [emptytemp] [start explorer]
To skopiowałem i wkleiłem do OTL
Log po ponownym uruchomieniu http://wklej.org/id/134863/
Log po skanowaniu, po ponownym uruchomieniu http://wklej.org/id/134865/
deFco247
14 Sierpień 2009 10:57
#6
Mimo to zastosuj Flash Disinfector.
Log czysty.
W OTL kliknij CleanUp .
Wyczyść rejestr i dysk CCleaner
Usuń zbędniki z autostartu.
Wykonaj pełny skan DR WEB CureIt
Gdy będą wirusy pokaż raport.
olo_o_0
14 Sierpień 2009 11:24
#7
Flash Disinfector nic nie wykrył, pewnie dlatego, że nie mam żadnego pendrive albo karty pamięci podłączonej
Ccleaner działa u mnie od kilku dni i czyści wszystko przed włączeniem
DR WEB Curelt w szybkim skanowaniu nic nie wykrył a teraz wykonuje pełne skanowanie. Szybciej jak w godzinę nie skończy. Po skanowaniu napiszę co i jak.
– Dodane 14.08.2009 (Pt) 13:33 –
Zauważyłem coś niepokojącego. Użycie pamięci gwałtownie wzrosło. Czy to źle? http://img233.imageshack.us/img233/6226/pastedimagem.jpg
deFco247
14 Sierpień 2009 11:45
#8
Dziwi mnie ten proces a8g48.exe , który używa 40% CPU.
Informacji o nim żadnych nie ma.
Zobaczymy czy Dr.Web w pełnym skanie coś wykryje…
olo_o_0
14 Sierpień 2009 12:30
#9
Dla mnie dziwne jest że prawie wszystkie procesy mają powyżej 10000K normalnie było to 8 procesów. A ja nie wiem nawet czy to źle czy dobrze. Użycie procesora utrzymuje się ciągle w granicach 50%
http://img229.imageshack.us/img229/2019/pastedimage1.jpg patrząc na czas testu i pasek przebiegu to jeszcze z 3 godziny zostały.
Wygląda na to, że Flash Disinfector jest zainfekowany.
deFco247
14 Sierpień 2009 12:33
#10
Fałszywy alarm, zawsze skanery wykrywają szkodnika w pliku nircmd.exe , który jest częścią m.in. Flash Disinfectora i Combofixa.
olo_o_0
14 Sierpień 2009 12:36
#11
A możesz mi wytłumaczyć tak wysokie zużycie pamięci przez te procesy?
deFco247
14 Sierpień 2009 12:40
#12
Firefox zawsze zużywa tyle pamięci przy kilku otwartych kartach.
Skaner Spybot-a też (drugi proces od góry).
To samo się tyczy explorer.exe , AVG, procesu System itd.
olo_o_0
14 Sierpień 2009 12:47
#13
Co to jest za pamięć? Nigdy wcześniej nie były to tak wysokie liczby. Przed chwilą włączyłem bittorrent i wskazuje normalne dla niego zużycie pamięci ok 2000 K a firefox normalnie ma ok 80000K teraz 2 razy więcej. Pewnie po restarcie wróci wszystko do normy. Mam nadzieję
sdar
14 Sierpień 2009 13:15
#14
olo_o_0 , Proszę o zmianę tytułu na bardziej konkretny.
Użyj opcji
Pomocne może być zapoznanie się z TYMI informacjami.
olo_o_0
14 Sierpień 2009 15:15
#15
deFco247
14 Sierpień 2009 15:23
#16
Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP
olo_o_0
14 Sierpień 2009 17:54
#17
Po tym wszystkim włączyłem komputer i nie mogłem włączyć i tu trzeba zaznaczyć żadnej przeglądarki
deFco247
14 Sierpień 2009 18:09
#18
Zapewne włączasz Tryb awaryjny , a do neta potrzebny jest Tryb awaryjny z obsługą sieci .
olo_o_0
14 Sierpień 2009 19:07
#19
No własnie tryb awaryjny z obsługą sieci i nie łączyło ale firefox się włączył.
Odłączę neta, zapore i antywirusa. Coś tu nie gra i to napewno.
Za nic nie mogę wyłączyć procesu mojego antyvirusa bo się pojawia nowy i wyskakuje ten komunikat http://img441.imageshack.us/img441/5182/pastedimage.jpg
Spróbowałem uruchomić windowsa z odznaczonym AVG w msconfig ale jakieś jego programy dalej się właczają. Masz jakis pomysł? Nie chcę uruchamiać combofixa z włączonym antywirusem.
deFco247
14 Sierpień 2009 19:10
#20
