Witam,
od jakiegoś czasu pojawia mi się okno “Aplikacja lub biblioteka DLL nnie jest poprawnym obrazem systemu windows nt” przy otwieraniu wszystkiego (poczty, internetu, excela)
wiem, ze przez pendrive’a wrzuciłam jakiegoś wirusa czy trojana i nie mogę się tego pozbyć. Kaspersky za każdym razem kiedy się odpala informuje mnie że mam trojana: Zainfekowany: Koñ trojañski Rootkit.Win32.TDSS.dbg C:\WINDOWS\system32\TDSSocun.dll 60 kB.
poczytałam na forum i ściągnęłam program HijackThis. Wyniki : http://www.wklejto.pl/56764
Proszę o pomoc co mam zrobić dalej.
Dziękuję
deFco247
(deFco247)
7 Luty 2010 11:15
#2
Log źle wklejony - brak ukośników ** - co utrudnia jego analizę.
Nie wklejasz loga poprzez Przeglądaj… , tylko ręcznie kopiujesz jego zawartość w pole do wklejania tekstu.
Pokaż logi z narzędzi:
OTL
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan .
System Repair Engineer
deFco247
(deFco247)
8 Luty 2010 09:24
#4
Z OTL wstawiałaś niewłaściwy log - mi potrzebny jest:
Uruchom SREng - System Repair - zakładka Browser Addons - kolumna CLSID1 - odszukaj i usuń:
{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}
{22BF413B-C6D2-4D91-82A9-A0F997BA588C}
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}
{58ECB495-38F0-49CB-A538-10282ABF65E7}
{6A87B991-A31F-4130-AE72-6D0C294BF082}
{700259D7-1666-479A-93B1-3250410481E8}
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
{77BF5300-1474-4EC7-9980-D32B190E9B07}
{7F9DB11C-E358-4CA6-A83D-ACC663939424}
{92780B25-18CC-41C8-B9BE-3C9C571A8263}
{BDF3E430-B101-42AD-A544-FADC6B084872}
{CCA281CA-C863-46EF-9331-5C8D4460577F}
{E2E2DD38-D088-4134-82B7-F2BA38496583}
{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
{E908B145-C847-4E85-B315-07E2E70DECF8}
{FB5F1910-F110-11D2-BB9E-00C04F795683}
Witam,
Przesyłam loga z OTL. http://www.wklejto.pl/56914
Usunęłam z SREng.
– Dodane 09.02.2010 (Wt) 20:29 –
proszę o pomoc
deFco247
(deFco247)
10 Luty 2010 13:37
#6
Pobierz LSP-Fix i uruchom.
Przenieś w nim plik mkslsp.dll z okna Keep do Remove. Restart.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL SRV - File not found [Auto | Stopped] – -- (MksVirMonSvc) SRV - File not found [Auto | Stopped] – -- (MksUpdate) SRV - File not found [Auto | Stopped] – -- (MksPC) SRV - File not found [Auto | Stopped] – -- (MksFwall) SRV - File not found [On_Demand | Stopped] – -- (MkS_Scan) DRV - [2007-05-24 04:06:00 | 000,015,360 | ---- | M] () [Kernel | System | Running] – C:\WINDOWS\system32\MksFwallt.sys – (mksfwallt) DRV - [2007-05-24 04:06:00 | 000,013,312 | ---- | M] () [Kernel | System | Running] – C:\WINDOWS\system32\MksFwallf.sys – (mksfwallf) DRV - [2007-05-24 04:06:00 | 000,011,776 | ---- | M] () [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\MksIdsf.sys – (mksidsf) DRV - [2007-05-24 04:06:00 | 000,006,144 | ---- | M] () [Kernel | Boot | Running] – C:\WINDOWS\system32\mksidsa.sys – (mksidsa) IE - HKCU…\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found O3 - HKLM…\Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [1449999574] C:\Documents and Settings\All Users\Application Data\1027119755\1449999574.exe File not found O4 - HKLM…\Run: [mkstray] C:\Program Files\mks_vir_2007\bin\mkstray.exe File not found O4 - HKLM…\RunOnceEx: [] File not found O18 - Protocol\Handler\ic32pp {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:\WINDOWS\wc98pp.dll () [2010-02-01 08:23:53 | 000,000,000 | -H-D | C] – C:\Documents and Settings\All Users\Dane aplikacji{95E9C59F-8556-4882-B6E0-F48E83A8FEED} [2010-02-01 08:23:51 | 000,000,000 | -H-D | C] – C:\Documents and Settings\All Users\Dane aplikacji{0A1E189A-ED37-4C9A-98D5-8581A907ABA2} :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] “SecurityProviders”=“msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll” :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
Witam,
Niestety mam problem: podczas Run Fix w OTL zawiesza mi się system i nie mogę nic zrobić (tylko zrestartować, zamknąć). Nawet nie ma pulpitu - jest pusty ekran.
Zauważyłam, że blokuje się na :
DRV - [2007-05-24 04:06:00 | 000,015,360 | ---- | M] () [Kernel | System | Running] – C:\WINDOWS\system32\MksFwallt.sys – (mksfwallt)
czy coś mogę zrobić? czy próbować dalej?
Pozdrawiam
Witam,
Udało się przeprowadzić Run Fix w OTL, zrestartowałam komputer i niestety sytuacja się powtarza, cały czas pojawia się komunikat, a Kaspersky “widzi” trojana.
Aktualne loga - http://www.wklejto.pl/57213
Proszę o pomoc
Anula1871
deFco247
(deFco247)
10 Luty 2010 19:49
#10
Zastosuj Combofix .
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Pokaż log.
anula1871
(Anna Nowak)
10 Luty 2010 21:54
#11
niestety nie mogę pobrać Combofix - wyskakuje mi błąd połączenia.
deFco247
(deFco247)
11 Luty 2010 11:14
#12
Wyłączone wszelkie programy ochronne?
Jeszcze jest drugi link: http://www.forospyware.com/sUBs/ComboFix.exe
anula1871
(Anna Nowak)
11 Luty 2010 14:25
#13
Udało się. zapisałam na pulpicie - wieczorem uruchomię i dam znać (prześlę loga).
Dziękuję
– Dodane 11.02.2010 (Cz) 20:28 –
Niestety nie udało się. W ogóle nie mogę otworzyć combofix. Nie otwiera się żadne okno - przez chwilę miga klepsydra ale za chwilę znika i nic, w menadżerze zadań nie ma w aplikacjach tylko pojawia się na kilka minut w procesach ale i tu zamyka się.
Wydaje mi się, że wszystko wyłączyłam. jak mogę to sprawdzić? co mogę teraz zrobić?
deFco247
(deFco247)
13 Luty 2010 08:50
#14
Usuń tego Combofixa. Pobierz go na nowo, już w czasie pobierania zmień mu nazwę na losową z rozszerzeniem .com
anula1871
(Anna Nowak)
15 Luty 2010 20:36
#15
Witam,
Udało się, Combofix zadziałał i komputer ruszył ponownie bez problemu.
uruchomiłam go kilka razy i komunikat już się nie pojawia.
Przesyłam log z Combofix’a - http://www.wklejto.pl/57758
Proszę o informację czy mogę usunąć już Combofix’a i inne aplikacje ściągnięte do naprawy komputera ?
Dziękuję za pomoc i pozdrawiam
deFco247
(deFco247)
15 Luty 2010 21:25
#16
Combofix już usunął to co trzeba.
Uruchom OTL i kliknij w nim CleanUp .
Wykonaj pełny skan Dr.Web CureIt .
Gdy będą wirusy, pokaż raport.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
anula1871
(Anna Nowak)
17 Luty 2010 20:49
#17
Witam,
Dr Web znalazł wirusy. cały raport jest bardzo dży i nie mogę go wkleić jesyne co znalazłam to podsumowanie, które przesyłam
http://www.wklejto.pl/57944
co teraz?
deFco247
(deFco247)
17 Luty 2010 21:05
#18
Mi zawsze chodzi o właśnie to podsumowanie.
Skaner znalazł głównie pliki znajdujące się w folderach przywracania systemu.
Wyłącz i włącz je na wszystkich dyskach. Instrukcja XP .
Powinno być już czysto.
anula1871
(Anna Nowak)
17 Luty 2010 21:47
#19
ok, wyłączyłam i włączyłam przywracanie systemu, zrobiłam CCleaner - wyczyściłam rejestr i dysk i usunęłam z autostartu.
Czy mam włączać nowe skanowanie i coś jeszcze zrobić?