Aplikacja lub biblioteka DLL C:\WINDOWS\system32\mcenspc.dl

Dla specjalistów Bezpieczeństwo
#1

Witami prosze o pomoc ,

Wykonalem juz kilka rzeczy ktore odnalazlem w sieci ale nic to nie pomoglo oto pproblem

Mam zainstalowanego Spybota i Nortona nic nie wykrywaly Norton pokazywal udaremniono

probe wlamania.

Poniewaz wydawalo mi sie ze moje dane sie wydostaja sciagnalem AntyVir i przeskanowalem

znalazl 5 trojanow .

ale pojawil sie problem, moze zbiegiem okolicznosci.

Po uruchomieniu laptopa wyskakuje komunikat :

HPBMOBIL.EXE - Zly obraz

Aplikacja lub biblioteka DLL C:\WINDOWS\system32\mcenspc.dll nie jest poprawnym obrazem systemu Windows NT.

Sprawdz to z dyskietka instalacyjna.

klikam OK i moge robic dalej ale pozniej ten sam komunikat zezmienionym naglowkiem

calkowicie blokuje kompa.

np przy gg komunikat brzmi

gg.exe - Zly obraz

Aplikacja lub biblioteka DLL C:\WINDOWS\system32\mcenspc.dll nie jest poprawnym obrazem systemu Windows NT

Sprawdz to z dyskietka instalacyjna…

Wykasowalem z dysku C folder Qoobox

W oknie dosa wpisalem : rd /s /q c:\windows\system32\twain32

Wyskoczyl komunikat : nie mozna odnalesc okreslonego pliku.

Przeskanowalem jeszcze Doctor Web , nic nie znalazl i problem nadal jest.

prosze o pomoc pozdrawiam

#2

Daj log z ComboFix

Nowsza instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix.

ComboFix powinien samoczynnnie usunąć tego " mcenspc.dll" i jego wpis w Rejestrze.

jessi

#3

No mam dziwny problem zwydrukiem z Combo ale sam program mam

log z HijackThis http://www.wklej.org/id/58440/

help:)

log z Combo http://wklejto.pl/27621

#4

Kosmetyka:

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.

EDIT:

Widzę teraz log z ComboFixa - jest prawie czysto.

Wklej do Notatnika :

File::

c:\windows\Tasks\AA88340E91A3B35A.job

c:\docume~1\hp\daneap~1\chicin~1\multi itch bash.exe


Folder::

c:\docume~1\hp\daneap~1\chicin~1

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Sprawdź ten zaznaczony plik na – JOTTI/ albo na VIRUSTOTAL.

jessi

#5

Zrzucilem najpierw CFScript na ComboFix przeskanowalem i oto log

http://www.wklej.org/id/58517/

Nastepnie po wlaczeniu Hijack nie bylo wpisow

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [sService] C:\WINDOWS\system32~.exe

7.0\ActiveX\AcroIEHelper.dll (file missing)

pozostale sfiksowalem

nastepnie na JOTTI sprawdzilem

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

“CPQDFWAG”=“c:\windows\Cpqdiag\CpqDfwAg.exe”

efekt.

http://www.wklej.org/id/58544/

Komunikat od ktorego zaczynalismy juz sie nie pojawia ale problem nadal jest

otwierajac cokolwiek np Paint i kiedy wyskakuje okno gdzie zapisac to kiedy

klikne np Pulpit to klepsydra moze byc i 2 godziny i nic , program sie blokuje

i nic nie moge zrobic.

Ro6ert

#6

Ten plik Systemowy był niedawno modyfikowany - może został do niego wstrzyknięty jakiś szkodliwy kod?

Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL.

Wklej do Notatnika :

File::

c:\windows\Cpqdiag\CpqDfwAg.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"CPQDFWAG"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

To wcale nie musi być efekt działania infekcji - mogą być także przyczyny Systemowe, programowe, sprzętowe.

Trudno zgadnąć.

jessi

#7

Log zComboFixa

http://wklejto.pl/27674

generalnie jest juz o niebo lepiej zostaja dwie rzeczy nadal mysli okropnie dlugo

i kiedy otwieram okno zapisu czy przegladania to klikajac ikone moje dok. czy moj komputer wszystko

jest okejo . Ale kiedy klikne ikone pulpit zawiesza sie i mysli w nnieskonczonosc…

Kiedy odpalam kompa pojawia sie taki vir wuchwycony przez AntyVir

ale nawet to , ze wrzucam go do kwaranntanny nic nie daje ten komunikat

jest zawsze.

C:\Program Files\Norton AntiVirus\Savrt\0000NAV/TMP

Is the TR/Dropper.Gen Trojan

Pozdrawiam

Ro6ert

#8

Log jest czysty.

Nie napisałeś nic o wynikach sprawdzania pliku “userinit.exe”.

Usuń ręcznie folder C:** Qoobox**.

Na komputerze nie wolno mieć dwóch Antivirusów, bo będą się nawzajem uznawały za wirusa.

To już sprawa nie do tego działu Forum.

jessi

#9

pliku “userinit.exe”. jest czysty… niestety komunikat pierwotny powrocil …

parametry ustawione w niektorych programach ulegly jakiejsdziwnej

zmianie wartosci …

Co jeszcze moge zribic?

Ro6ert

#10

Jeśli to ten komunikat powrócił, to trzeba zaczynać wszystko od nowa.

jessi