Aplikacja lub biblioteka DLL C:\WINDOWS\system32\mcenspc.dl


(system) #1

Witami prosze o pomoc ,

Wykonalem juz kilka rzeczy ktore odnalazlem w sieci ale nic to nie pomoglo oto pproblem

Mam zainstalowanego Spybota i Nortona nic nie wykrywaly Norton pokazywal udaremniono

probe wlamania.

Poniewaz wydawalo mi sie ze moje dane sie wydostaja sciagnalem AntyVir i przeskanowalem

znalazl 5 trojanow .

ale pojawil sie problem, moze zbiegiem okolicznosci.

Po uruchomieniu laptopa wyskakuje komunikat :

HPBMOBIL.EXE - Zly obraz


Aplikacja lub biblioteka DLL C:\WINDOWS\system32\mcenspc.dll nie jest poprawnym obrazem systemu Windows NT.

Sprawdz to z dyskietka instalacyjna.

klikam OK i moge robic dalej ale pozniej ten sam komunikat zezmienionym naglowkiem

calkowicie blokuje kompa.

np przy gg komunikat brzmi

gg.exe - Zly obraz


Aplikacja lub biblioteka DLL C:\WINDOWS\system32\mcenspc.dll nie jest poprawnym obrazem systemu Windows NT

Sprawdz to z dyskietka instalacyjna..

Wykasowalem z dysku C folder Qoobox

W oknie dosa wpisalem : rd /s /q c:\windows\system32\twain32

Wyskoczyl komunikat : nie mozna odnalesc okreslonego pliku.

Przeskanowalem jeszcze Doctor Web , nic nie znalazl i problem nadal jest.

prosze o pomoc pozdrawiam


(jessica) #2

Daj log z ComboFix

Nowsza instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix.

ComboFix powinien samoczynnnie usunąć tego " mcenspc.dll" i jego wpis w Rejestrze.

jessi


(system) #3

No mam dziwny problem zwydrukiem z Combo ale sam program mam

log z HijackThis http://www.wklej.org/id/58440/

help:)

log z Combo http://wklejto.pl/27621


(jessica) #4

Kosmetyka:

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.

EDIT:

Widzę teraz log z ComboFixa - jest prawie czysto.

Wklej do Notatnika :

File::

c:\windows\Tasks\AA88340E91A3B35A.job

c:\docume~1\hp\daneap~1\chicin~1\multi itch bash.exe


Folder::

c:\docume~1\hp\daneap~1\chicin~1

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Sprawdź ten zaznaczony plik na -- JOTTI/ albo na VIRUSTOTAL.

jessi


(system) #5

Zrzucilem najpierw CFScript na ComboFix przeskanowalem i oto log

http://www.wklej.org/id/58517/

Nastepnie po wlaczeniu Hijack nie bylo wpisow

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM..\Run: [sService] C:\WINDOWS\system32\~.exe

7.0\ActiveX\AcroIEHelper.dll (file missing)

pozostale sfiksowalem

nastepnie na JOTTI sprawdzilem

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"CPQDFWAG"="c:\windows\Cpqdiag\CpqDfwAg.exe"

efekt.

http://www.wklej.org/id/58544/

Komunikat od ktorego zaczynalismy juz sie nie pojawia ale problem nadal jest

otwierajac cokolwiek np Paint i kiedy wyskakuje okno gdzie zapisac to kiedy

klikne np Pulpit to klepsydra moze byc i 2 godziny i nic , program sie blokuje

i nic nie moge zrobic.

Ro6ert


(jessica) #6

Ten plik Systemowy był niedawno modyfikowany - może został do niego wstrzyknięty jakiś szkodliwy kod?

Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL.

Wklej do Notatnika :

File::

c:\windows\Cpqdiag\CpqDfwAg.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"CPQDFWAG"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

To wcale nie musi być efekt działania infekcji - mogą być także przyczyny Systemowe, programowe, sprzętowe.

Trudno zgadnąć.

jessi


(system) #7

Log zComboFixa

http://wklejto.pl/27674

generalnie jest juz o niebo lepiej zostaja dwie rzeczy nadal mysli okropnie dlugo

i kiedy otwieram okno zapisu czy przegladania to klikajac ikone moje dok. czy moj komputer wszystko

jest okejo . Ale kiedy klikne ikone pulpit zawiesza sie i mysli w nnieskonczonosc...

Kiedy odpalam kompa pojawia sie taki vir wuchwycony przez AntyVir

ale nawet to , ze wrzucam go do kwaranntanny nic nie daje ten komunikat

jest zawsze.

C:\Program Files\Norton AntiVirus\Savrt\0000NAV/TMP

Is the TR/Dropper.Gen Trojan

Pozdrawiam

Ro6ert


(jessica) #8

Log jest czysty.

Nie napisałeś nic o wynikach sprawdzania pliku "userinit.exe".

Usuń ręcznie folder C:**** Qoobox.

Na komputerze nie wolno mieć dwóch Antivirusów, bo będą się nawzajem uznawały za wirusa.

To już sprawa nie do tego działu Forum.

jessi


(system) #9

pliku "userinit.exe". jest czysty.. niestety komunikat pierwotny powrocil ...

parametry ustawione w niektorych programach ulegly jakiejsdziwnej

zmianie wartosci ...

Co jeszcze moge zribic?

Ro6ert


(jessica) #10

Jeśli to ten komunikat powrócił, to trzeba zaczynać wszystko od nowa.

jessi