Co 16 min wyskakuje mi wirus 800000c


(Rafaldrugi) #1

Witam,

Od 3 dni mój antywirus (COMODO) wykrywa mi wirusa, co ciekawe co 16 min wyskakuje okienko że go znalazło, klikam usuń/wylecz i nic za 16 min to samo w COMODO wygląda to tak http://zapodaj.net/142309fde06e.jpg.html

Próbowałem coś zrobić i na sztywno go usunąć, a dokładniej wczoraj wszedłem do awaryjnego następnie do konsoli w konsoli przeszedłem pod ten adres tj. C:\WINDOWS\assemly\tmp\U\ i pousuwałem te pliki ręczenie i wirus uspokoił się na 24 godziny . Dzisiaj rano znowu wyskoczył.

Z góry dzięki piszcie co potrzebujecie to będę na bieżąco podawał.

OTL : http://wklej.to/jY5eT

EXTras : http://wklej.to/SWfLZ


(jessica) #2

To jest jeden z elementów ZeroAcces

1) Daj log z >ComboFix

2) Daj log z >TDSSKiller

3) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

4) Daj nowy log z OTL

jessi


(Rafaldrugi) #3

ComboFix : http://wklej.to/TbMvn

TDSSKiller : http://wklej.to/a6pq4

Raport OTL : http://wklej.to/w4U4Z

OTL : http://wklej.to/pPeiG


(jessica) #4

ZeroAcces usunięty, ale w logu OTL dalej widać szkody, jakie wyrządził w Systemie.

Spróbujemy to naprawić:

1) START > w polu szukania wpisz: cmd > z prawokliku "Uruchom jako Administrator" > wpisz: netsh winsock reset

naciśnij ENTER

2) Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]

"Num_Catalog_Entries"=dword:00000006

"Serial_Access_Num"=dword:00000020

"Num_Catalog_Entries64"=dword:00000006


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]

"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"

"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"

"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83

"SupportedNameSpace"=dword:0000000f

"Enabled"=dword:00000001

"Version"=dword:00000000

"StoresServiceClassInfo"=dword:00000001

"ProviderInfo"=hex:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]

"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"

"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"

"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b

"SupportedNameSpace"=dword:0000000c

"Enabled"=dword:00000001

"Version"=dword:00000000

"StoresServiceClassInfo"=dword:00000001

"ProviderInfo"=hex:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]

"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"

"DisplayString"="NTDS"

"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac

"SupportedNameSpace"=dword:00000020

"Enabled"=dword:00000001

"Version"=dword:00000000

"StoresServiceClassInfo"=dword:00000000

"ProviderInfo"=hex:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]

"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"

"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"

"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae

"SupportedNameSpace"=dword:00000025

"Enabled"=dword:00000001

"Version"=dword:00000000

"StoresServiceClassInfo"=dword:00000001

"ProviderInfo"=hex:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]

"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"

"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"

"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d

"SupportedNameSpace"=dword:00000027

"Enabled"=dword:00000001

"Version"=dword:00000000

"StoresServiceClassInfo"=dword:00000001

"ProviderInfo"=hex:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]

"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"

"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"

"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d

"SupportedNameSpace"=dword:00000026

"Enabled"=dword:00000001

"Version"=dword:00000000

"StoresServiceClassInfo"=dword:00000001

"ProviderInfo"=hex:

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

3) zrób nowy log z OTL - zobaczymy, czy to coś zmieniło.

jessi


(Rafaldrugi) #5

OTL : http://wklej.to/vQNOH


(jessica) #6

Jest OK.

Do usunięcia są puste, bezplikowe klucze,; dawałam je do usunięcia Scriptem, ale najwyraźniej masz w Systemie ustawione, że nie wolno usuwać żadnych pustych, bezplikowych kluczy.

Zostawiamy to w spokoju; może kiedyś użyjesz jakiś program czyszczący, który usunie te zbędne klucze z Rejestru.

Kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Jednocześnie zniknie ComboFix i TDSSKiller.

jessi


(Rafaldrugi) #7

O super, dzięki Jessi

ale jeszcze mam takie pytanie czym to mogło być spowodowane bo nigdy nie miałem takiego problemu. Otóż brat mi mówi że dzisiaj rano (czyli wtedy jeszcze był ten wirus na kompie) jak siedział i grał w Metina to mu się lapek wyłączył i próbował go włączyć i jak się włączał to nawet do włączania systemu nie doszedł tylko w samym POST'cie już się wyłączał ;/ no i co ciekawe teraz przed chwilą też włączył metina pograł z godzine i znowu to samo, ale jak włączałem kompa to włożyłem baterie bo normalnie używam bez baterii i tylko na sieci jade i się włączył normalnie. włączyłem speedfana i pokazuje że w czasie grania 2 rdzenie miały około 65 stopni a w spoczynku 50 , ale z tego mi się wydaje to ten lapek nigdy się właśnie za bardzo nie grzał .