starrk
(Mik0bog)
2 Styczeń 2010 10:13
#1
Zauważyłem ostatnio,iż słyszę podczas pracy z komputerem muzykę, której nie powinno być i nie jest ona mi znana. Pojawia się ona nieregularnie i trwa zwykle koło 10 sekund.
Logi:http://wklej.org/id/253612/
Z góry dziękuje za pomoc
Wrzuć logi z programów:
a) OTL
Ustaw Processes i Modules na All a w Custom Scans/Fixes wklej:
b) GMER
Skan trwa kilkadziesiąt minut
c) System Repair Engineer
Logi wklej na www.wklej.org
Przed uruchomieniem w/w narzędzi usuń wszysktie programy tworzące wirtualne napędy oraz usuń sterownik SPTD programem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
starrk
(Mik0bog)
2 Styczeń 2010 10:40
#3
Odkryłem źródło tajemniczej muzyki! Otóż przed chwilą zaatakował mnie jakiś pop up z IE dotyczący pokera. Nie wiem czy to w jakiś sposób może pomóc w rozwiązaniu mego problemu:D
No widzisz jeśli chcesz to możesz wrzucić logi ale nie musisz
starrk
(Mik0bog)
2 Styczeń 2010 12:43
#5
Mogę doprecyzować problem: Pojawiające się z nikąd pop-upy. Ponownie proszę o pomoc
Kolejne logi:
-OTL: http://wklej.org/id/253716/
-Gmer: http://wklej.org/id/253714/
-System Repair Engineer: http://wklej.org/id/253730/
jessica
(jessica)
2 Styczeń 2010 13:08
#6
[2010-01-01 23:22:15 | 00,000,004 | ---- | C] () – C:\Program Files\dmedia.exe193238.dat [2009-12-31 21:41:32 | 00,040,960 | ---- | C] () – C:\Windows\asscrpro.exe.delme81 [2009-12-31 21:41:32 | 00,040,960 | ---- | C] () – C:\Windows\asscrpro.exe
Sprawdź je na --> JOTTI/
albo na VIRUSTOTAL .
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O4 - HKLM…\Run: [xkbevvp] C:\Windows\System32\xkbevvp.exe () O4 - HKCU…\Run: [RGSC] D:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe File not found 2010-01-02 11:24:02 | 00,040,960 | ---- | M] () – C:\Windows\System32\xkbevvp.exe.delme117 O33 - MountPoints2{6b5c453c-9791-11dd-ae12-806e6f6e6963}\Shell - “” = AutoRun O33 - MountPoints2{6b5c453c-9791-11dd-ae12-806e6f6e6963}\Shell\AutoRun\command - “” = E:\cda_menu.exe – File not found O33 - MountPoints2{9e0ba3b2-b7f5-11dd-8020-001556507778}\Shell - “” = AutoRun O33 - MountPoints2{9e0ba3b2-b7f5-11dd-8020-001556507778}\Shell\AutoRun\command - “” = F:\SaboteurLauncher.exe – File not found O33 - MountPoints2{af754dfa-15f0-11de-9f3b-001556507778}\Shell - “” = AutoRun O33 - MountPoints2{af754dfa-15f0-11de-9f3b-001556507778}\Shell\AutoRun\command - “” = H:\LaunchU3.exe – File not found O33 - MountPoints2{d9041c56-56af-11de-a694-001556507778}\Shell\AutoRun\command - “” = G:\lad.bat – File not found O33 - MountPoints2{d9041c56-56af-11de-a694-001556507778}\Shell\open\Command - “” = G:\lad.bat – File not found [2009-12-31 20:13:06 | 00,058,880 | -H-- | M] () – C:\Users\Miki\pivnhfh.exe [2009-12-31 20:13:06 | 00,058,880 | ---- | M] () – C:\Windows\System32\xkbevvp .exe [2009-12-31 20:13:13 | 00,058,880 | ---- | C] () – C:\Windows\System32\xkbevvp .exe [2009-12-31 20:13:13 | 00,040,960 | ---- | C] () – C:\Windows\System32\xkbevvp.exe.delme117 [2009-12-31 20:13:13 | 00,040,960 | ---- | C] () – C:\Windows\System32\xkbevvp.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
starrk
(Mik0bog)
2 Styczeń 2010 14:07
#7
1 i 3 plik były ok, 2 uznano za trojana więc usunąłem
log z czyszczenia: http://wklej.org/id/253853/
nowy log OTL: http://wklej.org/id/253858/
Edit: F*ck, poepłniłem błąd nieskopiowałem :OTL w pierwszej linijce. Co teraz :(?
starrk
(Mik0bog)
2 Styczeń 2010 14:47
#9
Ok, teraz zrobiłem to dobrze
Logi
z czyszczenia:http://wklej.org/id/253889/
nowy log OTL : http://wklej.org/id/253897/
jessica
(jessica)
2 Styczeń 2010 14:51
#10
Usunięte.
Nic tu więcej nie widzę dla siebie.
jessi
starrk
(Mik0bog)
2 Styczeń 2010 15:32
#11
Dziękuje jessico za pomoc ale pop-up’y nadal się pojawiają ;(
ciemnowidz
(Henio Mazurek)
2 Styczeń 2010 16:12
#12
Wygląda na to, że pliki zostały podmienione
PRC - [2010-01-02 15:41:40 | 00,040,960 | ---- | M] () – C:\Program Files\Common Files\InstallShield\UpdateService\isuspm~1 .exe PRC - [2010-01-02 15:41:39 | 00,040,960 | ---- | M] () – C:\Program Files\Java\jre6\bin\jusched.exe PRC - [2010-01-02 15:41:37 | 00,040,960 | ---- | M] () – C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe PRC - [2010-01-02 15:41:36 | 00,040,960 | ---- | M] () – C:\Program Files\Microsoft Office\Office12\groovemonitor.exe PRC - [2010-01-02 15:41:35 | 00,040,960 | ---- | M] () – C:\Program Files\HP\HP Software Update\hpwuschd2.exe PRC - [2010-01-02 15:41:34 | 00,040,960 | ---- | M] () – C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe PRC - [2010-01-02 15:41:33 | 00,040,960 | ---- | M] () – C:\Program Files\Synaptics\SynTP\syntpenh.exe PRC - [2010-01-02 15:41:32 | 00,040,960 | ---- | M] () – C:\Windows\asscrpro.exe PRC - [2010-01-02 15:41:31 | 00,040,960 | ---- | M] () – C:\Program Files\ASUS\ATK Media\dmedia.exe PRC - [2010-01-02 15:41:28 | 00,040,960 | ---- | M] () – C:\Program Files\ASUS\ATKOSD2\atkosd2.exe PRC - [2010-01-02 15:41:27 | 00,040,960 | ---- | M] () – C:\Program Files\ASUS\ATK Hotkey\hcontroluser.exe PRC - [2010-01-02 15:41:23 | 00,040,960 | ---- | M] () – C:\Program Files\Spybot - Search & Destroy\teatimer.exe PRC - [2010-01-02 15:41:21 | 00,040,960 | ---- | M] () – C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe PRC - [2010-01-02 15:41:02 | 00,040,960 | ---- | M] () – c:\Program Files\Internet Explorer\wmpscfgs.exe PRC - [2010-01-02 15:40:52 | 00,040,960 | ---- | M] () – c:\users\miki\appdata\local\temp\wmpscfgs.exe PRC - [2010-01-02 15:40:09 | 00,040,960 | ---- | M] () – C:\Program Files\CyberLink\Power2Go\MUITransfer\muistartmenu.exe
Obstawiam również ten plik
No i pliki ze spacją przed rozszerzeniem.
Wyżej wymienione pliki przeskanuj na VirusTotal. Pokaż wyniki.
Pobierz SystemLook
Wklej do niego
Kliknij Look i pokaż log + log Extras z OTL.
Ogólnie to ciężko z tym bez formatu.
starrk
(Mik0bog)
2 Styczeń 2010 16:49
#13
Wszystkie pliki, które wskazałeś mają wyniki 8/40. Zauważyłem również, iż te pliki wyst podwójnie i jako duplikaty nie mają ikon. Nigdy nie miałem z tym laptopem tyle problemów :(. Pop-upy wyskakują (nieregularnie) z IE, nawet jak niekorzystam z żadnej przeglądarki!!
Log z SystemLook’a : http://wklej.org/id/253975/
log z OTL: http://wklej.org/id/253984/ (nie wyświetliło logu Extras…)
ciemnowidz
(Henio Mazurek)
2 Styczeń 2010 19:19
#14
Poprzednia osoba legitymująca się tą infekcją przywlokła to z crackiem do 3dsmax. Widzę, że u Ciebie też jest podobnie, tam zapewne skończyło się formatem. Tak czy owak, nie pomagamy tutaj osobom korzystającym z tego typu rozwiązań.
starrk
(Mik0bog)
2 Styczeń 2010 22:07
#15
Pomimo tego, iż nie korzystałem z 3dsmax, dziękuje za pomoc i poświęcony mi czas.
ciemnowidz
(Henio Mazurek)
3 Styczeń 2010 06:19
#16
Chodzi o cracki/pirackie przeróbki/itp nie tylko o 3dsmax. Co w logu można tutaj zobaczyć
Stąd się biorą cięższe infekcje jak ta którą masz.
zozek
(Ihak77)
3 Styczeń 2010 07:12
#17
Tak i jak już się ściąga cracki(choć się nie powinno) to skorzystaj z http://www.wirustotal.com/pl/ .I przeskanuj plik przed uruchomieniem.