Foldery zamieniane na skróty, widoczne spowolnienie PC

OnlyTrue · 24 Lipiec 2012 15:10

Od jakiegoś czasu komputer zaczął chodzić wręcz strasznie, fakt faktem nie jest na nim zainstalowany żaden antyvirus. Przy starcie systemu Otwiera się cmd i coś tam ładuje. Odpala się jakiś facebookvideochat i wywala ten proces. Ogólnie dziwne zachowanie komputera. Logi OTL.

http://wklej.org/id/796874/ extras

http://wklej.org/id/796876/ otl

Druga sprawa. komputer ten jest wpięty do sieci kilkunastu komputerów. I od jakiegoś czasu sieć przy włączonym tym komputerze dziwnie zaczęła się zachowywać. tzn. gdy ten komputer jest w sieci na komputerach znika na chwile internet, strasznie gubi pakiety, pingi niemilosierne, wystarczy, że wypnę ten PC z sieci i wszystko wraca do normy. Testowałem to już na 3 kartach sieciowych sytuacja wygląda tak samo ? czy może jakiś syf na tym komputerze mieć z tym związek ?

Atis · 24 Lipiec 2012 15:33

Dziwne, że ten system w ogóle działa, bo masz całą kolekcję trojanów.

Dlaczego nie masz zainstalowanego żadnego programu antywirusowego?

Odinstaluj ASK Toolbar, Nero Toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - [2012-07-23 09:02:55 | 000,198,144 | ---- | M] () [Auto | Running] – C:\Users\Admin\AppData\Local\Temp\cjncvlr.exe – (omcxeakzuu) SRV - [2012-07-23 08:17:37 | 000,177,152 | -HS- | M] () [Auto | Running] – C:\Windows\SysWOW64\antivar.exe – (ServerNabs4) SRV - [2011-08-19 13:05:00 | 000,382,464 | ---- | M] () [Auto | Running] – C:\Windows\update.7.1\svchostdriver.exe – (ddservice) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found. O4:64bit: - HKLM…\Run: [Microsoft Updater4] C:\Users\Admin\AppData\Local\Temp\Updates\msusm.exe () O4 - HKLM…\Run: [00b79b0d.exe] C:\Users\Admin\AppData\Local\Temp\00b79b0d.exe () O4 - HKLM…\Run: [bonez.exe] C:\Users\Admin\AppData\Roaming\bonez.exe () O4 - HKLM…\Run: [csrss] C:\Users\Admin\AppData\Roaming\adobe\csrsse.exe (Microsoft Corporation) O4 - HKLM…\Run: [doom.exe] C:\Users\Admin\AppData\Roaming\doom.exe () O4 - HKLM…\Run: [MSWUpdate] C:\Users\Admin\AppData\Roaming\Microsoft\lsass.exe () O4 - HKLM…\Run: [MzgyNTFBOTQ5M0FGNEQ1Nj] C:\Users\Admin\odbckey.exe () O4 - HKLM…\Run: [Win32] C:\Users\Admin\urNlsLexi.exe () O4 - HKLM…\Run: [windefender] C:\Users\Admin\AppData\Roaming\WinDefender.exe () O4 - HKLM…\Run: [Windows Logon Application] C:\Users\Admin\AppData\Roaming\winlogon.exe () O4 - HKLM…\Run: [Windows.exe] C:\Users\Admin\AppData\Roaming\Windows Defender.exe File not found O4 - HKLM…\Run: [windowscenter] C:\Users\Admin\KBDIsp.exe () O4 - HKCU…\Run: [AdobeBridge] File not found O4 - HKCU…\Run: [AdobeUpdate] C:\Users\Admin\AppData\Roaming\Adobe32\invis.vbs () O4 - HKCU…\Run: [binHost] C:\ProgramData\Microsoft\Windows\Start Menu\binhost\binhost.exe (Microsoft Corp.) O4 - HKCU…\Run: [bonez.exe] C:\Users\Admin\AppData\Roaming\bonez.exe () O4 - HKCU…\Run: [crss] C:\Users\Admin\AppData\Roaming\crss.exe () O4 - HKCU…\Run: [csrss] C:\Users\Admin\AppData\Roaming\adobe\csrsse.exe (Microsoft Corporation) O4 - HKCU…\Run: [doom.exe] C:\Users\Admin\AppData\Roaming\doom.exe () O4 - HKCU…\Run: [lmibqnoejcxmbjntjwh] C:\Users\Admin\AppData\Roaming\lmibqnoejcxmbjntjwh.exe () O4 - HKCU…\Run: [Microsoft® Windows® Operating System] C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Templates\icsunattend.exe (Microsoft Corporation) O4 - HKCU…\Run: [MicroUpdate] C:\Windows\SysWOW64\MSDCSC\msdcsc.exe (Microsoft Corp.) O4 - HKCU…\Run: [MSWUpdate] C:\Users\Admin\AppData\Roaming\Microsoft\lsass.exe () O4 - HKCU…\Run: [none] C:\Users\Admin\AppData\Roaming\bonez.exe () O4 - HKCU…\Run: [random] C:\Users\Admin\AppData\Roaming\doom.exe () O4 - HKCU…\Run: [service Host Controller] C:\Users\Admin\AppData\Roaming\svchost.exe File not found O4 - HKCU…\Run: [start-Up Name] C:\Users\Admin\AppData\Roaming\FacebookVideoCall.exe () O4 - HKCU…\Run: [svchost] C:\Users\Admin\AppData\Roaming\FacebookVideoCall.exe () O4 - HKCU…\Run: [tumblr] C:\Users\Admin\AppData\Roaming\tumblr.exe File not found O4 - HKCU…\Run: [Windows Logon Application] C:\Users\Admin\AppData\Roaming\winlogon.exe () O4 - HKCU…\Run: [Windows Update] C:\Users\Admin\AppData\Roaming\4muqo.exe () O4 - HKCU…\Run: [Windows Updater] C:\Users\Admin\AppData\Local\Temp\99256.exe () O4 - HKCU…\Run: [Windows.exe] C:\Users\Admin\AppData\Roaming\Windows Defender.exe File not found O4 - HKCU…\Run: [winlogon.exe] “.exeFalse” File not found F3:64bit: - HKCU WinNT: Load - (C:\Users\Admin\KBDIsp.exe) - C:\Users\Admin\KBDIsp.exe () F3 - HKCU WinNT: Load - (C:\Users\Admin\KBDIsp.exe) - C:\Users\Admin\KBDIsp.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: 816 = C:\PROGRA~3\LOCALS~1\Temp\msvvquuum.pif (jonquils parabolas) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: MSWUpdate = C:\Users\Admin\AppData\Roaming\Microsoft\lsass.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Logon Application = C:\Users\Admin\AppData\Roaming\winlogon.exe () O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Admin\Documents\MSDCSC\msdcsc.exe) - C:\Users\Admin\Documents\MSDCSC\msdcsc.exe (Microsoft Corp.) O20:64bit: - HKLM Winlogon: UserInit - (C:\ProgramData\Microsoft\Windows\Start Menu\binhost\binhost.exe) - C:\ProgramData\Microsoft\Windows\Start Menu\binhost\binhost.exe (Microsoft Corp.) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\MSDCSC\msdcsc.exe) - File not found O20 - HKLM Winlogon: Shell - (svdhalp.exe) - C:\Windows\SysWow64\svdhalp.exe () O20 - HKLM Winlogon: UserInit - (C:\Users\Admin\AppData\Roaming\Microsoft\lsass.exe) - C:\Users\Admin\AppData\Roaming\Microsoft\lsass.exe () @Alternate Data Stream - 1163 bytes -> C:\Program Files\Common Files\System:1fT1QUn841ZMzbfjJ7JrPMdV4yUj @Alternate Data Stream - 1148 bytes -> C:\ProgramData\Microsoft:tUxkTlgF4KKVPaywZ2TOjWOm @Alternate Data Stream - 1092 bytes -> C:\ProgramData\Microsoft:ennibQMJfNU5R8AFmiSe @Alternate Data Stream - 1056 bytes -> C:\Users\Admin\AppData\Local\FXzIVPZR1S:tnFY6aavxkmH6lIOckmo :Files C:\Users\Admin\AppData\Local*.exe C:\Users\Admin\AppData\Roaming*.exe C:\Users\Admin*.exe C:\Windows\update.7.1 :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

OnlyTrue · 25 Lipiec 2012 06:40

Log z usuwania - http://wklej.org/id/797221/

Nowy OTL - http://wklej.org/id/797228/

Atis · 25 Lipiec 2012 08:10

Wklej i kliknij Wykonaj skrypt:

:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/fft/fft_1324400965_623651 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/fft/fft_1324400965_623651 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/fft/fft_1324400965_623651 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=ironto IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=40a20330000000000000001d7da69ee3 IE - HKCU…\SearchScopes{846D2B40-599A-46B5-B8A4-E8A79A02D806}: “URL” = http://searchya.com/?chnl=dcom-100&s=1& … DtAtBtA&q={searchTerms} IE - HKCU…\SearchScopes{EDD01E2D-AF92-4AB8-A83A-06B98B34CE7F}: “URL” = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms} FF - prefs.js…browser.search.param.yahoo-fr: “chr-greentree_ff&type=827316&ilc=12” FF - prefs.js…keyword.URL: “http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=827316&p=” [2012-02-16 12:15:21 | 000,000,000 | —D | M] (Freecorder Community Toolbar) – C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\x2dc1ykf.default\extensions{1392b8d2-5c05-419f-a8f6-b9f15a596612} [2012-04-05 12:36:43 | 000,000,000 | —D | M] (Funmoods.com) – C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\x2dc1ykf.default\extensions\ffxtlbr@funmoods.com [2012-03-23 12:38:24 | 000,000,000 | —D | M] (searchya.com) – C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\x2dc1ykf.default\extensions\ffxtlbr@searchya.com [2012-05-30 15:16:05 | 000,000,000 | —D | M] (stock zoom) – C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\x2dc1ykf.default\extensions\istockzoom@kanjar.art.pl [2012-04-19 10:02:33 | 000,000,000 | —D | M] (Nero Toolbar) – C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\x2dc1ykf.default\extensions\toolbar@ask.com [2012-04-05 11:05:22 | 000,001,800 | ---- | M] () – C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\x2dc1ykf.default\searchplugins\funmoods.xml [2012-03-23 12:02:30 | 000,001,465 | ---- | M] () – C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\x2dc1ykf.default\searchplugins\searchya.xml [2012-01-10 18:46:48 | 000,002,310 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011-12-20 19:09:25 | 000,002,424 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O2 - BHO: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKLM…\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKCU…\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com) O4 - HKLM…\Run: [MzgyNTFBOTQ5M0FGNEQ1Nj] C:\Users\Admin\oleamfc1.exe File not found O4 - HKLM…\Run: [Win32] C:\Users\Admin\urNlsLexi.exe File not found O4 - HKLM…\Run: [windowscenter] C:\Users\Admin\KBDIsp.exe File not found O4 - HKCU…\Run: [Microsoft® Windows® Operating System] C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Templates\icsunattend.exe File not found O4 - HKCU…\Run: [Windows Update] C:\Users\Admin\AppData\Roaming\4muqo.exe File not found O32 - AutoRun File - [2012-07-24 10:16:58 | 000,000,182 | RHS- | M] () - G:\autorun.inf – [FAT32] O32 - AutoRun File - [2012-07-24 10:16:58 | 000,000,098 | RHS- | M] () - G:\autorun.bat – [FAT32] O32 - AutoRun File - [2012-07-24 10:16:58 | 000,000,193 | RHS- | M] () - G:\autorun.vbs – [FAT32] [2012-07-23 08:53:41 | 000,297,984 | -HS- | M] (hsavjgg goaiv wcsvk nyjdga) – C:\Users\Admin\AppData\Roaming\tumblr.zgy [2012-07-18 08:36:17 | 000,001,459 | -HS- | M] () – C:\Users\Admin\AppData\Roaming\bt99.lnk [2012-07-18 05:41:46 | 000,000,377 | -HS- | M] () – C:\Users\Admin\AppData\Roaming\bat99.bat [2012-07-13 23:18:58 | 000,186,368 | ---- | M] () – C:\Windows\SysWow64\svdhalp.exe.ini [2012-01-10 18:46:44 | 000,000,000 | —D | M] – C:\Users\Admin\AppData\Roaming\Babylon :Commands [emptytemp]

Pokaż raport z usuwania.

Wklej i kliknij Skanuj:

Pokaż ten log.

OnlyTrue · 25 Lipiec 2012 09:16

czyszczenie http://wklej.org/id/797263/

otl nowy http://wklej.org/id/797283/

w miedzy czasie zainstalowalem avg i przeskanowałem komputer usunęło kilka trojanów

Atis · 25 Lipiec 2012 09:32

Wklej i kliknij Wykonaj skrypt:

Uruchom cmd.exe jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

W wierszu polecenia wklej i zatwierdź enterem:

sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll

Później zrestartuj komputer.

Po restarcie utwórz nowy log z OTL:

OnlyTrue · 25 Lipiec 2012 10:00

http://wklej.org/id/797315/

zrobione

Atis · 25 Lipiec 2012 10:09

Wklej i kliknij Wykonaj skrypt:

Przywróć domyślny plik Hosts:

http://support.microsoft.com/kb/972034/pl

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html