Komputer zamula


(Marcin2811) #1

Witam, mam strasznie zawirusowany komputer, miałem problem z Antivirus Protection 2012 ale chyba usunałem, chociaż nie wiem bo w procesach jest basicscan.exe. Ogólnie komputer sie długo wlącza, czasem wywala bluescreena i komp sie wyłącza, jak wchodze na obojetnie jakie strony czasem pojawia sie jakaś inna, głownie erotyczne.

OTL.txt:

http://wklej.to/zAm2I

Extras.txt:

http://wklej.to/CteJA


(Atis) #2
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\svchost.exe -- (PowerManager)

Usługa może oznaczać wirusa Jeefo który infekuje pliki wykonywalne. Przeskanuj wszystkie partycje i lecz zainfekowane pliki:JEEFOGUIKaspersky Virus Removal Tool 2011Napisz czy skanery wykryły wirusa. Odinstaluj DAEMON Tools Toolbar i uTorrentControl2 Toolbar. Do okna Własne opcje skanowania / skrypt wklej:

:OTL

SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\svchost.exe -- (PowerManager)

SRV - [2012-02-10 18:26:40 | 000,023,040 | ---- | M] () [Auto | Running] -- C:\Program Files\BasicScan\basicscan.exe -- (BasicScan Service)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva393.sys -- (XDva393)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\nicR\USTAWI~1\Temp\Rar$EX01.016\xqz ring0 by dedi\injectDLL.sys -- (injectDLL)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HDAudBus.sys -- (HDAudBus)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\nicR\USTAWI~1\Temp\UKH143.tmp -- (GarenaPEngine)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)

DRV - [2012-02-26 22:19:33 | 000,143,360 | ---- | M] () [Kernel | Auto | Running] -- C:\Documents and Settings\nicR\Ustawienia lokalne\Temp\5689.sys -- (5689)

IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://fmz.qiwa.com [binary data]

IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com

IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - No CLSID value found

IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}

IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253

IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}

IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=UT2

IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51717

[2012-02-10 21:26:48 | 000,000,000 | ---D | M] (BasicScan) -- C:\Program Files\Mozilla Firefox\extensions\{6AA54174-C9E8-4B07-95A0-0FBC19CBE64C}

FF - prefs.js..browser.search.defaultenginename: "Ask"

FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.order.1: "Ask"

FF - prefs.js..browser.search.selectedEngine: "DAEMON Search"

FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q="

FF - prefs.js..network.proxy.http: "127.0.0.1"

FF - prefs.js..network.proxy.http_port: 51717

FF - prefs.js..network.proxy.type: 1

CHR - default_search_provider: search_url = http://www.basicscan.com/?tmp=redir_bho_bing&dist=0&prt=BscscnPB&keywords={searchTerms}

O2 - BHO: (no name) - {E601996F-E400-41CA-804B-CD6373A7EEE2} - No CLSID value found.

O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.

O3 - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.

O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe (Provtech Limited)

O4 - HKU\.DEFAULT..\Run: [Punk Buster Client] C:\WINDOWS\system32\PnkBstrA.exe File not found

O4 - HKU\S-1-5-18..\Run: [Punk Buster Client] C:\WINDOWS\system32\PnkBstrA.exe File not found

O4 - HKU\S-1-5-21-1085031214-789336058-682003330-1003..\Run: [winlogon] C:\Documents and Settings\nicR\winlogon.exe (Provtech Limited)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: csrcs = C:\WINDOWS\system32\csrcs.exe

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe (Provtech Limited)

O20 - HKLM Winlogon: UIHost - (C:\logonui_black.exe) - File not found

O20 - HKU\S-1-5-21-1085031214-789336058-682003330-1003 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKU\S-1-5-21-1085031214-789336058-682003330-1003 Winlogon: Shell - ("C:\Documents and Settings\nicR\winlogon.exe") - C:\Documents and Settings\nicR\winlogon.exe (Provtech Limited)

O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found

[2012-03-03 15:27:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\nicR\Dane aplikacji\Antivirus Protection 2012

[2012-02-22 15:39:46 | 000,000,000 | ---D | C] -- C:\Program Files\420CA

[2012-02-22 15:39:35 | 000,000,000 | ---D | C] -- C:\Documents and Settings\nicR\Dane aplikacji\B8B42

[2012-02-22 15:39:33 | 000,000,000 | ---D | C] -- C:\Program Files\LP

[2010-03-24 15:47:07 | 000,427,520 | RHS- | C] ( ) -- C:\WINDOWS\System32\voppnl.exe

[2010-03-21 12:59:02 | 000,436,736 | ---- | C] ( ) -- C:\WINDOWS\System32\cmnflz.exe

[2012-02-10 21:25:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\BasicScan


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Marcin2811) #3

JEEFOGUI nic nie wykryło, odinstalowałem toobary, reszte zrobie jak będe miał czas.

Zostawiłem komputer na noc i sciaglo mi jakiś program Netcut.exe ktory sie wlacza przy starcie systemu i nie powoduje zadnych problemow ale chyba to wirus i chciałbym sie zapytać czy w OTL.txt jest to netcut czy musze robić nowy skan?

I od jakiegos czasu w procesach mam: 41D.exe 08CE0.exe TuneUpUtilitiesApp32.exe TuneUpUtilitiesService32.exe i 7 razy svchost.exe. Te procesy svchost.exe to chyba Jeefo bo miałem go na poprzednim komputerze i przeszedł pewnie razem z plikami, chociaż JEEFOGUI nic nie wykryło.


(Atis) #4

Właściwie dotychczas nic nie wykonałeś.

Miałeś przeskanować Kasperskym i uzyć skryptu.

Użyj skryptu i pokaż nowy log.

Proces svchost.exe uruchomiony kilka razy to normalne, bo z tego procesu korzystają ważne usługi systemowe.

Ważna jest nie tylko nazwa, ale również lokalizacja pliku.

Wirus -> C:\WINDOWS\svchost.exe

Prawidłowy plik systemowy -> C:\WINDOWS\System32\svchost.exe

TuneUpUtilitiesApp32.exe i TuneUpUtilitiesService32.exe

Przecież masz zainstalowany program TuneUp Utilities