Cornflake
(Aadamczyk48)
25 Luty 2011 19:23
#1
Witam!
Mój komputer od pewnego czasu wywalał dziwne, zaskakujące błędy, a także zawieszał się i resetował nieproszony.
Poszperałem trochę w internecie i natknąłem się na rzekomo “dobry” program antywirusowwy, Dr.WEB; ściągnąłem, przeskanowałem (trwało to blisko 5 godzin), zrestartowałem, zwątpiłem
Po kliknięciu prawym klawiszem myszy na którykolwiek z dysków, wyświetlają się komunikaty w języku angielskim, a po próbie otworzenia wybranego pokazuje się okno “Otwieranie za pomocą”.
Próbowałem sam rozwiązać problem, przeglądałem forum, ale wydaje mi się, że w tym przypadku każdy przykład jest indywidualny; nie daje sobie sam rady, dlatego proszę o Waszą pomoc
— Kolejny problem (?), podczas próby ściągnięcia OTL z tematu zamieszczonego na forum kompletnie NIC się nie dzieje… (musiałem zastosować technikę laptop -> komputer).
Postanowiłem od razu wkleić logi, ażeby maksymalnie “pomóc”
OTL.TXT : http://www.wklejto.pl/90454
EXTRAS.TXT : http://www.wklejto.pl/90455
HijackThis v2.0.2 : http://www.wklejto.pl/90456
Bardzo proszę o pomoc.
Leon1
(Leon$)
26 Luty 2011 08:55
#2
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL PRC - [2007-11-19 12:35:40 | 000,167,936 | ---- | M] () – C:\Documents and Settings\bzZ\Ustawienia lokalne\Temp\svchost.exe O2 - BHO: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-1715567821-1801674531-1177238915-1003…\Toolbar\WebBrowser: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [soundMax] C:\Documents and Settings\bzZ\userinit.exe () O4 - HKLM…\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found O4 - HKLM…\RunOnceEx: [Title] File not found O4 - HKU.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) O4 - HKU\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) O4 - HKU\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) O4 - HKU\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) O32 - AutoRun File - [2007-11-19 12:35:40 | 000,167,936 | RH-- | M] () - C:\autoply.exe – [NTFS] O32 - AutoRun File - [2011-02-25 19:42:55 | 000,000,301 | RH-- | M] () - C:\Autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-19 12:35:40 | 000,167,936 | RH-- | M] () - D:\autoply.exe – [NTFS] O32 - AutoRun File - [2011-02-25 19:42:58 | 000,000,301 | RH-- | M] () - D:\Autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-19 12:35:40 | 000,167,936 | RH-- | M] () - E:\autoply.exe – [NTFS] O32 - AutoRun File - [2011-02-25 19:43:03 | 000,000,301 | RH-- | M] () - E:\Autorun.inf – [NTFS] O33 - MountPoints2{20f3e1dd-3de0-11e0-9f50-001f1f558c87}\Shell\AutoPlay\Command - “” = G:\autoply.exe OPEN O33 - MountPoints2{20f3e1dd-3de0-11e0-9f50-001f1f558c87}\Shell\AutoRun\command - “” = G:\autoply.exe OPEN O33 - MountPoints2{20f3e1dd-3de0-11e0-9f50-001f1f558c87}\Shell\explore\Command - “” = G:\autoply.exe EXPLORE O33 - MountPoints2{20f3e1dd-3de0-11e0-9f50-001f1f558c87}\Shell\open\Command - “” = G:\autoply.exe OPEN O33 - MountPoints2{367e6012-34f4-11e0-9f3a-001f1f558c87}\Shell\AutoPlay\Command - “” = G:\autoply.exe OPEN O33 - MountPoints2{367e6012-34f4-11e0-9f3a-001f1f558c87}\Shell\AutoRun\command - “” = G:\autoply.exe OPEN O33 - MountPoints2{367e6012-34f4-11e0-9f3a-001f1f558c87}\Shell\explore\Command - “” = G:\autoply.exe EXPLORE O33 - MountPoints2{367e6012-34f4-11e0-9f3a-001f1f558c87}\Shell\open\Command - “” = G:\autoply.exe OPEN O33 - MountPoints2{f5115620-d64f-11df-9c64-806d6172696f}\Shell\AutoPlay\Command - “” = autoply.exe OPEN O33 - MountPoints2{f5115620-d64f-11df-9c64-806d6172696f}\Shell\AutoRun\command - “” = autoply.exe OPEN O33 - MountPoints2{f5115620-d64f-11df-9c64-806d6172696f}\Shell\explore\Command - “” = autoply.exe EXPLORE O33 - MountPoints2{f5115620-d64f-11df-9c64-806d6172696f}\Shell\open\Command - “” = autoply.exe OPEN O33 - MountPoints2{f5115621-d64f-11df-9c64-806d6172696f}\Shell\AutoPlay\Command - “” = autoply.exe OPEN O33 - MountPoints2{f5115621-d64f-11df-9c64-806d6172696f}\Shell\AutoRun\command - “” = autoply.exe OPEN O33 - MountPoints2{f5115621-d64f-11df-9c64-806d6172696f}\Shell\explore\Command - “” = autoply.exe EXPLORE O33 - MountPoints2{f5115621-d64f-11df-9c64-806d6172696f}\Shell\open\Command - “” = autoply.exe OPEN O33 - MountPoints2{f5115623-d64f-11df-9c64-806d6172696f}\Shell\AutoPlay\Command - “” = C:\autoply.exe – [2007-11-19 12:35:40 | 000,167,936 | RH-- | M] () O33 - MountPoints2{f5115623-d64f-11df-9c64-806d6172696f}\Shell\AutoRun\command - “” = C:\autoply.exe – [2007-11-19 12:35:40 | 000,167,936 | RH-- | M] () O33 - MountPoints2{f5115623-d64f-11df-9c64-806d6172696f}\Shell\explore\Command - “” = C:\autoply.exe – [2007-11-19 12:35:40 | 000,167,936 | RH-- | M] () O33 - MountPoints2{f5115623-d64f-11df-9c64-806d6172696f}\Shell\open\Command - “” = C:\autoply.exe – [2007-11-19 12:35:40 | 000,167,936 | RH-- | M] () MsConfig - StartUpReg: Fraps - hkey= - key= - File not found MsConfig - StartUpReg: Uninstall_CToolbar - hkey= - key= - C:\Documents and Settings\bzZ\Ustawienia lokalne\Temp\CUninst.exe (Crawler.com ) [2011-02-25 19:42:55 | 000,000,301 | RH-- | M] () – C:\Autorun.inf [2011-02-25 19:42:47 | 000,024,064 | ---- | M] (Gerhard Schlager) – C:\WINDOWS\System32\ctfmon.exe [2011-02-25 19:37:39 | 000,167,936 | ---- | C] () – C:\Documents and Settings\bzZ\userinit.exe [2011-02-10 10:00:55 | 000,167,936 | RH-- | C] () – C:\autoply.exe :Files autorun.inf /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Cornflake
(Aadamczyk48)
26 Luty 2011 22:04
#3
Powinno się podać raport z usuwania choćby dlatego żeby zobaczyć czy to co miało zostać usunięte rzeczywiście zostało W twoim przypadku tak nie jest ponieważ moim skromnym zdaniem mamy tutaj infekcje Sality i ją należy usuwać w pierwszej kolejności
[2011-02-26 22:58:51 | 000,017,878 | -H-- | M] () – C:\WINDOWS\System32\vcmgcd32.dl_ [2011-02-26 22:58:15 | 000,036,864 | ---- | M] () – C:\WINDOWS\System32\vcmgcd32.dll
Dlatego proszę pobrać i użyć Salitykiller http://support.kaspersky.com/pl/faq/?qid=208279886 Podaje także link zastępczy http://wrzucacz.pl/recived?upload_id=1191292924489
Następnie proszę użyć http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Zaznacz opcje Mój komputer Wykonaj pełny skan Wylecz wszystko co się da Czego nie można wyleczyć usuwasz Skanuj tyle razy aż skaner nic nie wykryje
Po tym podaj nowy log OTL