calm
(Lamek Tomasz)
25 Marzec 2012 08:07
#1
Witam. Przyjechałem do rodziców na weekend i zauważyłem że Windows jest w kiepskim stanie. Próba uruchomienia jakiejkolwiek aplikacji kończy się wyświetleniem okna “Otwórz za pomocą” a przeglądarka internetowa nie może połączyć się z internetem. Nie są to problemy z dostawcą ponieważ na linuxie bez problemu internet działa i mogę dzięki temu napisać ten post;) Poniżej umieszczam linki do logów z otl i hijackthis. Z góry dziękuję za pomoc w rozwiązaniu problemu
http://dl.dropbox.com/u/8309000/hijackthis.log
http://dl.dropbox.com/u/8309000/OTL.Txt
Na początek naprawimy rozszerzenie byś mógł używać programów. To tylko część rzeczy do usunięcia
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL FF - prefs.js…network.proxy.http: “127.0.0.1” FF - prefs.js…network.proxy.http_port: 56242 O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [crrss] C:\WINDOWS\system32\crrss.exe (Provtech Limited) O4 - HKLM…\Run: [MozillaAgent] C:\WINDOWS\Temp_ex-68.exe (e3Lbgt9) O4 - HKU\S-1-5-21-2000478354-484763869-682003330-1003…\Run: [api32] C:\Documents and Settings\rodlamek\Ustawienia lokalne\Temp\apiqq.exe () O4 - HKU\S-1-5-21-2000478354-484763869-682003330-1003…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O4 - HKU\S-1-5-21-2000478354-484763869-682003330-1003…\Run: [winlogon] C:\Documents and Settings\rodlamek\winlogon.exe (Provtech Limited) O4 - HKLM…\RunOnceEx: [Flag] Reg Error: Invalid data type. File not found O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe (Provtech Limited) O20 - HKU\S-1-5-21-2000478354-484763869-682003330-1003 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKU\S-1-5-21-2000478354-484763869-682003330-1003 Winlogon: Shell - (“C:\Documents and Settings\rodlamek\winlogon.exe”) - C:\Documents and Settings\rodlamek\winlogon.exe (Provtech Limited) O32 - AutoRun File - [2012-03-24 15:24:32 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O37 - HKU\S-1-5-21-2000478354-484763869-682003330-1003…exe [@ = 529C5] – “C:\Documents and Settings\All Users\Dane aplikacji\529C505A003270B75A7258EC8DB91C90\529C505A003270B75A7258EC8DB91C90.exe” -s “%1” %* :Files C:\Documents and Settings\All Users\Dane aplikacji\529C505A003270B75A7258EC8DB91C90 C:\WINDOWS\System32\mgking0.dll C:\WINDOWS\System32\arking0.dll :Commands [emptytemp] [resethosts]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie podłącz zainfekowane pendrives do tego komputera (bez obaw będziemy usuwać infekcje) Użyj USBFix z opcją Deletion instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … 74#entry74](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 74#entry74) pokaż raport na forum
UWAGA
Jeśli masz na dysku lub pendrive katalog muza lub muzyka zmień mu nazwę na inną przed użyciem USBFix
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.