Problem z systemem

system · 4 Luty 2009 16:42

Więc tak: Przy otwieraniu komputera, sam muszę otwierać explorer.exe itd. Potem uruchamia się jakiś iexplorer i bierze od 20 do 40 tysięcy pamięci. Z Operą gorzej. Bierze od 100 do 200 tysięcy pamięci. Normalnie wszystko brało do 250 tysięcy a teraz od 700 do 1000.

Oto logi: http://wklej.org/id/48635/

Z ComboFixa jeszcze dam.

jessica · 4 Luty 2009 16:48

Są co najmnie dwie infekcje.

1)Użyj (w Trybie Awaryjnym!)–>SDFix -na dole strony z linku

Pokaż Report.txt znajdujący się w folderze SDFix.

Daj log z ComboFix

Nowa instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix

jessi

system · 4 Luty 2009 16:53

Muszę zrobić pierwszy punkt?

djarta · 4 Luty 2009 16:54

Tak, musisz zrobić wszystkie.

=======

K.

system · 4 Luty 2009 18:09

A dlaczego w systemie awaryjnym? Takie se pytanie…

jessica · 4 Luty 2009 22:38

Bo w Trybie Normalnym SDFix niczego nie usuwa. Jest tak zaprogramowany, że może usuwać tylko i wyłącznie w Trybie Awaryjnym.

Zaleciłam SDFix, bo ComboFix nie zawsze sobie radzi z usuwaniem takich szkodliwych strumieni ADS, podpiętych pod prawidłowe obiekty.

jessi

system · 5 Luty 2009 15:51

Jak mam zdobyc logi od ComboFix? Bo zrobił, zrestartował a logów nigdzie nie ma.

– Dodane 05.02.2009 (Cz) 17:19 –

Proszę:

Logi od SDFix: http://wklej.org/id/49051/

A od ComboFix nie ma.

jessica · 5 Luty 2009 17:08

Niestety, ComboFix jest znany ze swoich “kaprysów”.

Ponieważ SDFix już te najgorsze usunął, więc daj log:

albo z >DDS.

albo z RSIT. (na samym dole strony).

jessi

system · 5 Luty 2009 17:59

I logi z Hijacka: http://wklej.org/id/49109/

Z RSIT: http://wklej.org/id/49111/

Ale nadal muszę otwierać explorer.exe przy włączaniu

jessica · 5 Luty 2009 18:33

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1aebeb2c-5ebd-4942-b8e4-2e62724f68e6}]


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"CPMb7db8285"=-

"combofix"=-


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awjllp]


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaxvtr]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]

"SecurityProviders"=-

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\WINDOWS\Temp\qrf7.tmp"=-


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0eec951e-719e-11db-b10b-001617aa56c4}]


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f4b50e6-6b6f-11dc-b377-001617aa56c4}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK). Potem: Ściągnij -->Avenger. wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\CF10109.exe

C:\WINDOWS\system32\CF9910.exe

C:\WINDOWS\system32\CF17673.exe

C:\otdfi.exe

C:\bkha.exe

d:\otdfi.exe

d:\bkha.exe

e:\otdfi.exe

e:\bkha.exe

f:\otdfi.exe

f:\bkha.exe

C:\WINDOWS\system32\hgGabCTL.dll

C:\asyoclq.exe

C:\elmumyh.exe

C:\stnx.exe

d:\asyoclq.exe

d:\elmumyh.exe

d:\stnx.exe

e:\asyoclq.exe

e:\elmumyh.exe

e:\stnx.exe

f:\asyoclq.exe

f:\elmumyh.exe

f:\stnx.exe

C:\Program Files\AskBarDis\bar\bin\AskService.exe

C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe


Folders to delete:

C:\RECYCLER

d:\RECYCLER

e:\RECYCLER

f:\RECYCLER

C:\Program Files\AskBarDis

C:\Program Files\AskBarDis


Drivers to delete:

pmmd

afdf3075

scrcap

askservice

askupgrade

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Oraz log z RSIT.

I napisz, jakie masz partycje/dyski, podpięte peny, bo teraz dawałam usuwanie “na wyrost”.

jessi

system · 6 Luty 2009 06:04

A, i jeszcze przy otwieraniu mam takie błędy:

cli.exe: aplikacja nie została właściwie zainicjowana.

RUNDLL - wystąpił błąd podczas ładowania c:/windows/system32/serubifa.dll nie można odnaleźć określonego modułu.

Generic Host Process for Win32 Services - o zapobieganiu wykonywaniu danych

logi z:

Avenger: http://wklej.org/id/49295/

RSIT: http://wklej.org/id/49297/

jessica · 6 Luty 2009 06:48

Raport z Avengera nie jest cały.

Ale to i tak nie ma znaczenia, bo wygląda na to, że Twój komputer jest zabezpieczony przed usuwaniem szkodników.

Spróbujemy jeszcze raz - jak i tym razem się nie uda, to pozostanie tylko jedno wyjście: sformatowanie dysku.

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1aebeb2c-5ebd-4942-b8e4-2e62724f68e6}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"CPMb7db8285"=-

"combofix"=-


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awjllp]


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaxvtr]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]

"SecurityProviders"=-

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\WINDOWS\Temp\qrf7.tmp"=-


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0eec951e-719e-11db-b10b-001617aa56c4}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK). >>Avenger>> wklej do niego ten tekst:

Files to delete:

C:\Program Files\AskBarDis\bar\bin\askBar.dll

C:\WINDOWS\system32\awjllp.dll

C:\WINDOWS\system32\hgGabCTL.dll

C:\asyoclq.exe

C:\elmumyh.exe

C:\stnx.exe

C:\WINDOWS\system32\bfcb7567-.txt


Folders to delete:

C:\Program Files\AskBarDis

C:\RECYCLER


Drivers to delete:

PCAMPR5

afdf3075

pmmd

scrcap

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Oraz nowy log z RSIT.

jessi

system · 6 Luty 2009 14:54

Nie wiem czy muszę to napisać, więc to robię.

2 tygodnie temu miałem problem z mcenspc.dll z windows/system32.

Poczytałem ten temat: viewtopic.php?f=16&t=306879&p=2033506

I nic nie dało, więc go dałem na pulpit i usunąłem i działa wszystko tak jak powinno do dzisiaj.

Avenger: http://wklej.org/id/49432/

RSIT: http://wklej.org/id/49431/

jessica · 6 Luty 2009 17:53

Coś to nie idzie, zwłaszcza z Rejestrem. Spróbujemy inaczej, trochę Avengerem, trochę ręcznie.

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK> >rozwiń ten klucz klikając na (+): >HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer> >zaznacz: URLSearchHooks> >w okienku po prawej zaznacz: {EF99BD32-C1FB-11D2-892F-0090271D4F88}>>prawoklik>>usuń>OK> >zwiń ten klucz, klikając na (-). >rozwiń ten klucz klikając na (+): >HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2> >zaznacz: {0eec951e-719e-11db-b10b-001617aa56c4}>>prawoklik>>usuń>OK> >zwiń ten klucz, klikając na (-). >rozwiń ten klucz klikając na (+): >HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control> >zaznacz: SecurityProviders> >w okienku po prawej zaznacz: SecurityProviders>>prawoklik>>Modyfikuj> >w okienku które wyskoczy zaznacz: mcenspc.dll>>prawoklik>>usuń>OK> >zwiń ten klucz, klikając na (-).

Potem:

>Avenger>

wklej do niego ten tekst:

Registry keys to delete:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awjllp

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaxvtr


Registry values to delete: 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {EF99BD32-C1FB-11D2-892F-0090271D4F88}

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {3041d03e-fd4b-44e0-b742-2d9b88305f98}

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | CPMb7db8285

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | combofix


Drivers to delete:

askupgrade

askservice

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Oraz log z RSIT.

jessi

system · 7 Luty 2009 15:35

W rejestrze nic takiego nie ma. Nie wiem czemu.

Nadal jest ten problem z CLI.exe

_ Logi: _

Avenger: http://wklej.org/id/49895/

RSIT: http://wklej.org/id/49896/

Dodam jeszcze z Hijacka: http://wklej.org/id/49900/

jessica · 7 Luty 2009 16:56

W międzyczasie powstał następny klucz infekcji “pendrivowej”:

Poza tym - czysto.

jessi

system · 9 Luty 2009 14:48

Dzięki Ci

Ale nadal problem z tym CLI.exe [list=]

;(