system
(system)
4 Luty 2009 16:42
#1
Więc tak: Przy otwieraniu komputera, sam muszę otwierać explorer.exe itd. Potem uruchamia się jakiś iexplorer i bierze od 20 do 40 tysięcy pamięci. Z Operą gorzej. Bierze od 100 do 200 tysięcy pamięci. Normalnie wszystko brało do 250 tysięcy a teraz od 700 do 1000.
Oto logi: http://wklej.org/id/48635/
Z ComboFixa jeszcze dam.
jessica
(jessica)
4 Luty 2009 16:48
#2
Są co najmnie dwie infekcje.
1)Użyj (w Trybie Awaryjnym!)–>SDFix -na dole strony z linku
Pokaż Report.txt znajdujący się w folderze SDFix.
Daj log z ComboFix
Nowa instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix
jessi
system
(system)
4 Luty 2009 16:53
#3
Muszę zrobić pierwszy punkt?
djarta
(djarta)
4 Luty 2009 16:54
#4
Tak, musisz zrobić wszystkie.
=======
K.
system
(system)
4 Luty 2009 18:09
#5
A dlaczego w systemie awaryjnym? Takie se pytanie…
jessica
(jessica)
4 Luty 2009 22:38
#6
Bo w Trybie Normalnym SDFix niczego nie usuwa. Jest tak zaprogramowany, że może usuwać tylko i wyłącznie w Trybie Awaryjnym.
Zaleciłam SDFix, bo ComboFix nie zawsze sobie radzi z usuwaniem takich szkodliwych strumieni ADS, podpiętych pod prawidłowe obiekty.
jessi
system
(system)
5 Luty 2009 15:51
#7
Jak mam zdobyc logi od ComboFix? Bo zrobił, zrestartował a logów nigdzie nie ma.
– Dodane 05.02.2009 (Cz) 17:19 –
Proszę:
Logi od SDFix: http://wklej.org/id/49051/
A od ComboFix nie ma.
jessica
(jessica)
5 Luty 2009 17:08
#8
Niestety, ComboFix jest znany ze swoich “kaprysów”.
Ponieważ SDFix już te najgorsze usunął, więc daj log:
albo z >DDS .
albo z RSIT . (na samym dole strony).
jessi
system
(system)
5 Luty 2009 17:59
#9
I logi z Hijacka: http://wklej.org/id/49109/
Z RSIT: http://wklej.org/id/49111/
Ale nadal muszę otwierać explorer.exe przy włączaniu
jessica
(jessica)
5 Luty 2009 18:33
#10
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1aebeb2c-5ebd-4942-b8e4-2e62724f68e6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"CPMb7db8285"=-
"combofix"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awjllp]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaxvtr]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders"=-
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\Temp\qrf7.tmp"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0eec951e-719e-11db-b10b-001617aa56c4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f4b50e6-6b6f-11dc-b377-001617aa56c4}]
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK). Potem: Ściągnij -->Avenger . wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\system32\CF10109.exe
C:\WINDOWS\system32\CF9910.exe
C:\WINDOWS\system32\CF17673.exe
C:\otdfi.exe
C:\bkha.exe
d:\otdfi.exe
d:\bkha.exe
e:\otdfi.exe
e:\bkha.exe
f:\otdfi.exe
f:\bkha.exe
C:\WINDOWS\system32\hgGabCTL.dll
C:\asyoclq.exe
C:\elmumyh.exe
C:\stnx.exe
d:\asyoclq.exe
d:\elmumyh.exe
d:\stnx.exe
e:\asyoclq.exe
e:\elmumyh.exe
e:\stnx.exe
f:\asyoclq.exe
f:\elmumyh.exe
f:\stnx.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
Folders to delete:
C:\RECYCLER
d:\RECYCLER
e:\RECYCLER
f:\RECYCLER
C:\Program Files\AskBarDis
C:\Program Files\AskBarDis
Drivers to delete:
pmmd
afdf3075
scrcap
askservice
askupgrade
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Oraz log z RSIT.
I napisz, jakie masz partycje/dyski, podpięte peny, bo teraz dawałam usuwanie “na wyrost”.
jessi
system
(system)
6 Luty 2009 06:04
#11
A, i jeszcze przy otwieraniu mam takie błędy:
cli.exe: aplikacja nie została właściwie zainicjowana.
RUNDLL - wystąpił błąd podczas ładowania c:/windows/system32/serubifa.dll nie można odnaleźć określonego modułu.
Generic Host Process for Win32 Services - o zapobieganiu wykonywaniu danych
logi z:
Avenger: http://wklej.org/id/49295/
RSIT: http://wklej.org/id/49297/
jessica
(jessica)
6 Luty 2009 06:48
#12
Raport z Avengera nie jest cały.
Ale to i tak nie ma znaczenia, bo wygląda na to, że Twój komputer jest zabezpieczony przed usuwaniem szkodników.
Spróbujemy jeszcze raz - jak i tym razem się nie uda, to pozostanie tylko jedno wyjście: sformatowanie dysku.
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1aebeb2c-5ebd-4942-b8e4-2e62724f68e6}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"CPMb7db8285"=-
"combofix"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awjllp]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaxvtr]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders"=-
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\Temp\qrf7.tmp"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0eec951e-719e-11db-b10b-001617aa56c4}]
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK). >>Avenger>> wklej do niego ten tekst:
Files to delete:
C:\Program Files\AskBarDis\bar\bin\askBar.dll
C:\WINDOWS\system32\awjllp.dll
C:\WINDOWS\system32\hgGabCTL.dll
C:\asyoclq.exe
C:\elmumyh.exe
C:\stnx.exe
C:\WINDOWS\system32\bfcb7567-.txt
Folders to delete:
C:\Program Files\AskBarDis
C:\RECYCLER
Drivers to delete:
PCAMPR5
afdf3075
pmmd
scrcap
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Oraz nowy log z RSIT.
jessi
system
(system)
6 Luty 2009 14:54
#13
Nie wiem czy muszę to napisać, więc to robię.
2 tygodnie temu miałem problem z mcenspc.dll z windows/system32.
Poczytałem ten temat: viewtopic.php?f=16&t=306879&p=2033506
I nic nie dało, więc go dałem na pulpit i usunąłem i działa wszystko tak jak powinno do dzisiaj.
Avenger: http://wklej.org/id/49432/
RSIT: http://wklej.org/id/49431/
jessica
(jessica)
6 Luty 2009 17:53
#14
Coś to nie idzie, zwłaszcza z Rejestrem. Spróbujemy inaczej, trochę Avengerem, trochę ręcznie.
>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK> >rozwiń ten klucz klikając na (+): >HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer> >zaznacz: URLSearchHooks> >w okienku po prawej zaznacz: {EF99BD32-C1FB-11D2-892F-0090271D4F88}>>prawoklik>>usuń>OK> >zwiń ten klucz, klikając na (-). >rozwiń ten klucz klikając na (+): >HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2> >zaznacz: {0eec951e-719e-11db-b10b-001617aa56c4}>>prawoklik>>usuń>OK> >zwiń ten klucz, klikając na (-). >rozwiń ten klucz klikając na (+): >HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control> >zaznacz: SecurityProviders> >w okienku po prawej zaznacz: SecurityProviders>>prawoklik>>Modyfikuj> >w okienku które wyskoczy zaznacz: mcenspc.dll>>prawoklik>>usuń>OK> >zwiń ten klucz, klikając na (-).
Potem:
>Avenger>
wklej do niego ten tekst:
Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awjllp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaxvtr
Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {EF99BD32-C1FB-11D2-892F-0090271D4F88}
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | CPMb7db8285
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | combofix
Drivers to delete:
askupgrade
askservice
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Oraz log z RSIT.
jessi
system
(system)
7 Luty 2009 15:35
#15
W rejestrze nic takiego nie ma. Nie wiem czemu.
Nadal jest ten problem z CLI.exe
_ Logi: _
Avenger: http://wklej.org/id/49895/
RSIT: http://wklej.org/id/49896/
Dodam jeszcze z Hijacka: http://wklej.org/id/49900/
jessica
(jessica)
7 Luty 2009 16:56
#16
W międzyczasie powstał następny klucz infekcji “pendrivowej”:
Poza tym - czysto.
jessi
system
(system)
9 Luty 2009 14:48
#17
Dzięki Ci
Ale nadal problem z tym CLI.exe [list=]
;(