Komputer się zamula, internet się zamula, poniżej daje log (myślę, że głównym problemem jest startdrv.exe, ale jak to usunąć i czym… :? ).
Złączono Posta : 05.11.2007 (Pon) 21:36
Teraz uruchomił się jeszcze proces: mmdmm.exe ; /
Komputer się zamula, internet się zamula, poniżej daje log (myślę, że głównym problemem jest startdrv.exe, ale jak to usunąć i czym… :? ).
Złączono Posta : 05.11.2007 (Pon) 21:36
Teraz uruchomił się jeszcze proces: mmdmm.exe ; /
W celu usunięcia “mmdmm.exe” i “startdrv.exe”:
Użyj -->SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.
Pokaż Report.txt znajdujący się w folderze SDFix.
Natomiast “crehcjid.dll” może usunie -->ComboFix
Log z niego wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
jessi
mmdmm.exe, cmd.exe itd…uruchomiły się od nowa ;<, tutaj logi:
raport SDFix: http://wklej.org/id/08e1d4ff0c
log ComboFix: http://wklej.org/id/a4981a89ae
Wklej do Notatnika :
File::
C:\WINDOWS\svhosted.exe
C:\WINDOWS\SYSTEM32\helperysc.exe
C:\WINDOWS\SYSTEM32\yscnew.exe
C:\Documents and Settings\Kamil\Ustawienia lokalne\Temp\temp\algl.exe
C:\WINDOWS\SYSTEM32\G0ahic.exe
C:\WINDOWS\SYSTEM32\scrcons32.exe
C:\WINDOWS\SYSTEM32\fu1.exe
C:\qkqmj.exe
C:\bqxjwtra.exe
C:\WINDOWS\SYSTEM32\m2n1.exe
C:\WINDOWS\SYSTEM32\crehcjid.dll
C:\WINDOWS\SYSTEM32\sys34.exe
C:\WINDOWS\System32\wbem\scrcons32.exe
C:\WINDOWS\System32\kernelwind32.exe
C:\Program Files\VVSN\VVSN.exe
C:\WINDOWS\system32\234SDFs.exe
C:\WINDOWS\system\NOTEPAD.exe
Folder::
C:\FOUND.002
C:\FOUND.003
C:\FOUND.001
C:\FOUND.000
C:\FOUND.013
C:\FOUND.012
C:\Program Files\VVSN
Driver::
NOTEPAD
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crehcjid]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"WMI Standard Event Consumer - Scripting"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysCtrl]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\system]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VVSN]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj ten log.
Sprawdź je na – http://virusscan.jotti.org/
Opis, jak korzystać z JOTTI – http://otfans.pl/forums/showthread.php?tid=552
albo na http://www.virustotal.com/en/indexf.html.
(korzysta się podobnie jak z JOTTI).
jessi
Qoobox się nie chce usunąć, ale mniejsza o to, tutaj log z ComboFix:
http://wklej.org/id/acda0b1da4
Teraz przeskanuje komputer “Spybot-Search&Destroy” ^^, zobaczymy co z tego będzie…
Pierwszy raz słyszę, by Qoobox nie dał się usunąć.
Wklej do Notatnika :
File::
C:\WINDOWS\System32\mmdmm.exe
C:\WINDOWS\SYSTEM32\mspriv.dll
C:\WINDOWS\wuauapl.exe
C:\etwquq.exe
C:\WINDOWS\system32\dllcache\mravsc32.exe
C:\WINDOWS\noskrnl.exe
C:\WINDOWS\SYSTEM32\urqqn.exe
C:\WINDOWS\SYSTEM32\tmmlqut.exe
C:\WINDOWS\SYSTEM32\credwgql.exe
C:\WINDOWS\SYSTEM32\mafpadaa.exe
C:\etwquq.exe
C:\FOUND.004
C:\WINDOWS\mrofinu27.exe
C:\WINDOWS\mmmspool.exe
C:\WINDOWS\SYSTEM32\te.dat
C:\WINDOWS\mmbin.exe
C:\WINDOWS\mm_tmp_r.exe
C:\WINDOWS\mmbin3.exe
C:\WINDOWS\SYSTEM32\dbghel.dll
C:\WINDOWS\SYSTEM32\nvshel.dll
C:\WINDOWS\SYSTEM32\windsw.dll
C:\WINDOWS\wuauapl.exe
C:\WINDOWS\SYSTEM32\smuhdd.dll
C:\WINDOWS\SYSTEM32\dllcache\mravsc32.exe
C:\WINDOWS\SYSTEM32\kl.exe
Driver::
LocalAgent
"Local Service"
"Distributed Allocated Memory Unit"
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C8DE14D-EF92-492f-BBF7-B61F1405F328}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mmsass"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMI Standard Event Consumer - Scripting"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft all"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Local Security Authority Service"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMI Standard Event Consumer - Scripting"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft all"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft all"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"WMI Standard Event Consumer - Scripting"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"mmsass"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"WMI Standard Event Consumer - Scripting"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"WMI Standard Event Consumer - Scripting"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"WMI Standard Event Consumer - Scripting"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\partnershipreg]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VVSN]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9A52DE53-714A-430F-BFF8-541275DE275E}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9A920463-525E-4041-B4FC-3C35B2EA6344}]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj ten log.
Nie napisałeś o wynikach sprawdzania plików. –
Wg mnie: na 98% do usunięcia., ale lepiej sprawdzić.
jessi
Zarażony TYLKO ten drugi-mspriv.dll, oprócz tego to wyskakuje mi nadal w procesach mmdmm.exe, jeszcze tego skryptu powyżej nie wklejałem, ale biorąc pod uwagę to co napisałem to chyba powinien on wglądać nieco inaczej, a więc proszę o uaktualnioną wersję
Już dostosowałam usuwanie - patrz mój poprzedni post.
jessi
Uruchomiłem raz i było wszystko dobrze, zrestartowałem system i co widzę? http://wklej.org/id/523ff32a30 , oprócz tego to w procesach były przez chwilę ftp.exe, cmd.exe, tffp.exe, mravsc32.exe, notepad.exe (nie z notatnika), czy nie ma jakiegoś dobrego programu automatycznie wyszukującego i kasującego wszystko ;
Owszem, jest - SDFix. Już usuwałeś nim.
Problemem nie jest samo usuwanie, ale to, że natychmiast powracają te robaki.
Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.
Potem użyj znów SDFix.
jessi
RPC Locator i UPNP nie da się ustawić na zielono, tylko żółty bądź czerwony : / DOBRA, JUŻ SIĘ UDAŁO USTAWIĆ
Jlimakd teraz użyj sdfix i wklej raport
Na razie chyba wszystko w porządku, DZIĘKI ;* Tylko czy ustawienia w Windows Doors Worms Cleaner nie będą w żaden sposób przeszkadzały w korzystaniu z internetu?
nie nie będą. daj raport z sdfix i nowy log z combofix
Na razie jest wszystko w porządku więc dam sobie spokój z logami, za dużo roboty