Proszę o pomoc z wirusami - komputer wolno chodzi


(Kamilnow) #1

Komputer się zamula, internet się zamula, poniżej daje log (myślę, że głównym problemem jest startdrv.exe, ale jak to usunąć i czym... :? ).

Złączono Posta : 05.11.2007 (Pon) 21:36

Teraz uruchomił się jeszcze proces: mmdmm.exe ; /


(jessica) #2

W celu usunięcia "mmdmm.exe" i "startdrv.exe":

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Natomiast "crehcjid.dll" może usunie -->ComboFix

Log z niego wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(Kamilnow) #3

mmdmm.exe, cmd.exe itd...uruchomiły się od nowa ;<, tutaj logi:


(jessica) #4

Wklej do Notatnika :

File::

C:\WINDOWS\svhosted.exe

C:\WINDOWS\SYSTEM32\helperysc.exe

C:\WINDOWS\SYSTEM32\yscnew.exe

C:\Documents and Settings\Kamil\Ustawienia lokalne\Temp\temp\algl.exe

C:\WINDOWS\SYSTEM32\G0ahic.exe

C:\WINDOWS\SYSTEM32\scrcons32.exe

C:\WINDOWS\SYSTEM32\fu1.exe 

C:\qkqmj.exe 

C:\bqxjwtra.exe 

C:\WINDOWS\SYSTEM32\m2n1.exe

C:\WINDOWS\SYSTEM32\crehcjid.dll

C:\WINDOWS\SYSTEM32\sys34.exe

C:\WINDOWS\System32\wbem\scrcons32.exe

C:\WINDOWS\System32\kernelwind32.exe

C:\Program Files\VVSN\VVSN.exe

C:\WINDOWS\system32\234SDFs.exe

C:\WINDOWS\system\NOTEPAD.exe


Folder::

C:\FOUND.002 

C:\FOUND.003

C:\FOUND.001 

C:\FOUND.000 

C:\FOUND.013 

C:\FOUND.012

C:\Program Files\VVSN


Driver::

NOTEPAD


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crehcjid]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"WMI Standard Event Consumer - Scripting"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysCtrl]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\system]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VVSN]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log.

Sprawdź je na -- http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI -- http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html.

(korzysta się podobnie jak z JOTTI).

jessi


(Kamilnow) #5

Qoobox się nie chce usunąć, ale mniejsza o to, tutaj log z ComboFix:

http://wklej.org/id/acda0b1da4

Teraz przeskanuje komputer "Spybot-Search&Destroy" ^^, zobaczymy co z tego będzie...


(jessica) #6

Pierwszy raz słyszę, by Qoobox nie dał się usunąć. :slight_smile: :slight_smile:

Wklej do Notatnika :

File::

C:\WINDOWS\System32\mmdmm.exe

C:\WINDOWS\SYSTEM32\mspriv.dll

C:\WINDOWS\wuauapl.exe

C:\etwquq.exe

C:\WINDOWS\system32\dllcache\mravsc32.exe

C:\WINDOWS\noskrnl.exe

C:\WINDOWS\SYSTEM32\urqqn.exe 

C:\WINDOWS\SYSTEM32\tmmlqut.exe 

C:\WINDOWS\SYSTEM32\credwgql.exe 

C:\WINDOWS\SYSTEM32\mafpadaa.exe 

C:\etwquq.exe 

C:\FOUND.004 

C:\WINDOWS\mrofinu27.exe 

C:\WINDOWS\mmmspool.exe 

C:\WINDOWS\SYSTEM32\te.dat 

C:\WINDOWS\mmbin.exe 

C:\WINDOWS\mm_tmp_r.exe 

C:\WINDOWS\mmbin3.exe 

C:\WINDOWS\SYSTEM32\dbghel.dll 

C:\WINDOWS\SYSTEM32\nvshel.dll 

C:\WINDOWS\SYSTEM32\windsw.dll 

C:\WINDOWS\wuauapl.exe 

C:\WINDOWS\SYSTEM32\smuhdd.dll 

C:\WINDOWS\SYSTEM32\dllcache\mravsc32.exe 

C:\WINDOWS\SYSTEM32\kl.exe


Driver::

LocalAgent

"Local Service"

"Distributed Allocated Memory Unit"


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C8DE14D-EF92-492f-BBF7-B61F1405F328}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mmsass"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WMI Standard Event Consumer - Scripting"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft all"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Local Security Authority Service"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  

"WMI Standard Event Consumer - Scripting"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  

"Microsoft all"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  

"Microsoft all"=- 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices] 

"WMI Standard Event Consumer - Scripting"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] 

"mmsass"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] 

"WMI Standard Event Consumer - Scripting"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices] 

"WMI Standard Event Consumer - Scripting"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 

"WMI Standard Event Consumer - Scripting"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\partnershipreg]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VVSN]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9A52DE53-714A-430F-BFF8-541275DE275E}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9A920463-525E-4041-B4FC-3C35B2EA6344}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log.

Nie napisałeś o wynikach sprawdzania plików. --

Wg mnie: na 98% do usunięcia., ale lepiej sprawdzić.

jessi


(Kamilnow) #7

Zarażony TYLKO ten drugi-mspriv.dll, oprócz tego to wyskakuje mi nadal w procesach mmdmm.exe, jeszcze tego skryptu powyżej nie wklejałem, ale biorąc pod uwagę to co napisałem to chyba powinien on wglądać nieco inaczej, a więc proszę o uaktualnioną wersję :wink:


(jessica) #8

Już dostosowałam usuwanie - patrz mój poprzedni post.

jessi


(Kamilnow) #9

Uruchomiłem raz i było wszystko dobrze, zrestartowałem system i co widzę? :frowning: http://wklej.org/id/523ff32a30 , oprócz tego to w procesach były przez chwilę ftp.exe, cmd.exe, tffp.exe, mravsc32.exe, notepad.exe (nie z notatnika), czy nie ma jakiegoś dobrego programu automatycznie wyszukującego i kasującego wszystko ;


(jessica) #10

Owszem, jest - SDFix. Już usuwałeś nim.

Problemem nie jest samo usuwanie, ale to, że natychmiast powracają te robaki. :frowning: :frowning:

Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Potem użyj znów SDFix.

jessi


(Kamilnow) #11

RPC Locator i UPNP nie da się ustawić na zielono, tylko żółty bądź czerwony : / DOBRA, JUŻ SIĘ UDAŁO USTAWIĆ


(Arekmalek) #12

Jlimakd teraz użyj sdfix i wklej raport :wink:


(Kamilnow) #13

Na razie chyba wszystko w porządku, DZIĘKI ;* Tylko czy ustawienia w Windows Doors Worms Cleaner nie będą w żaden sposób przeszkadzały w korzystaniu z internetu?


(Arekmalek) #14

nie nie będą. daj raport z sdfix i nowy log z combofix


(Kamilnow) #15

Na razie jest wszystko w porządku więc dam sobie spokój z logami, za dużo roboty :stuck_out_tongue: