system
(system)
19 Luty 2011 00:11
#1
Witam;
Od pewnego czasu mój komputer bardzo spowolnił swoją pracę - internet chodzi wolno (co jest bardzo niepokojące), procesor pracuje na 50% wydajności, nawet, jeśli żadne większe programy nie są włączone i jeśli chciałbym wejść na jakąkolwiek partycję, zajmuje mu to za dużo czasu. Więc na pewno, jest coś nie tak. Tylko co ? Mam nadzieję, że nie jest to nic bardzo poważnego i da się to naprawić.
Tak więc, zamieszam standardowe logi z OTL :
OTL.txt : http://wklej.to/LIHI0
Extras.txt : http://wklej.to/ES7Hn
gufi4
(gufi4)
19 Luty 2011 07:52
#2
jakiego masz antywirusa ? przeskanuj najlepiej cały dysk bo na bank masz wirusa i dobrze by było gdybyś zmienił system plików na dysku c i pozostałych na NTFS
Acorus
(Acorus)
19 Luty 2011 08:52
#3
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL DRV - [2009-04-22 17:21:52 | 000,026,112 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\remobo32.sys – (hipeer20) IE - HKU\S-1-5-19…\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found IE - HKU\S-1-5-20…\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1417001333-1604221776-1606980848-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.mywebsearch.com/index.jhtml … 9PiQ9YmF3w IE - HKU\S-1-5-21-1417001333-1604221776-1606980848-500…\URLSearchHook: {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_2.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultenginename: “Winamp Search” FF - prefs.js…browser.search.defaultthis.engineName: “BS Player Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.selectedEngine: “BS Player Customized Web Search” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&SearchSource=2&q= ” [2009-07-11 15:13:18 | 000,000,000 | —D | M] (BS Player Toolbar) – C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\37rpbhrt.default\extensions{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} [2009-03-28 18:35:36 | 000,001,196 | ---- | M] () – C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\37rpbhrt.default\searchplugins\winamp-search.xml [2009-05-12 15:09:16 | 000,002,399 | ---- | M] () – C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\37rpbhrt.default\searchplugins\daemon-search.xml [2009-07-01 14:22:12 | 000,000,880 | ---- | M] () – C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\37rpbhrt.default\searchplugins\conduit.xml O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (BS Player Toolbar) - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_2.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (BS Player Toolbar) - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_2.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500…\Toolbar\WebBrowser: (BS Player Toolbar) - {FED66DC5-1B74-4A04-8F5C-15C5ACE2B9A5} - C:\Program Files\BS_Player\tbBS_2.dll (Conduit Ltd.) O4 - HKLM…\Run: [Remobo] File not found O4 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500…\Run: [chpgusdi] C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\rkkvrkofj\negkqmesjmo.exe () O4 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500…\Run: [inetserv] C:\WINDOWS\system32\inetserv.exe () O4 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500…\Run: [mssend] C:\Documents and Settings\Administrator\Dane aplikacji\xgsha2alexr12mmc2yltt2orocnu1avo2\svcnost.exe (Opera Software) F3 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500 WinNT: Load - (C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\csrss.exe) - C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\csrss.exe () O20 - HKLM Winlogon: Shell - (“C:\Documents and Settings\Administrator\Dane aplikacji\2aphaosn2jylloowscgcqzcmwjkay312\csrss.exe”) - C:\Documents and Settings\Administrator\Dane aplikacji\2aphaosn2jylloowscgcqzcmwjkay312\csrss.exe (Opera Software) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\inetserv.exe) - C:\WINDOWS\system32\inetserv.exe () O20 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500 Winlogon: Shell - (C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe) - C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe () [2011-02-18 16:05:38 | 000,000,000 | —D | C] – C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\ConduitEngine [2011-02-18 16:05:37 | 000,000,000 | —D | C] – C:\Program Files\ConduitEngine [2011-02-18 11:47:04 | 000,000,000 | —D | C] – C:\Documents and Settings\Administrator\Dane aplikacji\xgsha2alexr12mmc2yltt2orocnu1avo2 [2011-02-18 11:46:59 | 000,000,000 | —D | C] – C:\Documents and Settings\Administrator\Dane aplikacji\2aphaosn2jylloowscgcqzcmwjkay312 [2011-02-15 09:39:18 | 000,000,000 | —D | C] – C:\Documents and Settings\Administrator\Dane aplikacji\xgvyamvlmx2xs2pw1nrakbkrfwnwkm2h2 [2011-02-14 23:52:52 | 000,000,000 | —D | C] – C:\Documents and Settings\Administrator\Dane aplikacji\xqmnxnwvsivxxuoozhzpugilyredlzwn2 [2011-02-14 23:51:50 | 000,000,000 | —D | C] – C:\Documents and Settings\Administrator\Dane aplikacji\jguwrgqdgnfbsktddahmslgdbpvdcds2 [2011-02-15 10:40:52 | 000,204,800 | ---- | M] () – C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe [2011-02-13 22:04:38 | 000,080,406 | ---- | M] () – C:\WINDOWS\System32\inetserv.exe :Commands [emptytemp]
Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
OdinstalujBS_Player Toolbar,DAEMON Tools Toolbar.
system
(system)
19 Luty 2011 10:33
#4
Więc sprawa wygląda tak - jeśli wkleję cały skrypt, to komputer nagle się resetuje, a po włączeniu się żaden raport się nie pokazuje, ale Windows wywala komunikaty, że podniósł się po poważnym błędzie i tworzy jakieś pliki. Jeśli wkleję skrypt, bez “:Commands [emptytemp]”, to pokazuje mi się takie coś :
http://wklej.to/eDqVe
Nie wygląda to dobrze.
Pobierz Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Wykonaj pełny skan Usuń co znajdzie program podaj log na forum
Po tym podaj nowy log OTL na forum
system
(system)
19 Luty 2011 12:27
#6
Wykonałem pełne skanowanie Malwarebytes - znalazło mi 6 zainfekowanych plików, usunąłem je, zamieszczam log, który powstał :
http://wklej.to/Bc9JC
http://wklej.to/QntNe
Na początek spróbujemy tak Kopiowanie skryptu do OTL zaczynasz od :OTL
Usuń OTL z dysku Pobierz go na nowo
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - [2011-02-19 12:45:26 | 000,184,320 | ---- | M] () – C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe PRC - [2011-02-19 12:39:52 | 000,214,016 | ---- | M] () – C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\csrss.exe PRC - [2011-02-18 11:46:58 | 000,087,552 | ---- | M] (Opera Software) – C:\Documents and Settings\Administrator\Dane aplikacji\xgsha2alexr12mmc2yltt2orocnu1avo2\svcnost.exe PRC - [2011-02-15 10:40:52 | 000,204,800 | ---- | M] () – C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe PRC - [2011-02-13 22:04:38 | 000,080,406 | ---- | M] () – C:\WINDOWS\system32\inetserv.exe O4 - HKLM…\Run: [conhost] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe () O4 - HKLM…\Run: [Remobo] File not found O4 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500…\Run: [chpgusdi] C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\rkkvrkofj\negkqmesjmo.exe () O4 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500…\Run: [inetserv] C:\WINDOWS\system32\inetserv.exe () O4 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500…\Run: [mssend] C:\Documents and Settings\Administrator\Dane aplikacji\xgsha2alexr12mmc2yltt2orocnu1avo2\svcnost.exe (Opera Software) F3 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500 WinNT: Load - (C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\csrss.exe) - C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\csrss.exe () O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\inetserv.exe) - C:\WINDOWS\system32\inetserv.exe () O20 - HKU\S-1-5-21-1417001333-1604221776-1606980848-500 Winlogon: Shell - (C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe) - C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe () :Files C:\FOUND.000 C:\Documents and Settings\Administrator\Dane aplikacji\xgsha2alexr12mmc2yltt2orocnu1avo2 C:\Documents and Settings\Administrator\Dane aplikacji\2aphaosn2jylloowscgcqzcmwjkay312 C:\Documents and Settings\Administrator\Dane aplikacji\xgvyamvlmx2xs2pw1nrakbkrfwnwkm2h2 C:\Documents and Settings\Administrator\Dane aplikacji\xqmnxnwvsivxxuoozhzpugilyredlzwn2 C:\Documents and Settings\Administrator\Dane aplikacji\jguwrgqdgnfbsktddahmslgdbpvdcds2 C:\Documents and Settings\Administrator\Ustawienia lokalne\temp :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\0.9984382454175702.exe” =- “C:\Documents and Settings\Administrator\Dane aplikacji\xqmnxnwvsivxxuoozhzpugilyredlzwn2\svcnost.exe” =- “C:\Documents and Settings\Administrator\Dane aplikacji\jguwrgqdgnfbsktddahmslgdbpvdcds2\csrss.exe” =- “C:\Documents and Settings\Administrator\Dane aplikacji\xgvyamvlmx2xs2pw1nrakbkrfwnwkm2h2\svcnost.exe” =- “C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\0.7793284721798347.exe” =- “C:\Documents and Settings\Administrator\Dane aplikacji\xgsha2alexr12mmc2yltt2orocnu1avo2\svcnost.exe” =- :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
system
(system)
19 Luty 2011 13:54
#8
No więc, znów jest to samo - wklejam cały skrypt, 2-3 s. i restart samoczynnie następuje. Znów komunikaty o poważnym błędzie i tworzenie “thumbs.db”. Ściągnąłem od nowa OTL - jak widać, nie pomogło.
Acorus
(Acorus)
19 Luty 2011 13:58
#9
Spróbuj to zrobić w trybie awaryjnym.Przeskanuj progr.Dr.WEB CureIt.
system
(system)
19 Luty 2011 17:08
#10
W trybie awaryjnym również się nie da tego wykonać - restart, i już myślałem, że już się nie podniesie z tego, bo kilka razy się włączał ponownie, wreszcie jakoś załapał.
Czyli skan Dr. WEB ?
Spróbuj jeszcze tak Skrypt nie jest kompletny ale resztę może uda się usunąć OTLem
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html
Po tym podaj nowy log OTL
system
(system)
19 Luty 2011 20:10
#12
Ściągnąłem Avenger, wkleiłem skrypt, komputer się zrestartował (kilka razy, musiałem go uruchomić w trybie awaryjnym), chciałem usunąć foldery, ale tak mój folder z avenger wygląda :
http://img87.imageshack.us/i/avenger.jpg/
Więc mam kolejny problem. Plus jeszcze jak wpisuję w google jakieś hasło, chcę wejść na stronę, to wyskakują mi reklamy jakieś.