max541
(Mich050494)
17 Czerwiec 2010 20:03
#1
Witam,
Otóż od pewnego czasu mam dość duże problemy z komputerem. Jego praca jest cały czas spowolniona. Po uruchomieniu w normalnym trybie - nic nie da się zrobić. Po uruchomieniu w trybie awaryjnym jest trochę lepiej (“ale niewiele lepiej” )
W trybie awaryjnym udało mi się uruchomić OTL-a i RSIT’a. Na dole znajdują się logi, bardzo proszę o ich sprawdzenie.
Pozdrawiam,
max541
LOGI:
OTL: Extras.Txt ; OTL.Txt
RSIT: info.txt ; log.txt
masz zainfekowany komp prawdopodobnie Win32.ExpDwnldr,wyczyść task w windowsie ze wszystkiego,zainstaluj a squared free i uruchom gruntowny skan,możesz to robić w trybie awaryjnym z obsługą sieci
– Dodane 17.06.2010 (Cz) 22:41 –
http://www.exterminate-it.com/malpedia/ … .ExpDwnldr - jak nie rozumiesz angielskiego wklej tamtą stronkę na tłumacza google
– Dodane 17.06.2010 (Cz) 22:46 –
zainstaluj odkurzacz i jego dodatkowe moduły przeprowadź nim czyszczenie rejestru ,w sumie około 0 skanów musisz nim wykonać - lepszy od cc cleaner - http://www.dobreprogramy.pl/Odkurzacz,P … 12322.html
– Dodane 17.06.2010 (Cz) 22:55 –
wyzbądź się Jdownloder
max541
(Mich050494)
17 Czerwiec 2010 20:58
#3
Witaj mylastdream ,
Widzę, że nieźle jest ten komp “zasyfiony”, chociaż dobrze, że to nie mój. Dzięki za pomoc, ale odpowiedzieć czy coś się udało to będę mógł dopiero jutro, kiedy będę miał dostęp do tego kompa.
Czyli w skrócie (to co mam zrobić):
Pełny skan “a squared free” i usunięcie tego co znajdzie.
Odpalenie tego programu: ze strony, którą mi podałeś
Zainstalować CCleaner albo odkurzacz i przeprowadzić czyszczenie rejestru.
Pozdrawiam,
max541
radzę odkurzacz ale i tak tam jeszcze pewnie masę zostanie do zrobienia,podaj potem logi jak wszystko porobisz
deFco247
(deFco247)
17 Czerwiec 2010 21:15
#5
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL SRV - [2010-04-24 20:32:53 | 000,211,968 | ---- | M] () [Auto | Stopped] – C:\WINDOWS\system32\sshnas21.dll – (SSHNAS) DRV - [2010-05-19 18:38:45 | 000,040,128 | ---- | M] () [Kernel | Boot | Running] – C:\WINDOWS\System32\Drivers\zmrkvweo.sys – (zmrkvweo) O3 - HKLM…\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No CLSID value found. O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe File not found O9 - Extra ‘Tools’ menuitem : My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - Reg Error: Key error. File not found SafeBootMin: zmrkvweo.sys - C:\WINDOWS\System32\Drivers\zmrkvweo.sys () SafeBootNet: zmrkvweo.sys - C:\WINDOWS\System32\Drivers\zmrkvweo.sys () [2010-06-17 17:11:41 | 000,000,288 | -H-- | M] () – C:\WINDOWS\tasks{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job [2010-06-17 17:11:32 | 000,000,288 | -H-- | M] () – C:\WINDOWS\tasks{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010-06-17 17:10:59 | 000,000,244 | -H-- | M] () – C:\WINDOWS\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010-06-17 16:01:08 | 000,000,232 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2010-06-13 19:19:48 | 000,180,224 | ---- | M] () – C:\WINDOWS\Ywolop.exe [2010-05-20 21:10:18 | 000,187,392 | ---- | M] () – C:\WINDOWS\Ywoloo.exe [2010-05-20 17:30:43 | 000,187,392 | ---- | M] () – C:\WINDOWS\Ywolon.exe [2010-05-19 18:38:45 | 000,040,128 | ---- | M] () – C:\WINDOWS\System32\drivers\zmrkvweo.sys [2010-05-19 18:37:08 | 000,182,784 | ---- | M] () – C:\WINDOWS\Ywolom.exe :Reg [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Taskman”=- :Commands [emptytemp]
Run Fix i zatwierdź restart.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
max541
(Mich050494)
21 Czerwiec 2010 10:55
#6
Zrobione.
Log z usuwania: ZOBACZ
Nowy log po skanowaniu: ZOBACZ
Przepraszam, że tak długo to trwało.
Teraz już działa lepiej ten komputer. Ale jest problem z instalacją jakiego PhotoGallery, a potem jest błąd z Microsoft .NET Framework, a mianowicie taki: ZOBACZ
Pozdrawiam,
max541
deFco247
(deFco247)
21 Czerwiec 2010 11:37
#7
Infekcja jest dalej, ale inna.
Kolejny skrypt do wklejenia w OTL:
:Processes killallprocesses :OTL IE - HKU\S-1-5-21-2025429265-854245398-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15161&l=dis IE - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) IE - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…browser.startup.homepage: “http://www.ask.com?o=15161&l=dis ” FF - prefs.js…extensions.enabledItems: searchsettings@spigot.com:1.2.3 FF - prefs.js…extensions.enabledItems: {AA994882-F391-4d2e-806F-8908DA4814ED}:2.1 [2010-05-11 18:20:49 | 000,000,000 | —D | M] (kikin plugin (JDownloader Edition)) – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\j83vmy2i.default\extensions{AA994882-F391-4d2e-806F-8908DA4814ED}[2010-04-11 20:15:30 | 000,002,426 | ---- | M] () – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\j83vmy2i.default\searchplugins\askcom.xml O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O3 - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\Run: [M5T8QL3YW3] C:\DOCUME~1\user\USTAWI~1\Temp\Yf7.exe File not found O4 - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\Run: [MSConfig] C:\Documents and Settings\user\kjedg.exe () O4 - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\Run: [qkviis] C:\Documents and Settings\user\qkviis.exe () O4 - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\Run: [V71IQL7HI7] C:\WINDOWS\Ywolop.exe () O4 - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\Run: [Windows HDMI Driver] C:\Documents and Settings\user\Dane aplikacji\HDMIDrv.exe (X666619iP135111oxd9388761149Ej504265) O4 - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\Run: [Xbosodaqo] C:\WINDOWS\at8tap.DLL (http://www.madshi.net ) O4 - HKU\S-1-5-21-2025429265-854245398-1801674531-1003…\Run: [YVIBBBHA8C] C:\DOCUME~1\user\USTAWI~1\Temp\Yf4.exe File not found [2010-06-21 11:34:08 | 000,000,244 | -H-- | M] () – C:\WINDOWS\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job @Alternate Data Stream - 718647 bytes -> C:\WINDOWS\Temp:temp :Commands [emptytemp] [emptyflash]
Run Fix i zatwierdź restart.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
max541
(Mich050494)
9 Lipiec 2010 14:39
#8
Przepraszam, że tak długo to trwało, ale logi już są poniżej.
Logi: 07092010_161212 - log po usuwaniu
Normalnego loga nie mogę zrobić bo wyskakuje błąd: “List index out of bounds (0)”.
Pozdrawiam,
max541
EDIT:
Zrobiłem szybki skan: http://wklej.org/id/362423/
deFco247
(deFco247)
9 Lipiec 2010 16:58
#9
Infekcja nie daje za wygraną, wręcz przeciwnie - bardziej się rozprzestrzenia.
Zastosuj Combofix .
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Pokaż log.
max541
(Mich050494)
9 Lipiec 2010 17:31
#10
deFco247
(deFco247)
9 Lipiec 2010 17:49
#11
Sporo tu tego jest i do tego rozsiane po całym systemie.
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
max541
(Mich050494)
9 Lipiec 2010 18:09
#12
deFco247
(deFco247)
9 Lipiec 2010 18:30
#13
Pobierz czystą kopię pliku ndis.sys w wersji dla XP SP2: http://www.speedyshare.com/files/23316425/ndis.zip
Plik rozpakuj bezpośrednio na dysk C:\
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
max541
(Mich050494)
9 Lipiec 2010 18:36
#14
Coś nie chce się pobrać. Znaczy, przy rozpakowywaniu jest odmowa dostępu.
deFco247
(deFco247)
9 Lipiec 2010 18:40
#15
Polecam najprostszy dokładny format i instalacja na nowo systemu zawsze pomaga.
max541
(Mich050494)
9 Lipiec 2010 18:58
#17
Też się nie da. Wyślij mi ten plik nie zapakowany, proszę.
– Dodane 20.07.2010 (Wt) 16:20 –
Znowu mam problem z tym komputerem. Bardzo proszę o sprawdzenie logów itd.
Log z Combofixa: http://wklej.org/id/366792/
Pozdrawiam,
max541