taifunn
14 Październik 2010 18:15
#1
Witam, otóż nie jestem pewny w swój komputer i zamieszczam tutaj log z programu hijackthis. Od kilku dni niespodziewanie mam okropnie duże pingi jak gram w cs. I nie jestem do końca pewny, czy mój komputer jest czysty. Dlatego proszę tutaj o pomoc od użytkowników znających się typu gutek itp.
Pozdrawiam i dziękuje za pomoc.
http://wklejto.pl/79311
deFco247
14 Październik 2010 18:33
#2
HijackThis jest nieużywany w diagnozie i usuwaniu infekcji od paru lat, więc logi z niego są absolutnie zbędne.
Na pewno tu jest infekcja keyloggerem, więc po jej usunięciu koniecznie będziesz musiał zmienić wszystkie hasła dostępowe.
[*:2um77xzx]Pobierz OTL z jednego z tych linków:Mirror 1
taifunn
15 Październik 2010 13:57
#3
OTL:
http://wklejto.pl/79366 nie wiem dlaczego, ale tylko 1 raport się zrobił.
GMER:
http://wklejto.pl/79367
deFco247
15 Październik 2010 17:14
#4
No niestety tutaj jest gorsza sytuacja - jest trojan infekujący plik ws2_32.dll, więc potrzebna będzie jego podmiana.
Pobierz SystemLook
Wklej w niego:
Klikasz Look i pokazujesz powstały raport.
taifunn
15 Październik 2010 19:18
#5
Oto skan:
http://wklejto.pl/79386
– Dodane 16.10.2010 (So) 11:10 –
I co dalej ?
Dziękuje i pozdr
deFco247
16 Październik 2010 10:00
#6
Nie wklejaj logów na wklejto.pl, gdyż na tej stronie ukośniki w tekście są podwajane, co może całkiem zepsuć działanie skryptu. Używaj http://wklej.org/
W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:
:OTL IE - HKLM…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= … =CT1060933 FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultthis.engineName: “Freecorder Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.order.1: “Crawler Search” [2009-11-21 16:45:38 | 000,002,255 | ---- | M] () – C:\Documents and Settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\cxpnsmvt.default\searchplugins\askcom.xml [2010-01-20 13:14:24 | 000,000,923 | ---- | M] () – C:\Documents and Settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\cxpnsmvt.default\searchplugins\conduit.xml [2009-11-22 21:45:57 | 000,001,250 | ---- | M] () – C:\Documents and Settings\a\Dane aplikacji\Mozilla\Firefox\Profiles\cxpnsmvt.default\searchplugins\winamp-search.xml O4 - HKLM…\Run: [smss.exe] C:\WINDOWS\smss.exe () O4 - Startup: C:\Documents and Settings\a\Menu Start\Programy\Autostart\wnr230.exe () :Files C:\WINDOWS\ERDNT\cache\ws2_32.dll|C:\WINDOWS\system32\ws2_32.dll /replace :Commands [emptytemp] [emptyflash]
Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu. Tym razem wszystkim wklej obydwa raporty OTL.txt + Extras.txt.
Poprzez Dodaj/usuń programy odinstaluj z systemu śmieci
taifunn
16 Październik 2010 11:17
#7
Oto raport z usuwania:
http://wklej.org/id/402138/
a tutaj OTL.txt:
http://wklej.org/id/402139/
extras.txt:
http://wklej.org/id/402140/
Co dalej ?
btw, co mam usunąć poprzez dodaj/usuń programy ? nie mam takich programów do usuwania, chyba że coś trzeba to ok.
– Dodane 16.10.2010 (So) 15:14 –
KOLEJNY PROBLEM !
Teraz co res kompa włącza mi się okienko “Trwa zamykanie systemu windows” bla bla bla NT/System i 60 sekund do wyłączenia.
Wpisałem komendę w Start > Uruchom - “shutdown -a” i na razie problem znikł.
wyżej wkleiłem te raporty defco, tak jak prosiłeś, od OTL itp.
deFco247
16 Październik 2010 13:48
#8
Pliki infekcji są dosyć oporne:
Bądź też winne są te podwójne ukośniki.
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt