Stary komp + adware-gen - komp się pętli

Dla specjalistów Bezpieczeństwo
#1

teoretycznie avast usunął mi robaka, ale…komputer sie pętli - cały czas wyskakuje okienko : niebezpieczne usuwanie urządzenia. poczym instaluje nowego CD (??)

więc pewnie coś siedzi na dysku i sie pętli

To mój pierwszy komp. stoi na nim jeszcze win 2000 i nie wiem czy coś więcej na nim ruszy (procesor pentium 450 :slight_smile: proszę to wziąść pod uwagę przy ewnetualnych radach.

w kompach nie jestem bynajmniej biegła :smiley:

nie wiem czy dam rade nawet teraz odpalić kompa bo jakby za każdym razem jest coraz gorzej - więcej sie pętli.

Ciągle wyskakują nowe okienka. Avast usunął robaka przed wejsciem w windowsa. Ale może coś tam jeszcze siedzi?

nie wiem.

ps po restarcie komp juz biedny nie wie co ma robic :

wyskakuje okienko :

Niebezpieczne usuwanie sprzętu

w ktorym pisze , ze urzadzenie zostalo odłączone lub osunięte bez poprzedniego zatrzymania go, co może prowadzic do awarii systemu.

To urządzenie do stacja dyskow cd-rom

rzecz w tym że ja mam na cd i nie jest to zaden z nich.

dwa, to że potem znajduje mi tego CD!! i instaluje do niego sterowniki!! i chce przestartowac system…

eccchh no i te okienka się ciągle pojawiają, ich ilość ciągle rośnie.

http://wklej.org/hash/141293d8de0/

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:36:06, on 2011-12-27

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

E:\internet\Avast\aswUpdSv.exe

E:\internet\Avast\ashServ.exe

C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

E:\internet\Avast\ashMaiSv.exe

E:\internet\Avast\ashWebSv.exe

C:\WINNT\Explorer.EXE

E:\internet\Avast\ashDisp.exe

C:\WINNT\system32\internat.exe

E:\internet\FireFox\firefox.exe

C:\WINNT\system32\taskmgr.exe

E:\internet\Avast\setup\avast.setup

C:\WINNT\system32\rundll32.exe

E:\tools\totalcmd\TOTALCMD.EXE

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

G:\Ula\HijackThis.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pajacyk.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\tools\Pdf\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\tools\FLASHGET\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\tools\FLASHGET\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [avast!] E:\internet\Avast\ashDisp.exe

O4 - HKLM…\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM…\RunServices: [Office XP hack] c:\office_patch.exe hack

O4 - HKCU…\Run: [internat.exe] internat.exe

O4 - HKUS.DEFAULT…\Run: [internat.exe] internat.exe (User ‘Default user’)

O4 - HKUS.DEFAULT…\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User ‘Default user’)

O4 - Global Startup: Microsoft Office.lnk = E:\tekst\ofice\Office10\OSA.EXE

O8 - Extra context menu item: Download All by FlashGet - E:\tools\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - E:\tools\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\text\office\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\tools\FLASHGET\flashget.exe

O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\tools\FLASHGET\flashget.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\internet\Avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - E:\internet\Avast\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - E:\internet\Avast\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - E:\internet\Avast\ashWebSv.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

End of file - 4092 bytes

#2

HJT to przeżytek.

Pobierz OTL stąd : http://forum.dobreprogramy.pl/otl-gmer-rsit-dss-inne-instrukcje-t370405.html zastosuj się do instrukcji - OTL , logi(OTL.txt,Extras.txt) wrzucasz na http://www.wklej.org potem na forum.

Czekasz na opinię fachowców. :slight_smile:

#3

Wykonaj skanowanie - http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Przygotuj raporty OTL - otl-gmer-rsit-dss-inne-instrukcje-t370405.html

#4

Siem robi i siem sprawdza, jak zrobi logi to wkleję.

Ciekawe, że okienka w czasie sprawdzania przestały wyskakiwać…

dzięki za podpowiedź

Dodane 27.12.2011 (Wt) 13:44

otl.txt

http://wklej.org/hash/fde5c4ffeb2/

extras.txt

http://wklej.org/hash/3391f4d3808/

no i cierpliwie czekam na fachowców.

#5

Odinstaluj Ad-Aware SE Personal.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW

#6

Otwórz OTL, wklej:

Wykonaj skrypt. Raport. Polecenie sprzątanie. Nowe OTL

#7

skrypty troszkę się różnią.

Który mam wykonać? - obydwa? - nie znam OTL, więc stąd moje może trochę denerwujące pytanie.

#8

Ten który ma wiecej do usuwania.

#9

Moim zdaniem lepiej użyć skryptu Acorusa.

Ale to Twój wybór.

#10

no tak zrobiłam, chociaż to była kwestia przypadku - policzyłam ile jest tych kluczy do wywalenia i wyszło ze Acorus ma ich więcej.

Zastanawiałam się przez chwile czy ich nie połączyć ale wydało mi się to zbyt ryzykowne.

za słabo się na tym znam.

ten program antywirusowy znalazł 6 zarażonych rzeczy, jeden folder, jeden plik i klucze rejestru.

aktualnie się OTL robi.

proszę uprzedzać, że program będzie chciał restartu, oraz że na początek ZAMYKA wszystko - prawie zawał serca przeżyłam jak mi się pulpit wyniebiescił

no to logi

OTL.Txt

http://wklej.org/hash/eb589bab557/

Extras.Txt

http://wklej.org/hash/e34c278f1c7/

jest troszkę lepiej - po starcie włączają się tylko np 3 okna komunikatem o złym wyłączeniu CD.

no i dają się wyłączyć i się nie mnożą.

aha

czy za każdym razem muszę wkleić :

netsvcs

msconfig

safebootminimal

safebootnetwork

%systemdrive%*.*

/md5start

agp440.sys

atapi.sys

beep.sys

cdrom.sys

ndis.sys

winlogon.exe

userinit.exe

/md5stop

w pole wlasne opcje skanowania/skrypt ? jeśli tak, to muszę puścić OTL jeszcze raz…

#11

Uruchom w ramach skanowania kontrolnego:

  1. http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html

  2. http://www.dobreprogramy.pl/Kaspersky-V … 12768.html

PS ad 2 - Version 10 (9.0.0.722) - jest w menu polskie

#12

W OTL użyj opcji Sprzątanie.(będzie restart)

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

#13

Jeszcze raz sprzątanie?

oki.

Mam wrażenie, ze przy Sprzątaniu OT się zawiesza? - naprzód przelatuje przez pliki a potem pisze :

processing[deleteself]…

i nic się nie dzieje - czy to koniec sprzątania? bo komp mi się nie restartuje.

A może mam poczekać?

edit -

myślalam że już komp klęknie bo wyraźnie program jakby się zwiesił. Ale nie.

okno dalej otwarte, dalej jest ten processing [deleteself] ale teraz moge klikac w nim i zmieniac.

a może ja coś źle robię?

Dodane 27.12.2011 (Wt) 20:47

no security check wyrzucil out of date service pack oczywiście, mozille, IE, adobe flash

http://wklej.org/hash/b1584f128df/

oczywiscie - rzecz w tym, ze troche się boję odnawiać system tutaj, bo :

a, może mi miejsca na dysku nie starczyć - na C mam 366 MB wolnych…

az nie chcę myślec ile to może spuchnać :frowning:

aha = po pierwszym sprzątaniu był restart.

wtedy gdy wkleiłam skrypt.

Dodane 28.12.2011 (Śr) 10:16

problem istnieje nadal

Niestety, po wejściu w windowsa pierwsze co się pojawia to znane mi okienka informujące iz sprzęt został nieprawidłowo odłączony, następnie komp sygnalizuje, że znalazł nowy sprzęt (cd a jakże) i szuka mu sterowników

Jedynym plusem jest to ,że okienek jest powiedzmy ze 40 i proces umiera sam z siebie.

Malwarebytes mówi, że jest czysto.

ps - nie aktualizowalam jeszcze systemu.

Dodane 29.12.2011 (Cz) 19:02

ech dalej wyskakuja okienka. :frowning:

Ktos ma jeszcze jakis pomysl? :expressionless:

otl.txt

http://wklej.org/hash/77b67dced18/

Extras.txt

http://wklej.org/hash/4b259c3f7d4/

Dodane 12.01.2012 (Cz) 18:34

hello hello, czy ktos jest w stanie mi pomoc?

bo niestety ilosc zaistalowanych cd w systemie mnie przerasta niestety :frowning: