Witam,
Ostatnio strasznie wolno komupter mi chodzi, dodatkowo Windows Defender co chwile wykrywa mi jakiegoś trojana “Win32/Renos.JM” i “Win32/Renos.FJ”
Jednocześnie podaję coś co mam w kompie, ale bardzo mnie to niepokoi:
file:
C:\Windows\tasks{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
file:
C:\Users\hp\AppData\Local\Temp\Pk0.exe
taskscheduler:
C:\Windows\tasks{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
file:
C:\Windows\system32\drivers\etc\hosts
regkey:
HKCU@S-1-5-21-3410360022-86896789-382378281-1000\Software\Microsoft\Windows\CurrentVersion\Run\LosAlamos
runkey:
HKCU@S-1-5-21-3410360022-86896789-382378281-1000\Software\Microsoft\Windows\CurrentVersion\Run\LosAlamos
file:
C:\Users\hp\AppData\Local\Temp\sshnas21.dll
Proszę o pomoc!
Oto logi z OTL:
http://wklej.org/id/272200/
Extras:
http://wklej.org/id/272201/
Oraz System Repair Engineer:
http://wklej.org/id/272202/
Pozdrawiam,
Gawith
Monczkin
1 Luty 2010 09:02
#2
gawith87 , przeczytaj ten temat i popraw tytuł. Proszę usunąć zastrzeżony kolor. Inaczej temat zostanie usunięty. Przeczytaj regulamin.
zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html
jessica
1 Luty 2010 09:31
#4
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O4 - HKLM…\Run: [HP Health Check Scheduler] File not found O4 - HKCU…\Run: [bMIMZMHMFM] C:\Users\hp\AppData\Local\Temp\Pk0.exe () MsConfig - StartUpReg: BMIMZMHMFM - hkey= - key= - C:\Users\hp\AppData\Local\Temp\Pk0.exe () MsConfig - StartUpReg: LosAlamos - hkey= - key= - C:\Users\hp\AppData\Local\Temp\sshnas21.DLL () MsConfig - StartUpReg: userinit - hkey= - key= - C:\Users\hp\AppData\Roaming\sdra64.exe File not found [2010-01-31 11:25:51 | 000,000,000 | -HSD | C] – C:\Users\hp\AppData\Roaming\lowsec [2010-02-01 09:30:25 | 000,000,274 | -H-- | M] () – C:\Windows\tasks{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job [2010-02-01 08:46:02 | 000,000,274 | -H-- | M] () – C:\Windows\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job @Alternate Data Stream - 8 bytes -> C:\WINDOWS: :Files C:\Users\hp\AppData\Local\Temp\sshnas21.DLL :Services sshnas :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MSConfig”=- :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz log z usuwania.
Z usunięciem tego strumienia ADS będą duże problemy.
Może przypomnę sobie, w którym temacie to było usuwane, przy pomocy jakiego specjalnego narzędzia …
jessi
Leon1
1 Luty 2010 09:44
#5
jessica
1 Luty 2010 09:48
#6
@ Leon$ - praktyka pokazała, że te narzędzia nie potrafiły tego usunąć (albo tylko jedno z nich potrafiło). Tu na Forum DP było to przez kilka dni “wałkowane”, bo kolejne narzędzia tego nie usuwały.
W końcu zostało usunięte, ale nie pamiętam, którym narzędziem.
Dziękuję za pomoc Jessica, oto logi o które pytałaś:
OTL raport:
http://wklej.org/id/272225/
OTL (ponowony scan):
http://wklej.org/id/272222/
Pozdrawiam
Dawid
jessica
1 Luty 2010 10:27
#8
Tak jak przewidywałam - OTL nie potrafi usunąć tego strumienia.
Znalazłam już temat, w którym był usuwany taki sam strumień.
Usunięty został przy pomocy narzędzia AlternateStreamView
>http://forum.dobreprogramy.pl/zawisrusowany-kolejny-ciagle-zwiechy-restarty-t368791.html
Narzędzie >http://www.nirsoft.net/utils/alternate_data_streams.html
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz log z usuwania.
jessi
Jessi, Zastosowałem się do Twoich poleceń, usunąłem ten plik, ponownie skanując kompa juz mi go nie wykryło =)
Dla potwierdzenie wysyłam jeszcze jeden scan z OTL.
http://wklej.org/id/272243/
Serdecznie dziękuję za pomoc =)
Gawith
jessica
1 Luty 2010 11:29
#10
Tak, widać, że strumienia nie ma, jest więc OK.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
jessi
