yakun
(Yakun)
22 Grudzień 2009 10:04
#1
Witam,
jestem nowiciuszem, ale mam taki problem:
po odpaleniu kompa przez jakiś czas użycie procesora jest ok. Odpalam mozille i skacze na 100 % i tak się utrzymuje. Skanowałem avg, on line też i nic. Zrobiłem hijacka i teraz zastanawiam się co dalej. Tu prośba o pomoc. Wklejam na wklej to loga.
http://www.wklejto.pl/51065
jessica
(jessica)
22 Grudzień 2009 10:16
#2
Taką infekcję AVG powinien był wykryć!
Daj log z OTL
jessi
yakun
(Yakun)
22 Grudzień 2009 11:35
#3
Dzięki za szybką reakcję :), zaraz daję log OTL. Właśnie skanuję.
– Dodane 22.12.2009 (Wt) 12:51 –
wyszło mi coś takiego: ???
http://www.wklejto.pl/51083
jessica
(jessica)
22 Grudzień 2009 11:53
#4
Popatrz na swoj log i potem zajrzyj do jakiegokolwiek innego tematu, i zobacz, jak powinien wyglądać log.
Z Twojego niczego nie można się dowiedzieć.
Popraw to.
jessi
yakun
(Yakun)
22 Grudzień 2009 12:11
#5
a teraz? sorry, ale jestem masakrycznie “zielony”
http://www.wklej.org/id/243423/
jessica
(jessica)
22 Grudzień 2009 12:17
#6
Ściągnij -->Avenger .
wklej do niego ten tekst:
Files to delete:
C:\Documents and Settings\JA\Dane aplikacji\fvgqad.dat
C:\Documents and Settings\JA\Dane aplikacji\avdrn.dat
C:\WINDOWS\System32\drivers\aanbi.sys
C:\Documents and Settings\LocalService\Dane aplikacji\fvgqad.dat
C:\WINDOWS\System32\fjhdyfhsn.bat
Drivers to delete:
aanbi
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Zaraz jeszcze tu dodam usuwanie dla OTL’a.
…
EDIT:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O33 - MountPoints2{548a2b3e-679c-11de-9f53-00241d0fafb7}\Shell - “” = AutoRun O33 - MountPoints2{548a2b3e-679c-11de-9f53-00241d0fafb7}\Shell\AutoRun\command - “” = E:\Launcher.exe – File not found O33 - MountPoints2{60036d2a-6657-11de-9f4f-00241d0fafb7}\Shell - “” = AutoRun O33 - MountPoints2{60036d2a-6657-11de-9f4f-00241d0fafb7}\Shell\AutoRun\command - “” = E:\Launcher.exe – File not found O33 - MountPoints2{733b1a29-7d9f-11de-9f75-4d6564696130}\Shell\AutoRun\command - “” = yh.cmd O33 - MountPoints2{733b1a29-7d9f-11de-9f75-4d6564696130}\Shell\open\Command - “” = yh.cmd O33 - MountPoints2{bbc74eba-662d-11de-9f4e-00241d0fafb7}\Shell - “” = AutoRun O33 - MountPoints2{bbc74eba-662d-11de-9f4e-00241d0fafb7}\Shell\AutoRun\command - “” = E:\Launcher.exe – File not found O4 - Startup: C:\Documents and Settings\JA\Menu Start\Programy\Autostart\siszyd32.exe () O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) [2009-12-21 15:46:06 | 00,000,681 | ---- | M] () – C:\Documents and Settings\JA\Dane aplikacji\Mozilla\Firefox\Profiles\2ixgcvcx.default\searchplugins\ask.xml FF - prefs.js…keyword.URL: “http://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q= ” FF - prefs.js…browser.search.defaultenginename: “Ask” FF - prefs.js…browser.search.order.1: “Ask” FF - prefs.js…browser.search.selectedEngine: “Ask” :Files C:\Program Files\AskBarDis :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
yakun
(Yakun)
22 Grudzień 2009 12:33
#7
oto raport z avenger’a:
http://www.wklej.org/id/243441/
przystępuję do reszty zaleceń
yakun
– Dodane 22.12.2009 (Wt) 13:44 –
to z run fix:
http://www.wklej.org/id/243452/
a to z run scan:
http://www.wklej.org/id/243458/
yakun
jessica
(jessica)
22 Grudzień 2009 12:51
#8
Nawrót infekcji, niestety.
>>Avenger>>
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\owpmc.sys
C:\WINDOWS\System32\fjhdyfhsn.bat
C:\Documents and Settings\LocalService\Dane aplikacji\fvgqad.dat
Drivers to delete:
owpmc
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
I nowy log z OTL.
jessi
yakun
(Yakun)
22 Grudzień 2009 13:04
#9
jessica
(jessica)
22 Grudzień 2009 13:13
#10
Teraz jest OK.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantaną i z …Avengerem.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
Wesołych Świąt!
jessi