Iwans
(Iwans16)
3 Luty 2011 20:37
#1
Witam od kilku dni mam wirusa. Zwie się ggdrive32.exe. Powoduje niemożność wyświetlania stron. Jak otwieram nową kartę to wyświetla się about:blank a jak już mam jakąś wyświetloną to po wpisaniu adresu i naciśnięciu Enter nic się nie dzieje. Nie da się zmienić strony.
Proces wirusa da się wyłączyć i wszystko wraca do normy lecz co restart się włącza. Odznaczenie uruchamiania w msconfig nic nie dało, usunięcie tegoż pliku też nic nie dało. Właśnie usunąłem ggdrive32.exe poprzez hijackthis i w logach z OTL może tego nie być ale znajduje się ten plik w C:\WINDOWS\ggdrive32.exe. Przez chwilę widziałem proces xdx.exe pod ggdrive32. Aha i xdx.exe pojawiło mi się niedawno bo nie widziałem wcześniej oraz chyba samo ustawiło mi że nie widzę niewidocznych plików(mogę zmienić). Jeszcze wczoraj proces ggdrive32.exe nie miał ikonki w process explorer dzisiaj już ma.
OTL.Txt: http://wklej.org/id/469738/
Extras.Txt: http://wklej.org/id/469740/
I teraz najważniejsze co do pomocy w usunięciu problemu. Mój komputer to złom i musi przeżyć jeszcze max 2 miesiące. Restartuje się gdy procesor jest wykorzystywany powyżej 20-30% przez kilka minut więc wszelka pomoc w usunięciu mojego problemu musi wykorzystywać max 20% procesora(może być więcej ale przez krótki okres czasu). Przy 50-70% restartuje się po kilkunastu sekundach. Zależy mi tylko na tym by komputer był do użytku przez jakieś 2 miesiące.
A i nie posiadam antywirusa i chciałbym nie instalować go do czasu wymiany komputera jeśli możliwe
I mam takie pytanie czy podczas uruchamiania/zamykania systemu jest wykorzystywany procesor?
jessica
(jessica)
3 Luty 2011 21:59
#2
Użyj USBFix , >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0
Kliknij w nim na: DELETION .
Daj raport z tego usuwania.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL NetSvcs: lopwydo - C:\WINDOWS\system32\ythxn.dll () MsConfig - StartUpReg: Fnfx - hkey= - key= - File not found MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= - File not found MsConfig - StartUpReg: Microsoft Driver Setup - hkey= - key= - C:\WINDOWS\ggdrive32.exe () MsConfig - StartUpReg: NetLimiter - hkey= - key= - File not found MsConfig - StartUpReg: Tnaww - hkey= - key= - File not found [2011-02-03 20:48:49 | 000,131,072 | ---- | M] () – C:\xdx.exe [2011-02-03 20:48:19 | 000,159,744 | RHS- | M] () – C:\WINDOWS\ggdrive32.exe [2011-02-03 20:48:19 | 000,159,744 | ---- | M] () – C:\Documents and Settings\Iwan\mss.exe [2011-01-30 13:05:36 | 000,060,416 | ---- | M] () – C:\Documents and Settings\Iwan\axx.exe [2011-01-29 10:08:12 | 000,040,960 | ---- | M] () – C:\Documents and Settings\Iwan\swo.exe [2011-01-27 19:25:15 | 000,040,960 | ---- | M] () – C:\Documents and Settings\Iwan\dq.exe [2011-01-25 15:36:00 | 000,045,056 | ---- | M] () – C:\Documents and Settings\Iwan\mebios.exe [2011-01-25 15:36:00 | 000,045,056 | ---- | M] () – C:\Documents and Settings\Iwan\mdios.exe [2011-02-03 20:48:51 | 028,176,386 | ---- | C] () – C:\Documents and Settings\Iwan\Pulpit\ggdrive32.dmp [2008-04-14 21:50:36 | 000,168,032 | RHS- | C] () – C:\WINDOWS\System32\ythxn.dll O20 - HKLM Winlogon: TaskMan - (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) - c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe () O20 - HKU\S-1-5-21-1606980848-484763869-2146935855-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe) - File not found O20 - HKU\S-1-5-21-1606980848-484763869-2146935855-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) - File not found O33 - MountPoints2{a01ec4a7-02fc-11e0-af2e-00138fdfbfe3}\Shell\AutoRun\command - “” = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe O33 - MountPoints2{a01ec4a7-02fc-11e0-af2e-00138fdfbfe3}\Shell\open\command - “” = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe O33 - MountPoints2{cecafd70-d23a-11df-ae8e-00138fdfbfe3}\Shell\AutoRun\command - “” = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe O33 - MountPoints2{cecafd70-d23a-11df-ae8e-00138fdfbfe3}\Shell\open\command - “” = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] File not found O7 - HKU\S-1-5-21-1606980848-484763869-2146935855-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 1 O7 - HKU\S-1-5-21-1606980848-484763869-2146935855-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: 1 = ggdrive32.exe () O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1606980848-484763869-2146935855-1003…\Toolbar\WebBrowser: (Softonic-Polska Toolbar) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) O4 - HKLM…\Run: [Cmaudio] File not found IE - HKU\S-1-5-21-1606980848-484763869-2146935855-1003…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) :Files RECYCLER /alldrives :Services lopwydo :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “8072:TCP”=- :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Iwans
(Iwans16)
4 Luty 2011 08:28
#3
jessica
(jessica)
4 Luty 2011 09:00
#4
Powinno być OK, ale na wszelki wypadek, przeskanuj jeszcze komputer przy pomocy MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
W USBFix kliknij na przycisk UNINSTALL
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
[HKEY_USERS\S-1-5-21-1606980848-484763869-2146935855-1003\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
jessi