Wirus w rejestrze


(Hajo Hajowski) #1

Oki, a więc problem polega na tym, że gdy chcę wyłączyć komputer, to zamiast pospolitego okienka z zamykaniem systemu od razu widać czarny ekran, po czym następuje ponownie odpalenie komputera. Jednym słowem komputer od razu się wyłącza. Próbowałem coś zrobić przy pomocy AdwCleanera, program znalazł problem, lecz AdwCleaner do usunięcia wirusa potrzebuje restartu komputera, a ten jest u mnie w tej chwili niemożliwy. Oto log z AdwCleanera

AdwCleaner v3.212 - Log utworzony 14/06/2014 o 22:23:32


(Atis) #2

Klucze nie mają żadnego wpływu na wyłączanie systemu.

Usunąć można tak jak każdy klucz czyli za pomocą edytora rejestru.

Jeżeli się restartuje to sprawdź pliki dmp:

http://forum.dobreprogramy.pl/szukanie-przyczyny-bsod-a-za-pomocą-bluescreenview-t313445/


(Hajo Hajowski) #3

Ściągnąłem ten bluescreenview i pokazuje mi dwa czerwone pola, na górze zaś wyświetla, że błąd jest spowodowany przez sterownik ntoskrnl.exe. Dodam, że komputer laguje mi, w pasku narzędzi zniknęła opcja "rozwiń", a klepsydra przy kursorze miga co chwilę, co nie jest raczej normalne.. Doradzicie coś?

 

  • Nie wiem czy gra to jakąś rolę, ale ostatnio wymieniałem wentylatorek w komputerze, bo powoli chodził i nagrzewał się. Czy to może mieć z tym coś wspólnego?

 

 

+W Menedżerze Zadań mam coś takiego jak "Windows_Downloader.exe". Zużywa on dość dużo pamięci (ok. 126 000K). Można to bezpiecznie zakończyć?


(Atis) #4

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.


(Hajo Hajowski) #5

FRST

http://wklej.org/id/1392788/

 

 

 

 

Addition

 

http://wklej.org/id/1392784/


(Atis) #6

Odinstaluj Norton AntiVirus: Norton Removal Tool

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

() C:\Documents and Settings\MACIEK\Moje dokumenty\CK2\Saves.exe
() C:\Documents and Settings\MACIEK\Moje dokumenty\CK2\Saves.exe
() C:\Documents and Settings\MACIEK\Moje dokumenty\CK2\Saves.exe
() C:\DOCUME~1\MACIEK\hMy36Hc\Windows_Downloader.exe
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Winlogon: [Userinit] C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\MACIEK\Moje dokumenty\CK2\Saves.exe
HKU\S-1-5-21-790525478-1960408961-725345543-1003\...\Run: [WinHosts] => C:\Documents and Settings\MACIEK\Moje dokumenty\CK2\Saves.exe [1495398 2014-04-18] ()
HKU\S-1-5-21-790525478-1960408961-725345543-1003\...\RunOnce: [uUq27Oe] - C:\Documents and Settings\MACIEK\hMy36Hc\Windows_Downloader.exe [1495398 2014-04-18] ()
BootExecute: autocheck autochk * sdnclean.exe
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Norton Vulnerability Protection - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - F:\Norton\Engine\21.1.0.18\IPS\IPSBHO.DLL No File
CHR Extension: (ObviousIdea) - C:\Documents and Settings\MACIEK\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fnefekibahpibgnllfjpckodgobkpije [2013-07-21]
CHR HKLM\...\Chrome\Extension: [fnefekibahpibgnllfjpckodgobkpije] - C:\Documents and Settings\MACIEK\Ustawienia lokalne\Dane aplikacji\ObviousIdea\extension.crx [2013-05-07]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S4 IntelIde; No ImagePath
S3 SRTSP; \SystemRoot\system32\drivers\NAV\1501000.012\SRTSP.SYS [X]
S3 SYMTDI; \SystemRoot\system32\drivers\NAV\1501000.012\SYMTDI.SYS [X]
C:\Program Files\Spybot - Search & Destroy 2
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
C:\Documents and Settings\MACIEK\hMy36Hc
C:\Documents and Settings\MACIEK\vOd25Jx.txt
C:\Documents and Settings\MACIEK\Moje dokumenty\CK2
C:\AdwCleaner
C:\Documents and Settings\MACIEK\Ustawienia lokalne\Temp\*.exe

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Hajo Hajowski) #7

Z fixlistem.txt

http://wklej.org/id/1392833/

 

Nowy rapport FRST

http://wklej.org/id/1392834/


(Atis) #8

U uruchom system w trybie awaryjnym i wtedy kliknij Fix.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

() C:\Documents and Settings\MACIEK\Moje dokumenty\CK2\Saves.exe
() C:\DOCUME~1\MACIEK\hMy36Hc\Windows_Downloader.exe
HKU\S-1-5-21-790525478-1960408961-725345543-1003\...\RunOnce: [uUq27Oe] - C:\DOCUME~1\MACIEK\hMy36Hc\Windows_Downloader.exe
C:\Documents and Settings\All Users\Dane aplikacji\Norton
C:\WINDOWS\system32\config\SpybotSD.evt
C:\WINDOWS\system32\config\Spybot -.evt
C:\setup95.exe
C:\Documents and Settings\MACIEK\Ustawienia lokalne\Dane aplikacji\ObviousIdea
C:\DOCUME~1\MACIEK\hMy36Hc
C:\Documents and Settings\MACIEK\Moje dokumenty\CK2
Reboot:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Hajo Hajowski) #9

FRST

http://wklej.org/id/1392905/

 

Dobra sfixowałem w systemie awaryjnym i już pierwszy postęp. System nie wyłączył się od razu, ale już wylogował się jak dawniej.

Kolejną kwestią jest to, że w trybie awaryjnym ekran mi się rozmazał (jakby brakowało sterowników graficznych??) ale udało mi się na półślepo sfixować.


(Atis) #10

W awaryjnym nie działają sterowniki od grafiki. Teraz w logu nie widać żadnego wirusa.

Odinstaluj zbędny firewall od NVIDIA - NVIDIA ForceWare Network Access Manager.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
FF HKLM\...\Firefox\Extensions: [{BBDA0591-3099-440a-AA10-41764D9DB4DB}] - C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_21.1.0.18\IPSFF

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Język PL > Settings > General Settings > Language > Polish

Odinstaluj Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Java 7 Update 55.

Zainstaluj Java 7 Update 60, Flash Player 14.0.0.125 Internet Explorer i Plugin-based browsers, Internet Explorer 8.


(Hajo Hajowski) #11

Zrobiłem tak jak napisałes i są rezultaty, komputer już normalnie wylogowuje się, klepsydra już nie miga, lecz nadal nie ma tego znaczka "rozwiń" przy pasku narzędzi. To chyba błaha sprawa, co?

 

  • Czy mógłbyś powiedzieć jak nazywał się ten problem, który dotyczył mojego komputer? Tak na przyszłość chciałbym wiedzieć :slight_smile:

(Atis) #12

Problem polegał na tym, że 2014-06-13 o godzinie 19:25 zainstalowałeś wirusa.

Nie wiem o jaką opcję roziń chodzi?

Zainstaluj IE8, bo to nie jest zwykła przeglądarka.


(Hajo Hajowski) #13

Dobra, już wszystko działa. Dzięki ogromne za pomoc. Rozwiązane.