system
(system)
29 Wrzesień 2008 18:32
#1
Witam!
Bardziej szczegolowo:
po odinstalowaniu AV (norton 2008) komp calkowicie zeswirowal. Pelno porno ikonek, wyskakujacych co chwila reklam, skanerow AV itd. Do tego komp sie wylaczal, resetowal, zuzycie procesora na 100%. krotko mowiac komp nie nadawal sie do uzytku. zainstalowalem ponownie nortona i Spyware Doctor i sie nieco poprawilo ale nadal nie jest ten PC ktory byl na poczatku.
Bardzo prosze o sprawdzenie loga do ktorego podaje link: http://wklejto.pl/11135
Leon1
(Leon$)
29 Wrzesień 2008 21:01
#2
wpisy
O2 - BHO: QXK Olive - {23E00CD0-EB04-4FB8-995F-9734D80FC6AD} - C:\Windows\dfmlxbpkwql.dll (file missing) O2 - BHO: QXK Olive - {54A2190F-6F53-4D30-83DD-292BC8DF4F7E} - C:\Windows\dfmlxbpkgls.dll (file missing) O2 - BHO: (no name) - {818E2098-CFE6-4AE8-8853-601C050131BC} - C:\Users\Daniel\AppData\Local\Temp\tuvVNDww.dll O2 - BHO: (no name) - {9cfebf3e-6290-4740-90a5-517aefd31408} - C:\Windows\system32\vagivoho.dll O2 - BHO: QXK Olive - {C6AB3962-0EFB-4685-901F-E003142F699C} - C:\Windows\dfmlxbpklme.dll (file missing) O3 - Toolbar: (no name) - {E5ACC10D-16BD-42DB-9AAB-283DF9B3A4EA} - (no file) O3 - Toolbar: peltodgx - {BD48101F-198F-431B-9DDB-F5CCD0AB4027} - C:\Windows\peltodgx.dll (file missing) O4 - HKLM…\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\BIOSCR~1\VeriSoft\Bin\ASTSVCC.dll,RegisterModule O4 - HKLM…\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe O4 - HKLM…\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles O4 - HKLM…\Run: [\YUR339D.exe] C:\Windows\system32\YUR339D.exe O4 - HKLM…\Run: [\YUR3581.exe] C:\Windows\system32\YUR3581.exe O4 - HKLM…\Run: [\YUR39B5.exe] C:\Windows\system32\YUR39B5.exe O4 - HKLM…\Run: [\YUR3D5D.exe] C:\Windows\system32\YUR3D5D.exe O4 - HKLM…\Run: [\YURBD55.exe] C:\Windows\system32\YURBD55.exe O4 - HKLM…\Run: [\YURC17A.exe] C:\Windows\system32\YURC17A.exe O4 - HKLM…\Run: [\YURC2A2.exe] C:\Windows\system32\YURC2A2.exe O4 - HKLM…\Run: [\YURC3AB.exe] C:\Windows\system32\YURC3AB.exe O4 - HKLM…\Run: [MSN] C:\Windows\wkssvrv.exe O4 - HKLM…\Run: [sozufofemo] Rundll32.exe “C:\Windows\system32\gebokabu.dll”,s O4 - HKLM…\Run: [iSTray] “C:\Programy\Spyware Doctor\pctsTray.exe” O4 - HKLM…\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe O4 - HKCU…\Run: [\YUR339D.exe] C:\Windows\system32\YUR339D.exe O4 - HKCU…\Run: [\YUR3581.exe] C:\Windows\system32\YUR3581.exe O4 - HKCU…\Run: [\YUR39B5.exe] C:\Windows\system32\YUR39B5.exe O4 - HKCU…\Run: [\YUR3D5D.exe] C:\Windows\system32\YUR3D5D.exe O4 - HKCU…\Run: [\YURBD55.exe] C:\Windows\system32\YURBD55.exe O4 - HKCU…\Run: [\YURC2A2.exe] C:\Windows\system32\YURC2A2.exe O4 - HKCU…\Run: [\YURC17A.exe] C:\Windows\system32\YURC17A.exe O4 - HKCU…\Run: [\YURC3AB.exe] C:\Windows\system32\YURC3AB.exe O4 - HKCU…\Run: [sozufofemo] Rundll32.exe “C:\Windows\system32\gebokabu.dll”,s O4 - HKCU…\Run: [MSServer] rundll32.exe C:\Users\Daniel\AppData\Local\Temp\tuvWonKB.dll,#1 O4 - HKCU…\Run: [\YURFF06.exe] C:\Windows\system32\YURFF06.exe O4 - HKCU…\Run: [\YUR6779.exe] C:\Windows\system32\YUR6779.exe O4 - HKCU…\Run: [\YUR8D41.exe] C:\Windows\system32\YUR8D41.exe O4 - HKCU…\Run: [cmds] rundll32.exe C:\Users\Daniel\AppData\Local\Temp\tuvVNDww.dll,c O4 - HKCU…\Run: [03e799aa] rundll32.exe “C:\Users\Daniel\AppData\Local\Temp\twfewdjb.dll”,b O4 - HKCU…\Run: [bM00d4aa36] Rundll32.exe “C:\Users\Daniel\AppData\Local\Temp\ivglaylk.dll”,s O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘USLUGA LOKALNA’) O4 - HKUS\S-1-5-19…\Run: [sozufofemo] Rundll32.exe “C:\Windows\system32\gebokabu.dll”,s (User ‘USLUGA LOKALNA’) O4 - Global Startup: Nokia Nseries PC Suite.lnk = C:\Program Files\Nokia\NNPCS\RunLauncher.exe O20 - AppInit_DLLs: APSHook.dll,C:\Windows\system32\wazuloro.dll
usuń HijackThisem >> Fix checked
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.
Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
system
(system)
30 Wrzesień 2008 11:31
#3
super!
oto log z combofixa: http://wklejto.pl/11167
Leon1
(Leon$)
30 Wrzesień 2008 13:08
#4
powtórz jeszcze raz usuwanie przez nieuwagę brak nagłówka powinno być
tak jak poprzednio przeciągnij plik na Combofixa potem log
system
(system)
30 Wrzesień 2008 23:09
#5
Zrobione.
a tutaj link do loga z comboFixa: http://wklejto.pl/11219
Teraz jest dobrze?
huber2t
(huber2t)
1 Październik 2008 03:56
#6
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\Windows\System32\ugwepbpw.ini
C:\Windows\System32\onnoqqss.ini2
C:\Windows\System32\crxomihn.ini
C:\Windows\System32\onnoqqss.ini
C:\Windows\System32\urqOEtsq.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9cfebf3e-6290-4740-90a5-517aefd31408}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sozufofemo"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
"sozufofemo"=-
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
system
(system)
1 Październik 2008 10:19
#7
a w jakim kodowaniu ma być ten plik .txt?
Pojawił się nowy problem. Otóż tło pupitu stało się czarne i jak wchodzę w wybór obrazu na tło- pustka. Na dodatek, gdy wejdę w folder Moje Dokumenty widzę same nazwy podfolderów, ponieważ ich ikonki zniknęły.
Nic nie zmieniaj w kodowaniu to nie jest plik z rozszerzeniem *.reg
Pojawił się nowy problem. Otóż tło pupitu stało się czarne i jak wchodzę w wybór obrazu na tło- pustka. Na dodatek, gdy wejdę w folder Moje Dokumenty widzę same nazwy podfolderów, ponieważ ich ikonki zniknęły.
No cóż dalej masz infekcje
Wejdź w tryb awaryjny windows opis http://forum.pcformat.pl/showthread.php?tid=13358
Uruchom Combofix skryptem podanym przez Huberta i daj log na forum
system
(system)
1 Październik 2008 10:40
#9
Co do kodowania, to kiedyś coś robiłem w notatniku i zmieniłem to i dlatego pytam jakie ma być ustawione.
Czy po przeniesieniu pliku CFScript.txt na ikonke ComboFixa powinien sie on sam uruchomić i wygenerować loga, czy mam na niego kliknąć?
Dlatego Ci napisałem że nie w tym przypadku
Powinien się sam uruchomić po upuszczeniu skryptu jak w poście Huberta na obrazku. W czasie skanowania nic nie rób aż skończy wtedy powinien pojawić się log.
system
(system)
1 Październik 2008 23:09
#11
zrobione. oto link do loga z ComboFixa: http://wklejto.pl/11293
Będzie lepiej? Dodam że tło i ikony wróciły
huber2t
(huber2t)
2 Październik 2008 03:34
#12
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\Windows\System32\bazabezi.dll
C:\Windows\System32\dupejume.dll
C:\Windows\System32\vanabesa.dll
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
system
(system)
11 Październik 2008 12:46
#13
Witam i przepraszam, że z takim opóźnieniem, ale brak chwili wolnego czasu. oto link do loga z combofixa: http://wklej.org/id/9877/
dodam, że ostatnio czesto wyskakuje mi błąd, pokazuje się niebieski ekran z jakimis literkami i po chwili nastepuje wyłączenie pc i jego restart
huber2t
(huber2t)
12 Październik 2008 04:16
#14
W logu nic nie widzę
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
system
(system)
12 Październik 2008 18:28
#15
Prawie wszystko zrobione oprócz pełnego skanu, który się zawiesił i skończyłem z takim raportem: http://wklej.org/id/10122/
Właśnie uruchomiłem kolejne, ale widzę, że zajmie ono dłuższą chwilę.
huber2t
(huber2t)
12 Październik 2008 19:36
#16
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
C:\$RECYCLE.BIN\S-1-5-21-415828500-1633433616-1486023953-1001\$RRYDQ4I.zip
C:\Programy\Trend Micro\HijackThis\backups\backup-20080930-093733-820.dll
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
system
(system)
12 Październik 2008 22:15
#17
Pełne skanowanie kasperskym ukończone. Oto link do pełnego raportu: http://wklej.org/id/10184/
huber2t
(huber2t)
13 Październik 2008 04:23
#18
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
C:\Users\Daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E6JWE1OI\aircrack-2.41[1].zip
C:\Users\Daniel\Downloads\Norton-AV-2008-Inclu Keygens Fully Activated\keygen_noUPX.exe
C:\Users\Daniel\Downloads\Norton-AV-2008-Inclu Keygens Fully Activated\NAV081550.exe
C:\Programy\Trend Micro\HijackThis\backups\backup-20080930-093733-820.dll
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
system
(system)
14 Październik 2008 20:31
#19
Zrobione. Wkleiłem pliki z tego wyższego postu (ponoć keygen`y są wykrywane przez skanery AV jako wirusy?). Oto log: http://wklej.org/id/10569/