Wolna praca systemu, błędy aplikacji- log

Dla specjalistów Bezpieczeństwo
#1

Od jakiegoś czasu dziwne rzeczy dzieją się z moim systemem. Znikają ikonki plików i folderów, co jakiś czas wyskakują błędy działania różnych aplikacji (winamp, gg itd.). Do tego jeszcze system działa dużo wolniej niż zwykle.

Proszę o sprawdzenie loga z Hijackthis:

http://www.wklej.org/id/50508/

Dziękuje za pomoc :wink:

#2

Daj log z ukośnikami

Twój wygląda tak:

A powinien tak:

#3

Przepraszam, już zmieniłem link.

Powiem jeszcze że przy starcie systemu włącza się kilka dziwnych procesów:

sdfmr5.jpg

w590.png

#4

Uruchom HijackThis :arrow: Do a system scan only :arrow: zaznacz kratki przy podanych niżej wpisach :arrow: Naciśnij “Fix checked”:

O1 - Hosts: 200.124.131.116 casinocontroller.com

O2 - BHO: {ad5d1ad4-500a-cc08-4d94-8348e36b224a} - {a422b63e-8438-49d4-80cc-a0054da1d5da} - C:\WINDOWS\system32\qksiok.dll

O2 - BHO: (no name) - {c4373e1a-5ed2-48f8-8c02-aefd6ce35a79} - C:\WINDOWS\system32\girumene.dll

O4 - HKLM\..\Run: [jetunekife] Rundll32.exe "C:\WINDOWS\system32\jimevole.dll",s

O4 - HKLM\..\Run: [c4f38a4c] rundll32.exe "C:\WINDOWS\system32\zobuneto.dll",b

O4 - HKLM\..\Run: [CPMc7c0b9d0] Rundll32.exe "C:\WINDOWS\system32\tuzatazo.dll",a

O4 - HKCU\..\Run: [A00F508A58.exe] C:\DOCUME~1\ADRIAN~1\LOCALS~1\Temp\_A00F508A58.exe

O4 - HKUS\S-1-5-19\..\Run: [jetunekife] Rundll32.exe "C:\WINDOWS\system32\jimevole.dll",s (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [jetunekife] Rundll32.exe "C:\WINDOWS\system32\jimevole.dll",s (User 'NETWORK SERVICE')

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)

O20 - AppInit_DLLs: c:\windows\system32\watusero.dll c:\windows\system32\vuwilamu.dll c:\windows\system32\refodegu.dll c:\windows\system32\jokigaju.dll C:\WINDOWS\system32\winuwibi.dll c:\windows\system32\tuzatazo.dll

O20 - Winlogon Notify: __c004CC63 - C:\WINDOWS\system32\__ c004CC63.dat

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\tuzatazo.dll

O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\tuzatazo.dll

Pobierz Combofix, ale nie uruchamiaj go. Otwórz notatnik i wklej

File::

C:\DOCUME~1\ADRIAN~1\LOCALS~1\Temp\_A00F508A58.exe

C:\WINDOWS\system32\qksiok.dll

C:\WINDOWS\system32\girumene.dll

C:\WINDOWS\system32\jimevole.dll

C:\WINDOWS\system32\zobuneto.dll

C:\WINDOWS\system32\tuzatazo.dll

C:\WINDOWS\system32\__c004CC63.dat

Plik>Zapisz jako…> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

combofix_cfscript.gif

To uruchomi combofixa, wygenerowany log dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link.

Po wszystkim sprawdź czy te dziwne procesy zniknęły

#5

Oto log z Combofix’a:

http://www.wklej.org/id/50543/

#6

Wylecz pendriva lub kartę pamięci

Flash Disinfector lub Perlovga Removal Tool

lub format

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka