Wolno działający komputer - sprawdzenie logów


(Kakadio) #1

Witam

 

Jeden komputer udało się naprawić, dzięki pomocy kolegi Acorus. Teraz pora na kolejny komp. Objawy - wolne działanie przy podłączonym necie. Po odłączeniu internetu, komp działa w miarę ok.

Prośba o sprawdzenie logów:

 

http://www.wklej.org/id/1315640/ OTL

http://www.wklej.org/id/1315641/ Extras

 

 

Pozdrawiam

Karol


(Atis) #2

Podłączyłeś zainfekowane urządzenie pod USB.

Uruchom UsbFix i kliknij Vaccinate.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\Piotrek\USTAWI~1\Temp\DAT2F64.tmp.exe -- (itfsitafgtban)
DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\nethost.sys -- (nethost)
DRV - [2014-03-28 10:25:34 | 000,008,192 | ---- | M] () [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\mcsysx.sys -- (msfindsrv01)
IE - HKU\S-1-5-21-527237240-287218729-839522115-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15510&l=dis
IE - HKU\S-1-5-21-527237240-287218729-839522115-1005\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=PTF&o=15507&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=LJ&apn_dtid=&apn_uid=BB0BBA30-AE13-44D0-8324-1F7608AEB4F9&apn_sauid=8921CA27-C1B4-40C7-BEE1-665A744E5465
[2011-01-20 10:25:03 | 000,002,557 | ---- | M] () -- C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\d8szc5dx.default\searchplugins\askcom.xml
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-287218729-839522115-1005\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-287218729-839522115-1005\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [Google Update] C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Google\Update\gupdate.exe ()
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtx] C:\Documents and Settings\Piotrek\Dane aplikacji\msup1.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkkt] C:\Documents and Settings\Piotrek\Dane aplikacji\msup2.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdj] C:\Documents and Settings\Piotrek\Dane aplikacji\msup3.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxey] C:\Documents and Settings\Piotrek\Dane aplikacji\msup4.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgm] C:\Documents and Settings\Piotrek\Dane aplikacji\msup5.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjp] C:\Documents and Settings\Piotrek\Dane aplikacji\msup6.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnno] C:\Documents and Settings\Piotrek\Dane aplikacji\msup7.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbz] C:\Documents and Settings\Piotrek\Dane aplikacji\msup8.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztes] C:\Documents and Settings\Piotrek\Dane aplikacji\msup9.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhw] C:\Documents and Settings\Piotrek\Dane aplikacji\msup10.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdm] C:\Documents and Settings\Piotrek\Dane aplikacji\msup11.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdmonz] C:\Documents and Settings\Piotrek\Dane aplikacji\msup12.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdmonzmli] C:\Documents and Settings\Piotrek\Dane aplikacji\msup13.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdmonzmlibpj] C:\Documents and Settings\Piotrek\Dane aplikacji\msup14.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdmonzmlibpjhrs] C:\Documents and Settings\Piotrek\Dane aplikacji\msup15.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdmonzmlibpjhrsuaz] C:\Documents and Settings\Piotrek\Dane aplikacji\msup16.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdmonzmlibpjhrsuazzus] C:\Documents and Settings\Piotrek\Dane aplikacji\msup17.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdmonzmlibpjhrsuazzuslpo] C:\Documents and Settings\Piotrek\Dane aplikacji\msup18.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdmonzmlibpjhrsuazzuslporgw] C:\Documents and Settings\Piotrek\Dane aplikacji\msup19.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [jtxkktbdjxeyzgmsjpnnosbztesfhwrdmonzmlibpjhrsuazzuslporgwnlh] C:\Documents and Settings\Piotrek\Dane aplikacji\msup20.exe (Flash )
O4 - HKU\S-1-5-21-527237240-287218729-839522115-1005..\Run: [NvUpdService] C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\NVIDIA Corporation\Update\daemonupd.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 17957 = c:\docume~1\alluse~1\dxngwe.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class)
O20 - HKU\S-1-5-21-527237240-287218729-839522115-1005 Winlogon: Shell - (C:\Documents and Settings\Piotrek\dbmvlh.exe) - C:\Documents and Settings\Piotrek\dbmvlh.exe ()
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Piotrek\dbmvlh.exe) - C:\Documents and Settings\Piotrek\dbmvlh.exe ()
O32 - AutoRun File - [2014-03-29 09:50:40 | 000,001,738 | ---- | M] () - K:\autorun.inf -- [FAT32]
[2014-03-10 12:25:04 | 000,186,880 | -HS- | C] (CircleDev Group) -- C:\WINDOWS\System32\gupdate-monitor.exe
[2004-08-04 13:00:00 | 000,044,544 | -HS- | C] (V{o) -- C:\Documents and Settings\All Users\dxpzip.exe
[2014-03-28 10:38:54 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\str.sys
[2014-03-11 10:23:02 | 000,237,568 | -HS- | C] () -- C:\WINDOWS\System32\24q38t1l.dll
[2014-03-11 10:21:03 | 000,237,568 | -HS- | C] () -- C:\WINDOWS\System32\2tq8x6h9.dll
[2014-03-11 07:55:57 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Piotrek\winsys32
[2014-03-10 12:25:04 | 000,000,047 | ---- | C] () -- C:\WINDOWS\System32\9125y5yta.dat
[2014-03-10 08:37:08 | 000,056,704 | ---- | C] () -- C:\WINDOWS\System32\drivers\8cc46ff4e72545ab.sys
[2012-11-15 18:51:25 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Piotrek\Dane aplikacji\0945c70
:Files
C:\Documents and Settings\Piotrek\Dane aplikacji\*.exe
K:\*.exe
K:\laqaok
netsh winsock reset /c
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=- 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż raport UsbFix z opcji Listing.


(Kakadio) #3

 

Witam

 

Raport z usuwania: http://wklej.org/id/1315883/

Nowy log OTL: http://wklej.org/id/1315886/

Raport UsbFix: http://wklej.org/id/1315888/

 

Pozdrawiam

Karol


(Atis) #4

Czy Dr.Web CureIt wykrył jakieś wirusy?

Wykonaj skrypt w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV - [2014-03-29 14:16:29 | 000,008,192 | ---- | M] () [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\mcsysx.sys -- (msfindsrv01)
O3 - HKU\S-1-5-21-527237240-287218729-839522115-1005\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Piotrek\dbmvlh.exe) - C:\Documents and Settings\Piotrek\dbmvlh.exe ()
[2014-03-29 14:16:29 | 000,008,192 | ---- | M] () -- C:\WINDOWS\System32\drivers\mcsysx.sys
[2014-03-11 10:20:44 | 000,237,568 | ---- | M] () -- C:\WINDOWS\System32\2tq8x6h9.dll
[2014-03-11 10:20:44 | 000,237,568 | ---- | M] () -- C:\WINDOWS\System32\24q38t1l.dll
[2014-03-29 09:52:19 | 000,090,112 | RHS- | C] () -- C:\Documents and Settings\Piotrek\dbmvlh.exe
:Files
attrib /d /s -s -h K:\* /c
netsh firewall reset /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.