Wyskakują okienaka popu, oraz procesor ma 100% użycia

Ma kilka problemów których większość “wyskoczyła” po instalacji programu LimeWire którego ODRADZAM !!

najpierw wkleję logi z HijackThis

http://wklej.org/id/669f767ecb

jednym z problemów jest praca procka na bardzo wysokich obrotach (prawie 100% użycia

drugi to wyskakujące okienka z inetrnet explorer

Mam jeszcze problem (mój stary problem) podczas uruchamiania kompa na ekranie botowalnym mam komunikat

Caution: This hard disk may be infected by virus !

i nie ruszy dalej dopóki nie nacisnę jakiegoś jakiegoś klawisza :smiley:

kolejny problem to komunikat że jakiś plik został zastąpiony i żeby włożyć XP SP2 (niestety nie pomaga) po kolejnym restarcie jest to samo

i jeszcze dwie rzeczy do których dołączę zrzuty ekranów

niestety to zrobię później bo nie chce ze mną za bardzo współpracować przeglądarka :frowning:

chyba trzeba najpier troszkę porządku zrobić

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Daj log z ComboFix

niestety nie chce mi odpalić ComboFix-a :frowning:

pisze komunikat że aktualnie inny program korzysta z tego pliku

ścieżka na komunikacie:

C:\windows\system32\cmd.exe

Uruchom Combo w trybie awaryjnym

Wczoraj już nie dałem rady :smiley: tak mi go muliło że wolałem iść spać i zrobić to ze świerzym umysłem :wink:

oto raport z Combo

http://www.wklej.org/id/e4019dfa32

Wklej do Notatnika:

File::

C:\Documents and Settings\Administrator\1896.bat 

C:\Documents and Settings\Administrator\winlogo.exe 

C:\Documents and Settings\Administrator\3678.bat 

C:\WINDOWS\system32\3113.bat 

C:\Temp\kpHor0019.exe 

C:\WINDOWS\system32\ex.exe

C:\5162.bat 

C:\Documents and Settings\Administrator\3987.bat 

C:\3640.bat 

C:\Documents and Settings\Administrator\services.exe 

C:\Documents and Settings\Administrator\6831.bat

C:\3465.bat

C:\WINDOWS\SYSTEM32\DCADS_SIDEBAR.DLL

C:\WINDOWS\SYSTEM32\SPADS.DLL


Folder::

C:\WINDOWS\system32\vu3 

C:\WINDOWS\system32\jd7 

C:\WINDOWS\system32\io4 

C:\WINDOWS\system32\edcA07 

C:\WINDOWS\d2lu 

C:\Temp\Ryuan1


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E015787-B1E3-404a-95DE-3E71E1FA0305}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"ctfmon.exe"=-

"Attw"=-

"Cqpmw"=- 

"SpeedX"=-

"POP Peeper"=-

"Neb"=-

"H/PC Connection Agent"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Zrobione wszystko wg instrukcji :smiley:

oto nowy raport z Combo

http://wklej.org/id/c019580e33

Pobierz RenV.exe.

Wklej do Notatnika:

C:\Program Files\ActiveVir\bin\ClamTray .exe

C:\Program Files\DrWeb\spiderml .exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe

C:\Program Files\Odkurzacz\odk_mcd .exe

C:\Program Files\POP Peeper\POPPeeper .exe

C:\Program Files\PowerISO\PWRISOVM .EXE

C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe

RenV.gif

Dajesz log z RenV i nowy z ComboFix.

Pierwszy to log z Renv

http://wklej.org/id/34e28a96c2

a drugi z Combo

http://wklej.org/id/3384d8a514

Wklej do notatnika:

C:\WINDOWS\17PHolmes922.exe

C:\8154.bat

C:\Documents and Settings\Administrator\4731.bat

C:\WINDOWS\system32\vbzip10.dll

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFix.

Następnie pobierz SDFix i uruchom go w trybie awaryjnym.

Następnie kliknij podwójnie na ikonę RenV.exe. i poczekaj na wygenerowanie loga.

Zamieszczasz logi ComboFix, SDFix i RenV

Czy DrWeb jest jeszcze zainstalowany?

pierwszy log Combofix

http://wklej.org/id/006fdda86c

sdfix

http://www.wklej.org/id/3a07ae55cf

renv

http://www.wklej.org/id/c3c8cf57ee

dr. web nie mogłem odinstalować bo co próbowałem to mi instalacja na “unistal” się włączała :frowning:

więc przez odkurzacz wyrzuciłem większość folderów bo zainstalowałem NOD32 i nie chciałem żeby się “gryzły”

Poprzednio wkleiłem nie tego fixa, co trzeba.

Wklej do notatnika:

File::

C:\8154.bat

C:\Documents and Settings\Administrator\4731.bat

C:\WINDOWS\system32\vbzip10.dll


Folder::

C:\Program Files\DrWeb

C:\WINDOWS\system32\DRWEBSP.DLL

C:\Documents and Settings\Administrator\DoctorWeb


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DrWebScheduler]

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFix.

Po użyci ComboFix przejdź do pliku:

C:\WINDOWS\system32\guard32.dll.vir

i zmień jego nazwę na guard32.dll, coś Combo nie lubi Comodo.

Daj log z ComboFix.

Raport Combo

http://wklej.org/id/ead04b1150

Ja już nic więcej nie widzę.

Teraz pobierz narzędzie OTMoveIt, które posprząta po stosowanych czyścicielach (ComboFix, SDFix), a RenV.exe. usuń ręcznie z dysku.

OTMoveIt >>> CleanUp (narzędzie musi mieć dostęp do internetu)

Przeskanuj system SUPERAntiSpyware.

Przeczyść rejestr np. jv16 PowerTools.

No i napisz, czy są jeszcze jakieś problemy z systemem.

Zrobiłem wszystko tak jak kazałeś

dla pewności daję log z SuperAntiSpyware

http://wklej.org/id/609d34fe09

Dalej mam komunikat że komputer jest zainfekowany

Caution: This hard disk may be infected by virus !

może to wina jakiegoś ustawienia w BIOSIE ??

i jeszcze jeden problem nie mogę uruchomić “msconfig”

Wyłącz przywracanie systemu!

Daj log z combofix

Przywracanie wyłączyłem

w załączeniu raport z Combo

http://wklej.org/id/d993e2da21

Wszystko co znalazł SuperAntiSpyware (oprócz ciasteczek) znajdowało się w System Volume Information i po wyłączeniu Przywracania systemu zostało usunięte z dysku.

Musisz powtórzyć operację z plikiem:

Przejdź do folderu C:\Qoobox, wyciągnij stamtąd pliki: qmgr0.dat i qmgr1.dat, jeżeli mają to usuń rozszerzenie *.vir i pliki te przeskanuj na VirusTotal.

Jeżeli pliki będą czyste to umieść je z powrotem w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader (ukryty folder systemowy).

Przejdź do C:\WINDOWS\system32, wyszukaj plik msconfig.exe i we właściwościach sprawdź jego wielkość i datę modyfikacji.

Plik guard32.dll jest pod tą nazwą nie miał rozszerzenia .vir na końcu.

przeskanowałem pliki i wyniki były 0 więc je przywróciłem tak jak kazałeś

i ostatnia sprawa dotycząca msconfig niestety nie mam pliku na kompie :frowning: szukałem go i nic nie znalazłem

Poszukaj jeszcze w tej lokalizacji:

C:\WINDOWS\system32\dllcache (ukryty folder systemowy)

Jak nie będzie, to skopiuj od znajomego.