Zawieszajacy sie komputer


(Lysy 88) #1

Witam mam problem strasznie zamula mi sie komp albo jest cos z systemem albo wina sprzetu prosze was o pomoc :frowning: oto log:


(Lost World) #2

Użyj Fixwareuot

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego

Po tej operacji

Te wpisy kasujesz w trybie awaryjnym, natomiast pliki ręcznie.

Daj log z Combofix

Opis użycia ComboFix jest na tej stronie z linku.

Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a tu daj tylko link.

  • Nowy log z HJT.

(Lysy 88) #3

Ok.Użylem Fixwareuot

Wykasowałem wpisy i pliki ale jednego nie dało się usunąć:

log z ComboFix :

http://wklej.org/id/f581f5f4cb

i nowy log HJT:


(Monczkin) #4

Przeczytaj punkt 2.6 regulaminu i popraw temat.

Złączono Posta : 6 Październik 2007, 16:51:34

Wiesz o tym, że Twoje niechlujstwo w poradach uchroniły usera przed kłopotami z logowaniem.


(Lysy 88) #5

o lol no to sie porobiło :frowning: .Mógłby mi ktos pomóc??Bo ja w tych sprawach zielony jestem


(Lost World) #6

Ten plik jest jak najbardziej trefny , ostrzeżenie dostałem nie słusznie , wystarczy poszukać na forum , a tak że w google/inne serwisy :

http://www.forum.tweaks.pl/logi-Pro%C5% ... 10482.html

Kolejną porcję linków wysłałem @ Monczkin , błąd wybaczam , każdemu się zdarza :mrgreen:


(adam9870) #7

Lost World plik:

jest jednym z plików systemowych odpowiadających za proces logowania do systemu. Jego usunięcie najprawdopodobniej spowodowałoby poważne problemy z logowaniem. Nieszczęście chciało, że plik C:\WINDOWS\System32\ntos.exe dołączył się do klucza:

we wpisie Userinit , co widać w postaci wpisu F2 w Hijacku. Niestety Ty nie pokusiłeś się o zaznaczenie plików i katalogów do skasowania, lecz tylko napisałeś "Te wpisy kasujesz w trybie awaryjnym, natomiast pliki ręcznie." łamiąc tym samym jedną z zasad sprawdzania logów - "zawsze podawaj kompletny sposób jak usunąć syf, czyli szkodliwe wpisy jak i pliki" oraz narażając Usera na pomyłkę. Ba, kiedyś zdarzyła Ci się niemal identyczna sytuacja, wskazałeś do usunięcia wpis:

wraz z plikiem.


(Monczkin) #8

Na razie nic się nie stało. Spokojnie.

Ewentualne dysputy czy wyjaśnienia - na PW.

Wracamy do tematu - do pomocy userowi.


(Lost World) #9

Dobra , dzięki za wyjaśnienie sytuacji.W ''myślach'' miałem na myśli to , żeby skasować ręcznie C:\WINDOWS\System32\ntos.exe , albo jakimś narzędzie m a potem wpis w HJT , po prostu źle się wyraziłem , może to przez zmęcznie etc.Pozdrawiam


(adam9870) #10

Ściągnij program KillBox, zaznacz Delete on reboot , w polu full path of file wklej kolejno ścieżki:

C:\syspqec.exe

C:\systsef.exe

C:\WINDOWS\system32\SchedullingAgent.exe

C:\WINDOWS\System32\ntos.exe

Po wklejeniu każdej ścieżki z osobna kliknij na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgódź się na restart. Jeśli po wklejeniu którejś ze ścieżek pojawi się jakiś błąd, nie przejmuj się nim tylko przejdź do wykonywania dalszych czynności.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Czy sam ustawiałeś te proxy? Jeśli nie to usuń ten wpis korzystając z HijackThis.

Przeskanuj ten plik na stronie http://www.virustotal.com/pl/ bądź http://virusscan.jotti.org/ i wklej tu wynik skanowania. Dodatkowo sprawdź właściwości katalogu C:\WINDOWS\system32wsnpoem

Po wykonaniu wykonaj i wklej nowy log z ComboFix.


(jessica) #11

Wg mnie właściwości tego folderu "wsnpoem" można nawet nie sprawdzać, bo folder ten jest elementem infekcji, którą masz. W folderze tym znajdują na pewno dwa pliki: "AUDIO.DLL" oraz "VIDEO.DLL".

Na podstawie -->http://wirusy.interia.pl/encyklopedia?virId=7548.

Folder oczywiście do usunięcia.

W logu ComboFixa nastąpiło jakieś przekłamanie bo po "system32" powinna być kreseczka "\".

jessi


(Lysy 88) #12

Ok zrobiłem wszystko jak pisałeś

Przeskanowałem China.dll

wynik z http://www.virustotal.com/pl/ :

I wynik z http://virusscan.jotti.org/:

I nowy log z ComboFix :http://www.wklej.org/id/0767db2c22

A tak btw

cytat :

Nie moge tego sprawdzic tego wogole nie ma

I ntos.exe niestety nie da rady usunać


(jessica) #13

Piszesz, że tego folderu nie ma- on jest ukryty, więc go nie widzisz.

Przy okazji usuń ręcznie wszystkie "foundy" podobne do tego: C:\ FOUND.0 19

Potem: Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Do wczoraj SDFix usuwał samoczynnie tego "ntosa", ale wczoraj chyba ten szkodnik coś w sobie zmienił, bo zdarzyły się już przypadki, że SDFix nie był w stanie tego usunąć.

Może u Ciebie się uda?

W każdym bądź razie daj tu raport SDFixa i log z ComboFixa.

jessi


(Lysy 88) #14

ok tu jest log z ComboFix :http://www.wklej.org/id/f3a548a3ca

raport SDFix:

Przeskanowałem system jeszcze programem Spybot - Search & Destroy i podobno(chyba) tzn tak pisało że pousuwał szkodniki ale wykrył jeszcze Win32.Agent ale tego nie dał rady usunąć.


(jessica) #15

Wydaje mi się, że SDFix jednak nie usunął tego "ntosa".

Spróbujemy inaczej:

Ściągnij --> GMER.

Uruchom go>>gmer.zip>>gmer.exe

>>>rozwiń do zakładki CMD >>zaznacz REGEDIT >> w górne czarne pole wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] 

"Userinit"="C:\WINDOWS\system32\userinit.exe",

Kliknij na Uruchom.

Potem:

Otwórz Notatnik i wklej do niego:

Plik >>> zapisz jako >>> zmień rozszerzenie z TXT na wszystkie typy plików >>> zapisz pod nazwą FIX.BAT

( np. na C:\ )

Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny. Komputer się zresetuje i uruchomi się Gmer.

Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT , po czym go uruchom (dwuklik).

Potem daj tu:

1) log z ComboFixa

2) log z GMERa na ustawieniu:

>>Rootkit>>zaznacz tylko "Usługi" i "Pokaż wszystko">>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

Ponieważ logi będą długie, więc wklej je na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(Lysy 88) #16

ok

gmer: http://www.wklej.org/id/61e47b91f9

ComboFix:http://wklej.org/id/75fe1497db

Ale teraz w gmer też wsystąpiły błędy przy usuwaniu ntos.exe i wsnpoem


(jessica) #17

Wygląda na to, że tego pliku i tego folderu już nie ma.

Jest natomiast w dalszym ciągu wpis w rejestrze. Dzieje się tak chyba dlatego, bo z logu GMERa wynika, że w dalszym ciągu nie jest wyłączony rezydent Spybota.

Wyłącz go w końcu i w Hijacku sfiksuj ten wpis:

jessi


(Lysy 88) #18

Dobra już wszystko gra. :smiley: 8) Dzięki za pomoc i cierpliwość.