Witam mam problem strasznie zamula mi sie komp albo jest cos z systemem albo wina sprzetu prosze was o pomoc oto log:
Zawieszajacy sie komputer
Użyj Fixwareuot
Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego
Po tej operacji
Te wpisy kasujesz w trybie awaryjnym, natomiast pliki ręcznie.
Daj log z Combofix
Opis użycia ComboFix jest na tej stronie z linku.
Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a tu daj tylko link.
- Nowy log z HJT.
Ok.Użylem Fixwareuot
Wykasowałem wpisy i pliki ale jednego nie dało się usunąć:
log z ComboFix :
http://wklej.org/id/f581f5f4cb
i nowy log HJT:
Przeczytaj punkt 2.6 regulaminu i popraw temat.
Złączono Posta : 6 Październik 2007, 16:51:34
Wiesz o tym, że Twoje niechlujstwo w poradach uchroniły usera przed kłopotami z logowaniem.
o lol no to sie porobiło .Mógłby mi ktos pomóc??Bo ja w tych sprawach zielony jestem
Ten plik jest jak najbardziej trefny , ostrzeżenie dostałem nie słusznie , wystarczy poszukać na forum , a tak że w google/inne serwisy :
http://www.forum.tweaks.pl/logi-Pro%C5% … 10482.html
Kolejną porcję linków wysłałem @ Monczkin , błąd wybaczam , każdemu się zdarza :mrgreen:
Lost World plik:
jest jednym z plików systemowych odpowiadających za proces logowania do systemu. Jego usunięcie najprawdopodobniej spowodowałoby poważne problemy z logowaniem. Nieszczęście chciało, że plik C:\WINDOWS\System32\ntos.exe dołączył się do klucza:
we wpisie Userinit , co widać w postaci wpisu F2 w Hijacku. Niestety Ty nie pokusiłeś się o zaznaczenie plików i katalogów do skasowania, lecz tylko napisałeś “Te wpisy kasujesz w trybie awaryjnym, natomiast pliki ręcznie.” łamiąc tym samym jedną z zasad sprawdzania logów - “zawsze podawaj kompletny sposób jak usunąć syf, czyli szkodliwe wpisy jak i pliki” oraz narażając Usera na pomyłkę. Ba, kiedyś zdarzyła Ci się niemal identyczna sytuacja, wskazałeś do usunięcia wpis:
wraz z plikiem.
Na razie nic się nie stało. Spokojnie.
Ewentualne dysputy czy wyjaśnienia - na PW.
Wracamy do tematu - do pomocy userowi.
Dobra , dzięki za wyjaśnienie sytuacji.W ‘‘myślach’’ miałem na myśli to , żeby skasować ręcznie C:\WINDOWS\System32\ntos.exe , albo jakimś narzędzie m a potem wpis w HJT , po prostu źle się wyraziłem , może to przez zmęcznie etc.Pozdrawiam
Ściągnij program KillBox, zaznacz Delete on reboot , w polu full path of file wklej kolejno ścieżki:
C:\syspqec.exe
C:\systsef.exe
C:\WINDOWS\system32\SchedullingAgent.exe
C:\WINDOWS\System32\ntos.exe
Po wklejeniu każdej ścieżki z osobna kliknij na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgódź się na restart. Jeśli po wklejeniu którejś ze ścieżek pojawi się jakiś błąd, nie przejmuj się nim tylko przejdź do wykonywania dalszych czynności.
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
Czy sam ustawiałeś te proxy? Jeśli nie to usuń ten wpis korzystając z HijackThis.
Przeskanuj ten plik na stronie http://www.virustotal.com/pl/ bądź http://virusscan.jotti.org/ i wklej tu wynik skanowania. Dodatkowo sprawdź właściwości katalogu C:\WINDOWS\system32wsnpoem
Po wykonaniu wykonaj i wklej nowy log z ComboFix.
Wg mnie właściwości tego folderu “wsnpoem” można nawet nie sprawdzać, bo folder ten jest elementem infekcji, którą masz. W folderze tym znajdują na pewno dwa pliki: “AUDIO.DLL” oraz “VIDEO.DLL”.
Na podstawie -->http://wirusy.interia.pl/encyklopedia?virId=7548.
Folder oczywiście do usunięcia.
W logu ComboFixa nastąpiło jakieś przekłamanie bo po “system32” powinna być kreseczka “”.
jessi
Ok zrobiłem wszystko jak pisałeś
Przeskanowałem China.dll
wynik z http://www.virustotal.com/pl/ :
I wynik z http://virusscan.jotti.org/:
I nowy log z ComboFix :http://www.wklej.org/id/0767db2c22
A tak btw
cytat :
Nie moge tego sprawdzic tego wogole nie ma
I ntos.exe niestety nie da rady usunać
Piszesz, że tego folderu nie ma- on jest ukryty, więc go nie widzisz.
Przy okazji usuń ręcznie wszystkie “foundy” podobne do tego: C:\ FOUND.0 19
Potem: Użyj -->SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.
Pokaż Report.txt znajdujący się w folderze SDFix.
Do wczoraj SDFix usuwał samoczynnie tego “ntosa”, ale wczoraj chyba ten szkodnik coś w sobie zmienił, bo zdarzyły się już przypadki, że SDFix nie był w stanie tego usunąć.
Może u Ciebie się uda?
W każdym bądź razie daj tu raport SDFixa i log z ComboFixa.
jessi
ok tu jest log z ComboFix :http://www.wklej.org/id/f3a548a3ca
raport SDFix:
Przeskanowałem system jeszcze programem Spybot - Search & Destroy i podobno(chyba) tzn tak pisało że pousuwał szkodniki ale wykrył jeszcze Win32.Agent ale tego nie dał rady usunąć.
Wydaje mi się, że SDFix jednak nie usunął tego “ntosa”.
Spróbujemy inaczej:
Ściągnij --> GMER.
Uruchom go>>gmer.zip>>gmer.exe
>>>rozwiń do zakładki CMD >>zaznacz REGEDIT >> w górne czarne pole wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe",
Kliknij na Uruchom.
Potem:
Otwórz Notatnik i wklej do niego:
Plik >>> zapisz jako >>> zmień rozszerzenie z TXT na wszystkie typy plików >>> zapisz pod nazwą FIX.BAT
( np. na C:\ )
Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny. Komputer się zresetuje i uruchomi się Gmer.
Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT , po czym go uruchom (dwuklik).
Potem daj tu:
-
log z ComboFixa
-
log z GMERa na ustawieniu:
>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)
Ponieważ logi będą długie, więc wklej je na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
jessi
ok
gmer: http://www.wklej.org/id/61e47b91f9
ComboFix:http://wklej.org/id/75fe1497db
Ale teraz w gmer też wsystąpiły błędy przy usuwaniu ntos.exe i wsnpoem
Wygląda na to, że tego pliku i tego folderu już nie ma.
Jest natomiast w dalszym ciągu wpis w rejestrze. Dzieje się tak chyba dlatego, bo z logu GMERa wynika, że w dalszym ciągu nie jest wyłączony rezydent Spybota.
Wyłącz go w końcu i w Hijacku sfiksuj ten wpis:
jessi
Dobra już wszystko gra. 8) Dzięki za pomoc i cierpliwość.