Zawieszajacy sie windows xp po korzystaniu z pendrive'a

ishikura · 8 Lipiec 2008 07:34

Witam

Od wczoraj mam problemy z windowsem xp. W ten weekend korzystalem z obcego pendrivea a niestety pare dni tem uskonczyla mi sie licnecja antyvirusa wiec komp byl “goly”. Od tego momentu windows wiesza mi sie po kilku chcilach od zalogowania - gdy czeka na zalgoowanie, nie wiesza sie. Nie wiesza sie tylko w trybie awaryjnym. Przeskanowalem go w hijackthis

oto log:

http://www.wklejto.pl/5197

moze cos poradzicie? Bede bardzo wdzieczny:)

pozdrawiam

szymon

Dozamet1 · 8 Lipiec 2008 07:40

na 1rzut oka juz coś masz!!tylko poczekaj jak bardziej doświadczeni w logach napiszą co wywalić!

addmir · 8 Lipiec 2008 07:47

FIX:

O1 - Hosts: 202.165.102.205 972.aksjd11.com O1 - Hosts: 202.165.102.205 w3og.cn O1 - Hosts: 203.208.35.100 qazc.fourtw.cn O1 - Hosts: 203.208.35.100 http://www.aujoy.cn O1 - Hosts: 203.208.35.101 http://www.hao601.cn O1 - Hosts: 203.208.35.101 http://www.psp476.cn O1 - Hosts: 72.14.235.99 222.1212l112.net O1 - Hosts: 72.14.235.99 444.1212l112.netn O1 - Hosts: 72.14.235.99 555.1212l112.net O1 - Hosts: 72.14.235.99 111.1212l112.net O1 - Hosts: 65.55.21.250 111.3243l24.com O1 - Hosts: 65.55.21.250 222.3243l24.com O1 - Hosts: 65.55.21.250 333.3243l24.com O1 - Hosts: 125.64.8.112 kao2.gmwo03.com O1 - Hosts: 125.64.8.112 kao.gmwo06.com O1 - Hosts: 125.64.8.112 444.gmwo07.com O1 - Hosts: 116.252.185.15 ru.update365.us O1 - Hosts: 116.252.185.15 ad.update365.us O1 - Hosts: 207.46.232.182 popmails.net O1 - Hosts: 203.208.37.99 3.goodhh.com O1 - Hosts: 220.181.37.55 down.rwixr.com O1 - Hosts: 160.79.42.52 http://www.xdj2008.com O1 - Hosts: 63.175.76.152 http://www.revtr.cn O1 - Hosts: 219.133.40.91 qq.ljsll.com O1 - Hosts: 203.208.35.102 http://www.aassccwe.cn O1 - Hosts: 209.132.177.50 973.aksjd11.com O1 - Hosts: 209.132.177.50 974.aksjd11.com O1 - Hosts: 209.132.177.50 971.aksjd11.com O1 - Hosts: 209.132.177.50 975.aksjd11.com O1 - Hosts: 72.14.235.104 user1.12-39.net O1 - Hosts: 72.14.235.147 http://www.infomt.net O1 - Hosts: 192.150.18.101 ata1.sysions.net O1 - Hosts: 192.150.18.101 ata2.sysions.net O1 - Hosts: 192.150.18.101 ata3.sysions.net O1 - Hosts: 192.150.18.101 ata4.sysions.net O1 - Hosts: 193.120.42.226 8nnnnn99.cn O1 - Hosts: 24.39.54.34 http://www.haoaoao.cn O2 - BHO: detxbiua.dll - {20618412-C528-C784-C056-C164D1F7C502} - C:\WINDOWS\system32\detxbiua.dll O2 - BHO: ijdybpaw.dll - {2A698452-C5D8-C584-C256-C264C987C5A2} - C:\WINDOWS\system32\ijdybpaw.dll O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\system32\yxcschlp.dll (file missing) O2 - BHO: zywlcime.dll - {37A924AF-1A5F-CF21-AB1D-1D5CF82A8A73} - C:\WINDOWS\system32\zywlcime.dll O2 - BHO: tisqctyu.dll - {38093456-9012-4568-9076-908765467183} - C:\WINDOWS\system32\tisqctyu.dll O2 - BHO: apzhctde.dll - {3D698451-2015-6358-9871-2015987452D3} - C:\WINDOWS\system32\apzhctde.dll O2 - BHO: zycbdime.dll - {4A698102-5904-AFD0-20DF-CD1A65829CA4} - C:\WINDOWS\system32\zycbdime.dll O2 - BHO: zptlcsys.dll - {50940F85-F015-14F1-A05F-F69858AC6D05} - C:\WINDOWS\system32\zptlcsys.dll O2 - BHO: mpwdeapi.dll - {55694105-5108-9405-3695-954187462155} - C:\WINDOWS\system32\mpwdeapi.dll O2 - BHO: pqzfajke.dll - {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} - C:\WINDOWS\system32\pqzfajke.dll O2 - BHO: mndhfdwd.dll - {6C648541-1025-9650-9057-6541258720C6} - C:\WINDOWS\system32\mndhfdwd.dll O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - C:\WINDOWS\system32\mnmhgsrv.dll O2 - BHO: apsggjba.dll - {7FD45A54-9875-698F-E56E-65102358FDF7} - C:\WINDOWS\system32\apsggjba.dll O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll O2 - BHO: zyzxjime.dll - {AA59145F-315D-BC23-AC1F-145DF81A34AA} - C:\WINDOWS\system32\zyzxjime.dll O2 - BHO: hdf453d.dll - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - C:\WINDOWS\system32\hdf453d.dll O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe O20 - AppInit_DLLs: nhmxejkl.dll,tisqctyu.dll O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll O21 - SSODL: DesktopWin - {DA191DE0-AA86-4ED0-4B87-292A3D48BE99} - C:\WINDOWS\AppPatch\DesktopWin.dll

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\detxbiua.dll

C:\WINDOWS\system32\ijdybpaw.dll

C:\WINDOWS\system32\yxcschlp.dll

C:\WINDOWS\system32\zywlcime.dll

C:\WINDOWS\system32\tisqctyu.dll

C:\WINDOWS\system32\apzhctde.dll

C:\WINDOWS\system32\zycbdime.dll

C:\WINDOWS\system32\zptlcsys.dll

C:\WINDOWS\system32\mpwdeapi.dll

C:\WINDOWS\system32\pqzfajke.dll

C:\WINDOWS\system32\mndhfdwd.dll

C:\WINDOWS\system32\mnmhgsrv.dll

C:\WINDOWS\system32\apsggjba.dll

C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll

C:\WINDOWS\system32\zyzxjime.dll

C:\WINDOWS\system32\hdf453d.dll

C:\WINDOWS\system32\amvo.exe

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: ** Qoobox**

Zainstaluj jakiegoś antywirusa!

ishikura · 8 Lipiec 2008 08:09

zrobione

combofix: http://wklejto.pl/5201

nowy Hijackthis: http://wklejto.pl/5200

jakiego antywirusa polecasz?

pozdrawiam Szymon

Dozamet1 · 8 Lipiec 2008 08:32

z darmowych bierz avire lub avg a z platnych nod lub kasper

djarta · 8 Lipiec 2008 08:57

Najpierw sformatuj pendriv’a a potem zrób taką czynność:

Wklej do notatnika:

File::

C:\WINDOWS\system32\qbhxaklo.sys

C:\WINDOWS\system32\ngjxakin.sys

C:\WINDOWS\system32\ijzhatde.sys

C:\awda2.exe

C:\WINDOWS\system32\akjsfkaq.dll

C:\WINDOWS\system32\akjsfkaq.dll

C:\WINDOWS\system32\akjsfkaq.dll

C:\WINDOWS\system32\dtzfajke.sys

C:\WINDOWS\system32\erjxakin.sys

C:\WINDOWS\system32\fd233ds4f3.dll

C:\WINDOWS\system32\fdtxaiua.exe

C:\WINDOWS\system32\gpzhatde.sys

C:\WINDOWS\system32\ietzcpaq.dll

C:\WINDOWS\system32\lpmxajkl.exe

C:\WINDOWS\system32\lpzhatde.exe

C:\WINDOWS\system32\mndshsrv.dll

C:\WINDOWS\system32\nhmxejkl.dll

C:\WINDOWS\system32\nhmxejkl.dll

C:\WINDOWS\system32\oltzapaq.exe

C:\WINDOWS\system32\rijxbkin.dll

C:\WINDOWS\system32\rnmxajkl.sys

C:\WINDOWS\system32\rnmxajkl.sys

C:\WINDOWS\system32\snfybbyt.sys

C:\WINDOWS\system32\stjxakin.exe

C:\WINDOWS\system32\stjxakin.exe

C:\WINDOWS\system32\tpfsajbo.exe

C:\WINDOWS\system32\vlhxaklo.sys

C:\WINDOWS\system32\xbfsbjbo.sys

C:\WINDOWS\system32\xscqbhlp.sys

C:\WINDOWS\system32\xscqbhlp.sys

C:\WINDOWS\system32\zscqahlp.exe

C:\WINDOWS\system32\zxmsewin.dll

C:\WINDOWS\system32\zxmsewin.dll

C:\WINDOWS\system32\apsggjba.dll

F:\awda2.exe

K:\awda2.exe

L:\awda2.exe

M:\awda2.exe

F:\awda2.exe


Registry::

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{7FD45A54-9875-698F-E56E-65102358FDF7}"=-

"{8A041F13-A111-12A3-B0CF-F99818AA68A8}"=-

"{7319A1F1-9410-9654-3201-345FFA349137}"=-

"{87FD640A-158F-48AC-FD14-1597F14A9778}"=-

"{6A908760-8000-4000-A000-9000322145A6}"=-

"{45671234-7890-ABCD-CDEF-567801237654}"=-

"{57AC9076-C898-B098-D098-A18319080975}"=-

"{39109876-7619-9101-7012-901938475193}"=-

"{7C954872-1230-6541-9548-6541025884C7}"=-

"{25FD6584-698F-BCD2-602C-698745210352}"=-

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7FD45A54-9875-698F-E56E-65102358FDF7}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

ishikura · 8 Lipiec 2008 10:38

zrobione: http://www.wklejto.pl/5218

pozdr

sz

huber2t · 8 Lipiec 2008 10:43

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\apzhdtde.dll

C:\WINDOWS\system32\dazfajke.exe

C:\WINDOWS\system32\dehxaklo.exe

C:\WINDOWS\system32\detxciua.dll

C:\WINDOWS\system32\ictxaiua.sys

C:\WINDOWS\system32\mndhfdwd.dll

C:\WINDOWS\system32\mnmhhsrv.dll

C:\WINDOWS\system32\nttzapaq.sys

C:\WINDOWS\system32\smdsbsrv.sys

C:\WINDOWS\system32\tisqctyu.dll

C:\WINDOWS\system32\tjfyabyt.exe

C:\WINDOWS\system32\xsdjbbmp.sys

C:\WINDOWS\system32\ypdjhbmp.dll

C:\WINDOWS\system32\yxcsdhlp.dll

C:\WINDOWS\system32\zptldsys.dll

C:\WINDOWS\system32\zsdjabmp.exe

C:\WINDOWS\system32\zywmgime.dll


Folder::

C:\WINDOWS\Downloaded Program Files

C:\WINDOWS\AppPatch\


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{38093456-9012-4568-9076-908765467183}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C648541-1025-9650-9057-6541258720C6}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97421D0D-E07F-40DF-8F07-99597B9585AD}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{8C8D1401-A58D-A81C-CD24-A5915C4517C8}"=-

"{470165F1-9F65-569F-F895-F14F58F41074}"=-

"{60940F85-F015-14F1-A05F-F69858AC6D06}"=-

"{6C648541-1025-9650-9057-6541258720C6}"=-

"{30618412-C528-C784-C056-C164D1F7C503}"=-

"{38093456-9012-4568-9076-908765467183}"=-

"{4D698451-2015-6358-9871-2015987452D4}"=-

"{5A069845-2036-6084-9054-6087502480A5}"=-

"{14698742-2059-3025-9058-954023874141}"=-

"{A1954FAC-1023-154F-895A-1458258AD81A}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"DesktopWin"=-

"ThunderAdvise"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

ishikura · 8 Lipiec 2008 10:57

nowy log: http://www.wklejto.pl/5222

pozdr

sz

huber2t · 8 Lipiec 2008 10:59

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

ishikura · 8 Lipiec 2008 13:37

Zrobilem wszystko zgodnie z sugestiami. Komputer juz sie nie wiesza ale KAspersky niestety wykryl troche niespodzianek.

log: http://www.wklejto.pl/5235

pozdr

sz

huber2t · 8 Lipiec 2008 14:02

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

E:\Archiwum Stuff\instalki\Nero-6.6.1.15c_wch_[www.programosy.pl].exe

E:\Archiwum Stuff\instalki\radmin22pl.exe 


Folders to delte:

C:\WINDOWS\AppPatch

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

ishikura · 8 Lipiec 2008 14:35

w tym skrypcie byla literowka;)

zauwazylem ja dopiero po fakcie, takze musialem zrobic to dwa razy.

log: http://www.wklejto.pl/5240

pozdr

sz

huber2t · 8 Lipiec 2008 16:51

Dzięki za uwagę

Wszystko się pousuwało

ishikura · 8 Lipiec 2008 20:56

to ja dziekuje:)!

pozdr

sz