Znalazłem podejrzany wpis proces - WPV751257179558.EXE

MaLuTeK · 17 Listopad 2009 22:34

Tak jak w tytule, znalazłem takiego dziada w Manedżerze Zadań, troche pogooglałem i wyskoczyło mi ze stronki niejakiego Prevxa że to jakiś syf - dodatkowo jak przeskanowałem kompa tym Prevxem to znalazł mi troche więcej śmiecia - dlatego bardzo proszę o przeglądnięcie logów i pomoc jak to usunąć. Wklejam loga z HJ, niestety jak zrobiłem nim skan to ten proces zniknął… Z góry dzięki za pomoc!

http://wklej.org/id/208728/

jessica · 17 Listopad 2009 22:49

jessi

.

MaLuTeK · 21 Listopad 2009 16:45

Dzięki za przejrzenie loga, wrzucam 2 z OTL: http://wklej.org/id/212265/ i SRENG: http://wklej.org/id/211950/

Co mam z tym zrobić?

jessica · 21 Listopad 2009 17:09

Dałeś dwa logi ze SRENG, a ani jednego z OTL.

EDIT:

Uruchom System Repair Engineer > zakładka “System Repair” >>karta “BrowserAdd-ons”>

>wyszukaj i zaznaczaj w polu “CLSID 1” po kolei te:

i klikaj na przycisk “Delete Selected”.

jessi

MaLuTeK · 21 Listopad 2009 22:10

Ojej, racja, nie zauważyłem błędu. Juz zedytowałem link, jest ok.

jessica · 21 Listopad 2009 23:00

Jakiś dziwny ten log - jesteś pewny, że wszystkie ustawienia przy skanowaniu były takie, jak podane przy opisie OTL, plus podane przeze mnie?

jessi

MaLuTeK · 21 Listopad 2009 23:44

Tak myślę… Dla pewności jednak wrzucę jeszcze raz nowy skan z otl`a, z poprawnymi ustawieniami: http://wklej.org/id/212330/

jessica · 22 Listopad 2009 00:03

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O4 - Startup: C:\Documents and Settings\Malutek\Menu Start\Programy\Autostart\zavupd32.exe () :Files C:\Documents and Settings\Malutek\Menu Start\Programy\Autostart\zavupd32.exe () C:\wcgswa.exe E:\wcgswa.exe F:\wcgswa.exe G:\wcgswa.exe J:\wcgswa.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “TortoiseHgRpcServer”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “UfSeAgnt.exe”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “UserFaultCheck”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi

MaLuTeK · 22 Listopad 2009 17:01

Póki co wyrzuciłem:

{00000162-9980-0010-8000-00AA00389B71}

{31435657-9980-0010-8000-00AA00389B71}

{381FFDE8-2394-4F90-B10D-FC6124A40F8C}

{3B1E1AB9-98C2-4B7E-AE01-59C84302BBDB}

4 linijki tak jak poradziłaś, i pojawił się mały problem… Mam koszmarny ping, zarówno na Ventrillo (prawdę mówiąc nie mogę się nawet połączyć z serwerem) a w WoW`ie (gra) mam ponad 130ms (kiedy normalnie wartości oscylują wokół 50-80ms. Łącze to z usunięciem tych wpisów ponieważ niczego innego na komputrze nie robiłem. Mam drugi system (Sevena na ‘trialu’), i tam WoW i Vent mi chulają tak jak zwykle. To może być jakoś połączone?

I jeszcze jedno, “TortoiseHgRpcServer”= - to jest mój program, Tortoise to SVN, używam do pracy z Pythonem, mimo tego mam to wyrzucić?

EDIT:

Już wszystko ok, reset połączenia sieciowego + naprawa pomogła Tylko musiałem router jeszcze raz ustawiań. To teraz tylko mam ciągle pytanko co z tym Tortoise

jessica · 22 Listopad 2009 17:34

W logu wyraźnie widać, że to jest klucz bezplikowy, więc dałam go do usunięcia.

Oczywiście, jeśli nie chcesz tego usuwać, to nie musisz - wystarczy usunąć ten klucz ze Scriptu:

:OTL O4 - Startup: C:\Documents and Settings\Malutek\Menu Start\Programy\Autostart\zavupd32.exe () :Files C:\Documents and Settings\Malutek\Menu Start\Programy\Autostart\zavupd32.exe () C:\wcgswa.exe E:\wcgswa.exe F:\wcgswa.exe G:\wcgswa.exe J:\wcgswa.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “UfSeAgnt.exe”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “UserFaultCheck”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]

Nawiasem mówiąc, to usunięcie tego klucza spowodowałoby tylko usunięcie tego z Autostartu, nie usuwałoby natomiast całego programu.

jessi

MaLuTeK · 23 Listopad 2009 19:40

Zrobiłem jak poradziłaś, to monit OTL`a po reboocie http://wklej.org/id/214063/, a to log po czyszczeniu: http://wklej.org/id/214075/

jessica · 23 Listopad 2009 20:33

Sądząc po logu - to jest czysto.

jessi

MaLuTeK · 23 Listopad 2009 21:38

Dzięki wielkie za pomoc i zainteresowanie w temacie :))