chmur0n
(chmur0n)
23 Kwiecień 2010 07:54
#1
http://www.wklej.org/hash/70a6b27374b/ - HijackThis
http://www.wklej.org/hash/d99b1179bff/ - OTL
Chodzi o to że mam częste zamuły kompa i jeszcze wczoraj cały czas wyskakiwał mi windows defender ze skanem :F przywróciłem system to już nic nie wyskakuje ale zamuła ostra jest ,więc proszę o sprawdzenie logów. Pozdrawiam i z góry thx
W Hijackthis do skasowania:
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\Vinci\USTAWI~1\Temp\herss.exe
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
jessica
(jessica)
23 Kwiecień 2010 08:42
#3
Usuwanie dwuetapowe, bo OTL nie potrafi usuwać Rootkitów:
Ściągnij -->Avenger .
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\fxlxn.sys
Drivers to delete:
\fxlxn
Kliknij w " Execute "
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL MOD - [2010-04-23 08:50:16 | 000,087,040 | RHS- | M] () – C:\Documents and Settings\Vinci\Ustawienia lokalne\Temp\nodqq0.dll SRV - [2009-04-02 13:47:04 | 000,234,888 | ---- | M] () [Auto | Running] – C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe – (ASKUpgrade) SRV - [2009-04-02 13:47:02 | 000,464,264 | ---- | M] () [Auto | Running] – C:\Program Files\AskBarDis\bar\bin\AskService.exe – (ASKService) FF - prefs.js…browser.search.selectedEngine: “DAEMON Search” [2009-09-15 19:44:42 | 000,002,399 | ---- | M] () – C:\Documents and Settings\Vinci\Dane aplikacji\Mozilla\Firefox\Profiles\rz9gxtw5.default\searchplugins\daemon-search.xml O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Vinci\Ustawienia lokalne\Temp\herss.exe () O4 - HKCU…\Run: [nod32] C:\Documents and Settings\Vinci\Ustawienia lokalne\Temp\nodqq.exe () O32 - AutoRun File - [2010-04-23 09:48:40 | 000,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-04-23 09:48:40 | 000,000,063 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-04-23 09:48:40 | 000,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] O33 - MountPoints2{971e9e4f-32ae-11df-a5d1-001a4d4f200f}\Shell\AutoRun\command - “” = K:\ji83j.exe – File not found O33 - MountPoints2{971e9e4f-32ae-11df-a5d1-001a4d4f200f}\Shell\open\Command - “” = K:\ji83j.exe – File not found O33 - MountPoints2{a83ae127-76e1-11de-a404-001a4d4f200f}\Shell\AutoRun\command - “” = L:\abk.bat – File not found O33 - MountPoints2{a83ae127-76e1-11de-a404-001a4d4f200f}\Shell\explore\Command - “” = L:\abk.bat – File not found O33 - MountPoints2{a83ae127-76e1-11de-a404-001a4d4f200f}\Shell\open\Command - “” = L:\abk.bat – File not found O33 - MountPoints2{ed43b126-b86f-11dd-b435-806d6172696f}\Shell\AutoRun\command - “” = D:\vgyn6ewc.exe – [2010-04-23 08:50:15 | 000,128,512 | RHS- | M] () O33 - MountPoints2{ed43b126-b86f-11dd-b435-806d6172696f}\Shell\open\Command - “” = D:\vgyn6ewc.exe – [2010-04-23 08:50:15 | 000,128,512 | RHS- | M] () O33 - MountPoints2{ed43b127-b86f-11dd-b435-806d6172696f}\Shell\AutoRun\command - “” = E:\vgyn6ewc.exe – [2010-04-23 08:50:15 | 000,128,512 | RHS- | M] () O33 - MountPoints2{ed43b127-b86f-11dd-b435-806d6172696f}\Shell\open\Command - “” = E:\vgyn6ewc.exe – [2010-04-23 08:50:15 | 000,128,512 | RHS- | M] () O33 - MountPoints2{ed43b129-b86f-11dd-b435-806d6172696f}\Shell\AutoRun\command - “” = C:\vgyn6ewc.exe – [2010-04-23 08:50:15 | 000,128,512 | RHS- | M] () O33 - MountPoints2{ed43b129-b86f-11dd-b435-806d6172696f}\Shell\open\Command - “” = C:\vgyn6ewc.exe – [2010-04-23 08:50:15 | 000,128,512 | RHS- | M] () [2010-04-22 21:54:12 | 000,128,512 | RHS- | C] () – C:\vgyn6ewc.exe [2010-04-22 21:33:07 | 000,004,660 | -HS- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\iWUJi [2010-04-22 21:15:27 | 000,000,012 | ---- | C] () – C:\Documents and Settings\LocalService\Dane aplikacji\kcmdte.dat [2010-04-20 20:39:58 | 000,755,200 | ---- | C] () – C:\WINDOWS\System32\drivers\fxlxn.sys [2010-04-20 20:39:41 | 000,000,012 | ---- | C] () – C:\Documents and Settings\NetworkService\Dane aplikacji\kcmdte.dat [2010-04-20 20:39:40 | 000,000,004 | ---- | C] () – C:\Documents and Settings\Vinci\Dane aplikacji\avdrn.dat [2010-04-19 11:26:03 | 000,128,512 | RHS- | C] () – C:\r3fhr.exe [2010-04-15 21:26:41 | 000,126,976 | RHS- | C] () – C:\dqm.exe [2010-04-13 18:18:46 | 000,126,976 | RHS- | C] () – C:\wyskq6lt.exe [2010-04-11 17:33:11 | 000,117,760 | RHS- | C] () – C:\chxnxyx.exe [2010-04-11 11:35:52 | 000,116,224 | RHS- | C] () – C:\img8hi.exe [2010-04-08 20:48:55 | 000,117,248 | RHS- | C] () – C:\ba.exe [2010-04-07 15:16:34 | 000,117,248 | RHS- | C] () – C:\ysyjq1bs.exe [2010-04-01 21:59:47 | 000,116,224 | RHS- | C] () – C:\pbyqfn.exe [2010-04-01 09:09:54 | 000,115,712 | RHS- | C] () – C:\sdfqh.exe [2010-03-29 13:39:14 | 000,112,128 | RHS- | C] () – C:\mi9al8rs.exe [2010-03-26 10:53:09 | 000,132,608 | RHS- | C] () – C:\affi8l.exe [2010-03-24 21:21:19 | 000,135,168 | RHS- | C] () – C:\bbjl2g.exe :Files C:\Program Files\AskBarDis D:\bbjl2g.exe E:\bbjl2g.exe D:\affi8l.exe E:\affi8l.exe D:\mi9al8rs.exe E:\mi9al8rs.exe D:\sdfqh.exe E:\sdfqh.exe D:\pbyqfn.exe E:\pbyqfn.exe D:\ysyjq1bs.exe E:\ysyjq1bs.exe D:\ba.exe E:\ba.exe D:\img8hi.exe E:\img8hi.exe D:\chxnxyx.exe E:\chxnxyx.exe D:\wyskq6lt.exe E:\wyskq6lt.exe D:\dqm.exe E:\dqm.exe D:\r3fhr.exe E:\r3fhr.exe D:\vgyn6ewc.exe E:\vgyn6ewc.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Daj Raport z Avengera z C:\avenger.txt .
jessi
chmur0n
(chmur0n)
23 Kwiecień 2010 10:36
#4
http://www.wklej.org/id/321349/
to jest to po restarcie
to jest to z otl run scan
http://www.wklej.org/id/321355/
– Dodane 23.04.2010 (Pt) 12:47 –
http://www.wklej.org/id/321359/
aveanger
jessica
(jessica)
23 Kwiecień 2010 12:18
#5
W nowym logu nie widzę infekcji.
Ale zastanawia mnie fakt, że OTL nie miał już czego usuwać, wszystko było “not found”.Samo wszystko wyparowało?
jessi
XMan
(XMan)
23 Kwiecień 2010 12:42
#6
Dodatkowo :
Start -> Panel sterowania -> System -> Zaawansowane -> Wydajność -> Ustawienia -> Efekty wizualne - zaznacz tylko 6 pozycji - Zastosuj - OK.
kliknij aby powiększyć :
C:\Widok - Lista następnie C:\Narzędzia - Opcje folderów - Widok - Zastosuj do wszystkich folderów
Póżniej dostosowujesz odpowiednio do swoich potrzeb/uznania w Widok .
Wykonaj gruntowny scandisk :
PPM / prawym przyciskiem myszki / na dysk C - Właściwości - Narzędzia - Sprawdzanie błędów - Sprawdź
zaznacz wszystko tak jak na screenie - Rozpocznij - Tak.
Restart komputera - czekaj…
Wykonaj defragmentację .
PPM / prawym przyciskiem myszki / na dysk C - Właściwości - Narzędzia - Defragmentacja - Defragmentuj.
Analiza - Defragmentuj.
Możesz to szybciej zrobić np. za pomocą programu Auslogics Disk Defrag
lub Defraggler .
Przeczyść komputer np. programem CCleaner .
/ podczas instalacji odchacz ,Automatyczną aktualizację CCleaner" oraz ,Dodaj pasek narzędziowy Yahoo" /.
CCleanera używaj zawsze po deinstalacji programów, sterowników oraz częstym surfowaniu w internecie.
Nic nie zmieniaj w jego ustawieniach, wystarczy :
u góry po lewej ,Cleaner" na dole Analiza - Uruchom Cleaner
póżniej ,Rejestr" Skanuj by znaleźć problemy - Napraw zaznaczone problemy.
Oraz programem Eusing Free Registry Cleaner .
Wybierasz język / language / Polish.
Przewiń - Skanuj rejestr - Napraw rejestr.