klimrewop Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Witam! Mój znajomy dał mi do naprawy komputer z dziwnym problemem, który widzę, że jest tutaj znany. Obecnie jestem w trybie awaryjnym z obsługą sieci. System operacyjny to Windows XP. Oto logi: OTL.txt: http://pastebin.com/78Tx4gzP Extras.txt: http://pastebin.com/KzykbMP6 Z góry dziękuję za pomoc. Odnośnik do komentarza
Landuss Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) [2011-10-10 19:56:38 | 000,002,227 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [simpdata] C:\Documents and Settings\Rafał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2582\simpdata.exe () :Files C:\WINDOWS\System32\vcmgcd32.dll C:\WINDOWS\System32\vcmgcd32.dl_ C:\Documents and Settings\Rafał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2582 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / IncrediMail MediaBar 2 Toolbar / isoHunt Toolbar / Softonic-Polska Toolbar / Yahoo! Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
klimrewop Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Witam, mogę już się zalogować na konto użytkownika. Zamieszczam nowy log. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Tyle, że te dwa pliki wróciły: [2012-07-28 10:16:59 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\vcmgcd32.dll [2012-07-28 10:16:59 | 000,017,878 | -H-- | C] () -- C:\WINDOWS\System32\vcmgcd32.dl_ Kto wie czy tu nie ma infekcji w wykonywalnych. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. Daj znac co on wykazał. Wykonaj też log z Gmer Odnośnik do komentarza
klimrewop Opublikowano 29 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lipca 2012 Czy może mieć to znaczenie, że pierwszy raz OTL uruchomiłem z konta administratora, a drugi z konta użytkownika i wybrałem "uruchom jako Administrator"? W załącznikach logi. SalityKiller uruchomiony został raz. Virus.Win32.Sality.aa,ae,ag,bh removing tool, Kaspersky Lab 2010 version 1.3.6.0 Nov 12 2010 10:13:11 scanning threads ... scanning processes ... fixing registry ... SalityRegCure: Restoring general registry keys SalityRegCure: Fixing system.ini scanning drives ... Monitoring thread started scanning C:\ ... scanning D:\ ... Monitoring thread stopped completed Infected files: 0 Infected processes: 0 Infected threads: 0 Cured files: 0 Will be cured on reboot: 0 Executed registry scripts: 1 Aby kontynuować, naciśnij dowolny klawisz . . . gmer.txt Odnośnik do komentarza
Landuss Opublikowano 29 Lipca 2012 Zgłoś Udostępnij Opublikowano 29 Lipca 2012 Nic te logi nie wykazują. Nie wiem tylko dlaczego tamte obiekty powróciły. Może zmiana metody. 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: C:\WINDOWS\System32\vcmgcd32.dll C:\WINDOWS\System32\vcmgcd32.dl_ Klik w Execute Now. Zatwierdź restart komputera. 2. Prezentujesz log z usuwania BlitzBlank oraz nowy z OTL. Odnośnik do komentarza
klimrewop Opublikowano 30 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2012 Proszę, logi: BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\vcmgcd32.dll", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\vcmgcd32.dl_", destinationFile = "(null)", replaceWithDummy = 0 OTL.Txt Odnośnik do komentarza
klimrewop Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Wiem, że nie powinno się podbijać postów, ale jak rzekłem komputer nie jest mój, a znajomy się niecierpliwi Odnośnik do komentarza
Landuss Opublikowano 4 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Wiem, ale to po prostu dalej siedzi jak przylepione i nie wiem dlaczego. Spróbuj wykonać skan za pomocą Kaspersky Virus Removal Tool i zobacz czy coś znajdzie. Odnośnik do komentarza
klimrewop Opublikowano 7 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 7 Sierpnia 2012 Temat można zamknąć, przez moją opieszałość kolega wczoraj wziął komputer i nic więcej nie zrobię. Odnośnik do komentarza
Rekomendowane odpowiedzi