memek Opublikowano 5 Października 2010 Zgłoś Udostępnij Opublikowano 5 Października 2010 Witam mam problem. Nie wiem jaki wirus wdarł się do pamięci. System sie uruchamia jednak długo zaskakuje (do 20min). Avast pokazał komunikat "Pamięć zarażona" i dalej sie nie uruchamia. Zrobilem log Combofixem kompletnie sie na tym nie znając. Czytając Wasz regulamin wiem, że postąpiłem bezmyślnie. Problem nie zniknął wciąż jest taki sam. Załączam tego loga. Proszę o pomoc. Dodam jeszcze, iż sugerowałem sie pewnym forum i postępowałem wg ich poleceń i po zrobieniu loga sakosowałem ręcznie folder Qoobox oraz instalke Combofixa z pulpitu, jak radzili. Załączam również reszte obowiązkowych logów. ComboFix.txt OTL.Txt Extras.Txt wynikgmer.txt Odnośnik do komentarza
Landuss Opublikowano 6 Października 2010 Zgłoś Udostępnij Opublikowano 6 Października 2010 ComboFixa usuwać jeszcze nie powinieneś bo właśnie będziemy z niego korzystać gdyż jest to tutaj wskazane. Prosze pobierz go na nowo na pulpit. 1. Wejdź w start >>> uruchom >>> devmgmt.msc i z listy urządzeń usuń te które mają jakiś pytajnik lub wykrzyknik (o ile takie będą) 2. Wklej do notatnika ten tekst: RenV:: c:\program files\Camera Assistant Software for Toshiba\traybar .exe c:\program files\CardDetector\HUAWEI160\carddetector .exe c:\program files\Common Files\InstallShield\UpdateService\issch .exe c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe c:\program files\CyberLink\PowerDVD\pdvdserv .exe c:\program files\CyberLink\PowerDVD\Language\language .exe c:\program files\CyberLink\Shared files\brs .exe c:\program files\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe c:\program files\HP\HP Software Update\hpwuschd2 .exe c:\program files\Java\jre6\bin\jusched .exe c:\program files\OrangeBS\BEWInternet-PL-IEW\SessionManager\sessionmanager .exe c:\program files\Synaptics\SynTP\syntpenh .exe c:\program files\TOSHIBA\TOSHIBA Applet\thotkey .exe c:\program files\Winamp\winampa .exe c:\windows\system32\ctfmon .exe c:\windows\system32\hkcmd .exe c:\windows\system32\igfxpers .exe c:\windows\system32\igfxtray .exe c:\windows\system32\tpsmain .exe File:: c:\windows\system32\myfdtdtp.dll c:\windows\system32\dllcache\lbrtfdc.sys c:\windows\system32\drivers\lbrtfdc.sys c:\windows\system32\dllcache\i2omgmt.sys c:\windows\system32\drivers\i2omgmt.sys c:\windows\system32\dllcache\changer.sys c:\documents and settings\NetworkService\Dane aplikacji\yopgrf.dat c:\documents and settings\memek\Dane aplikacji\yopgrf.dat Folder:: c:\program files\Conduit c:\documents and settings\memek\Ustawienia lokalne\Dane aplikacji\Conduit Driver:: nasdopyiv qpyde yesinuwb NetSvc:: yesinuwb nasdopyiv qpyde Registry:: [HKEY_USERS\S-1-5-21-1417001333-117609710-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Wklejasz nowe logi z ComboFix, OTL i Gmer. Odnośnik do komentarza
memek Opublikowano 6 Października 2010 Autor Zgłoś Udostępnij Opublikowano 6 Października 2010 Ten "kernel" nie wiedziałem skąd się pojawił, usunąłem te urządzenia z devmgmt.msc, były takie. Załączam logi. W OTL nie wyskoczył mi log Extras także załączam tylko OTL.txt ComboFix.txt OTL.Txt wynikgmer2.txt Odnośnik do komentarza
Landuss Opublikowano 6 Października 2010 Zgłoś Udostępnij Opublikowano 6 Października 2010 Ten "kernel" nie wiedziałem skąd się pojawił, usunąłem te urządzenia z devmgmt.msc, były takie To właśnie taka infekcja, która się tym charakteryzuje dlatego kazałem ci to wykonać. Sytuacja uległa poprawie. 1. Z panelu sterowania dodaj/usuń programy odinstaluj śmieci - Yahoo! Toolbar / Winamp Toolbar / Ant.com Toolbar / MyAshampoo Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\memek\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1417001333-117609710-725345543-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (no name) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - No CLSID value found. O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found. O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O3 - HKU\S-1-5-21-1417001333-117609710-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
memek Opublikowano 6 Października 2010 Autor Zgłoś Udostępnij Opublikowano 6 Października 2010 Log OTL.Txt2.txt 10062010_114656.txt Odnośnik do komentarza
Landuss Opublikowano 6 Października 2010 Zgłoś Udostępnij Opublikowano 6 Października 2010 Czynności kończące działania pozostały. 1. Użyj opcji Sprzątanie z OTL. 2. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\memek\Pulpit\ComboFix.exe" /uninstall 3. W notatniku systemowym sporządź taki tekst: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-1417001333-117609710-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks] "{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"=- [-HKEY_USERS\S-1-5-21-1417001333-117609710-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}] [-HKEY_USERS\S-1-5-21-1417001333-117609710-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 4. Usuń z dysku foldery: - C:\Program Files\MyAshampoo - C:\Documents and Settings\memek\Ustawienia lokalne\Dane aplikacji\Conduit Odnośnik do komentarza
memek Opublikowano 6 Października 2010 Autor Zgłoś Udostępnij Opublikowano 6 Października 2010 Wielkie dzięki za bezinteresowną pomoc ! Odnośnik do komentarza
Rekomendowane odpowiedzi