SzymPOL Opublikowano 30 Czerwca 2012 Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 Witam. Załapałem okropnego "wirusa", który uniemożliwia mi dostęp do Facebook'a i innych podobnych stron (automatyczny crash). Przeskanowałem komputer Malwarebytes Anti-Malvare (dodaje log) oczywiście z wykryciem wirusów. Dodaję także logi z OTL (ustawienia standardowe). Proszę o pomoc w usunięciu tego śmiecia. Dziękuję i pozdrawiam. P.S. Jestem w tym zielony, więc proszę o w miare zrozumiałe wyjaśnienie kolejnych kroków. mbam-log-2012-06-28 (00-18-04).txt Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 30 Czerwca 2012 Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 1. Wejdź w panel usuwania programów i odinstaluj - Akamai NetSession Interface / Babylon toolbar on IE / uTorrentControl2 Toolbar 2. Zastosuj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV:64bit: - [2012-06-27 05:07:12 | 000,044,544 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\lnixl.exe -- (lnixl) O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 7697 = C:\PROGRA~3\LOCALS~1\Temp\msqfuwz.bat [2012-06-26 18:18:38 | 000,000,000 | ---D | C] -- C:\Users\Szymon\P-7-78-8964-9648-3874 [2012-06-27 17:06:37 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\lnixl.exe [2012-06-27 05:32:52 | 000,394,609 | -H-- | M] () -- C:\Users\Szymon\AppData\Roaming\windowsgpu.exe [2012-06-27 05:32:52 | 000,262,144 | -H-- | C] () -- C:\Users\Szymon\AppData\Roaming\wingpu64.exe [2012-06-27 05:32:52 | 000,249,344 | ---- | C] () -- C:\Users\Szymon\AppData\Roaming\libcurl-4.dll [2012-06-27 05:32:52 | 000,087,054 | ---- | C] () -- C:\Users\Szymon\AppData\Roaming\libpdcurses.dll :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
SzymPOL Opublikowano 30 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 Wszystko wykonane (mam nadzieje, że log po wykonaniu skryptu nie jest potrzebny, bo nie wiem, gdzie się zapisał). AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 30 Czerwca 2012 Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 Wszystko poprawnie usunięte. Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci Odnośnik do komentarza
SzymPOL Opublikowano 1 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2012 W Extras.txt są jakieś błędy, które raczej trzeba usunąć. Proszę ostatni raz zobaczyć, czy na pewno nic się nie prześlizgnęło. Odnośnik do komentarza
Landuss Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Nie prosiłem cie o pokazywanie nowych logów. To bez sensu. Te błędy są nieistotne, każdy system ma jakieś błędy. Temat jako rozwiązany zamykam. Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 (edytowane) Otwieram ponownie temat, ponieważ nie wygląda, by problem był rozwiązany. Usługi się "wymieniły". Pierwszy log pokazywał parę 32-bit + 64-bit: SRV:64bit: - [2012-06-27 05:07:12 | 000,044,544 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\lnixl.exe -- (lnixl)SRV - [2012-06-27 17:06:37 | 000,000,000 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\lnixl.exe -- (lnixl) [2012-06-27 17:06:37 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\lnixl.exe[2012-06-27 05:07:12 | 000,044,544 | ---- | M] () -- C:\Windows\SysNative\lnixl.exe Ostatni log pokazuje regenerację tej pary pod inną nazwą: SRV:64bit: - [2012-06-30 14:24:22 | 000,044,544 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\oservn.exe -- (oservn)SRV - [2012-06-30 14:26:32 | 000,000,000 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\oservn.exe -- (oservn) [2012-06-30 14:26:32 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\oservn.exe[2012-06-30 14:24:22 | 000,044,544 | ---- | M] () -- C:\Windows\SysNative\oservn.exe 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV:64bit: - [2012-06-30 14:24:22 | 000,044,544 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\oservn.exe -- (oservn) SRV - [2012-06-30 14:26:32 | 000,000,000 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\oservn.exe -- (oservn) O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Szymon\AppData\Roaming\taskmsr\taskmsr.exe) - File not found [2012-06-27 05:05:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z wynikami usuwania pozyskany w punkcie 1. W Extras.txt są jakieś błędy, które raczej trzeba usunąć. Error - 2012-06-29 17:10:56 | Computer Name = Szymon-Komputer | Source = Service Control Manager | ID = 7034Description = Usługa Windows Layer Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. To jest nazwa wyświetlana wymienionych wyżej usług malware, które przetransformowały nazwy. Error - 2012-06-29 17:09:54 | Computer Name = Szymon-Komputer | Source = Application Popup | ID = 1060Description = Ładowanie sterownika \SystemRoot\SysWow64\Drivers\PQNTDrv.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. vs. DRV - [2002-09-16 18:14:32 | 000,004,228 | ---- | M] (PowerQuest Corporation) [Kernel | System | Stopped] -- C:\Windows\SysWow64\drivers\PQNTDRV.sys -- (PQNTDrv) Usuń tę staroć, jakim cudem takie próchno na systemie 64-bit. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklep komendę sc delete PQNTDrv. Po tym skasuj ręcznie z dysku plik C:\Windows\SysWow64\drivers\PQNTDRV.sys. Error - 2012-06-29 17:10:34 | Computer Name = Szymon-Komputer | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: TKFWFV Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. W sekcji Sterowniki niezgodne z Plug and Play wyszukaj drajwer TKFWFV (Tachyon Firewall LW Filter Driver) i odinstaluj. PS. GMER niezgodny z systemami 64-bit, o czym wyraźnie prawi ogłoszenie, to po co Ty próbujesz go uruchamiać.... . Edytowane 27 Sierpnia 2012 przez picasso 27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi