Logi - Centrum zabezpieczeń systemu Windows- problem złożony
#1
Napisano 16 09 2012 - 00:22
Szukam pomocy,bo nie daję sobie rady z sytuacją w moim netbooku.Od wczoraj ikonka centrum zabezpieczeń i noda32 pali się na czerwono.Najlepiej pokażą to screeny i . Dalej,co ciekawe , w panelu sterowania Aktualizacje automatyczne są ustawione w tryb automatyczny,taka anomalia.Po skanowaniu nodem nic nie wykryło,po skanie Malwarebytes Anti-malware znalazło kilka śmieci z jedną sobie nie radzi:
Wykrytych wartości rejestru: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Data: C:\WINDOWS\system32\regedit.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
Z każdym skanem jest tak samo.Ostatnia anomalia,przy wyłączaniu kompa pojawia się okno: Trwa zamykanie programu sdklhghg34ot573785,po czym ,pogram nie odpowiada,zakończ teraz lub anuluj. W efekcie intrnet w netbooku ledwo kula,a wcześniej śmigał.Czy to już jakiś na tyle poważny problem,aby formatować dysk i reinstalowaćsystem,czy może antywirusa(mam chyba oryginalną wersję bez instalki),czy może któryś z forumowiczów miał taki problem?...dodam,że jestem laikiem jeśli chodzi o bardziej skomplikowane operacje komputerowe,jak i pisanie na forum.będe wdzięczny za każdą odpowiedź.
#2
Napisano 16 09 2012 - 07:54
Zrób logi z OTL >/OTL-t35212/Trwa zamykanie programu sdklhghg34ot573785
Ta nazwa kojarzy mi się z Rootkitem Necurs.
Jeśli okaże się to prawdą, to konieczne będzie użycie ESET Necurs Remover >
http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__57587#entry57587
Ale to sprawdzimy w logu OTL.
Czy przypadkiem System nie jest "przerabiany"? W oryginalnym Systemie plik o tej nazwie znajduje się w folderze "WINDOWS", a nie w folderze "system32".C:\WINDOWS\system32\regedit.exe
#3
Napisano 16 09 2012 - 13:58
Zrób logi z OTL >http://www.forum.twe...OTL-t35212.html
Ta nazwa kojarzy mi się z Rootkitem Necurs.
Jeśli okaże się to prawdą, to konieczne będzie użycie ESET Necurs Remover >
Dezynfekcja: zbiór narzędzi usuwających - Fixitpc.pl
Ale to sprawdzimy w logu OTL.
Czy przypadkiem System nie jest "przerabiany"? W oryginalnym Systemie plik o tej nazwie znajduje się w folderze "WINDOWS", a nie w folderze "system32".
Oto logi(mam nadzieje,że o te chodzi) OTL.Txt 92,08 KB 198 Ilość pobrań Extras.Txt 33,35 KB 232 Ilość pobrań czy przypuszczenia się sprawdziły?...
Nic mi nie wiadomo o przeróbkach,komputer przejąłem od wujka,jakieś 2,3 lata temu i służy mi głównie do internetu,ani ja ,ani żaden z moich znajomych nie kobinowaliśmy nic z systemem.
#4
Napisano 16 09 2012 - 14:36
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
[2012-09-12 10:39:19 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys
[2012-09-12 06:32:20 | 000,108,544 | ---- | C] () -- C:\Documents and Settings\ja\tiddiszagtor.exe
[2012-09-15 20:03:03 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\hcmf.sys
O33 - MountPoints2\{540d8ea9-181e-11e0-aeff-0024813f3938}\Shell\AutoRun\command - "" = D:\w9.exe
O33 - MountPoints2\{540d8ea9-181e-11e0-aeff-0024813f3938}\Shell\open\Command - "" = D:\w9.exe
O33 - MountPoints2\{6376601c-8e31-11de-ae5d-0024813f3938}\Shell\AutoRun\command - "" = E:\ktly.exe
O33 - MountPoints2\{6376601c-8e31-11de-ae5d-0024813f3938}\Shell\open\Command - "" = E:\ktly.exe
O33 - MountPoints2\{c9ad138c-4f05-11de-ae40-0024813f3938}\Shell\AutoRun\command - "" = D:\eexyv.exe
O33 - MountPoints2\{c9ad138c-4f05-11de-ae40-0024813f3938}\Shell\open\Command - "" = D:\eexyv.exe
O33 - MountPoints2\{ccc6dbfa-8e36-11de-ae5e-002100ae76c1}\Shell\AutoRun\command - "" = E:\ktly.exe
O33 - MountPoints2\{ccc6dbfa-8e36-11de-ae5e-002100ae76c1}\Shell\open\Command - "" = E:\ktly.exe
O33 - MountPoints2\{d4deeb52-d179-11df-ae8b-0024813f3938}\Shell\AutoRun\command - "" = D:\io3yalc.exe
O33 - MountPoints2\{d4deeb52-d179-11df-ae8b-0024813f3938}\Shell\open\Command - "" = D:\io3yalc.exe
O33 - MountPoints2\{df839f3c-dc7b-11df-aea3-0024813f3938}\Shell\AutoRun\command - "" = D:\jofk1wf.exe
O33 - MountPoints2\{df839f3c-dc7b-11df-aea3-0024813f3938}\Shell\open\Command - "" = D:\jofk1wf.exe
O33 - MountPoints2\{ea20b9e0-9945-11de-ae61-0024813f3938}\Shell\AutoRun\command - "" = E:\o9bxu.exe
O33 - MountPoints2\{ea20b9e0-9945-11de-ae61-0024813f3938}\Shell\open\Command - "" = E:\o9bxu.exe
O4 - Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\PowerReg Scheduler.exe ()
O4 - HKCU..\Run: [tiddiszagtor] C:\Documents and Settings\ja\tiddiszagtor.exe ()
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
DRV - [2012-09-15 20:03:03 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\hcmf.sys -- (ljeisl)
:Commands
[emptytemp]
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
Wprawdzie w logach nie widzę usługi, ale, tak na wszelki wypadek, użyj tego ESET Necurs Remover.
Użytkownik ordynat edytował ten post 16 09 2012 - 14:41
#5
Napisano 16 09 2012 - 15:27
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
Wprawdzie w logach nie widzę usługi, ale, tak na wszelki wypadek, użyj tego ESET Necurs Remover.
Oto raport 09162012_144611.txt 13,07 KB 226 Ilość pobrań i log OTL.Txt 52,22 KB 196 Ilość pobrań.Zabieram się za ESETa.
#6
Napisano 16 09 2012 - 16:38
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "tiddiszagtor"=-Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete: C:\Documents and Settings\ja\tiddiszagtor.exe C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys Drivers to delete: 11df87ef6c405e25Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
.
#7
Napisano 16 09 2012 - 16:40
#8
Napisano 16 09 2012 - 17:08
Pokaż jeszcze nowy log z OTL.
.
#9
Napisano 16 09 2012 - 17:22
W takim razie jest avenger.txt 1,89 KB 208 Ilość pobrań i OTL.Txt 51,97 KB 183 Ilość pobrańNapisz, ja poszło z ESET'em NECURS?
Do Notatnika wklej:Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "tiddiszagtor"=-Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Ściągnij -->Avenger.
wklej do niego ten tekst:Files to delete: C:\Documents and Settings\ja\tiddiszagtor.exe C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys Drivers to delete: 11df87ef6c405e25Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
.
W takim razie jest avenger.txt 1,89 KB 187 Ilość pobrań i OTL.Txt 51,97 KB 180 Ilość pobrańNapisz, ja poszło z ESET'em NECURS?
Do Notatnika wklej:Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "tiddiszagtor"=-Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Ściągnij -->Avenger.
wklej do niego ten tekst:Files to delete: C:\Documents and Settings\ja\tiddiszagtor.exe C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys Drivers to delete: 11df87ef6c405e25Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
.
#10
Napisano 16 09 2012 - 17:25
Skoro Avenger usuwał tę usługę, to znaczy, że ESET Necurs niezbyt dokładnie działał.Driver "11df87ef6c405e25" deleted successfully.
Spróbuj to usunąć ręcznie, a jeśli się nie uda, to:C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys.vir
>>Avenger >>wklej do niego ten tekst:
Files to delete: C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys.virKliknij w "Execute" i zatwierdź restart komputera.
.
#11
Napisano 16 09 2012 - 17:52
Udało się usunąć ręcznie..,więc to nie był koniec problemu?Skoro Avenger usuwał tę usługę, to znaczy, że ESET Necurs niezbyt dokładnie działał.
Spróbuj to usunąć ręcznie, a jeśli się nie uda, to:
>>Avenger >>wklej do niego ten tekst:Files to delete: C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys.virKliknij w "Execute" i zatwierdź restart komputera.
.
#12
Napisano 16 09 2012 - 17:56
Plik z przyrostkiem .vir raczej nie był już groźny, ale po co ma być na komputerze? Lepiej więc, że go usunąłeś.Udało się usunąć ręcznie..,więc to nie był koniec problemu?
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie Avenger.
To chyba wszystko.
#13
Napisano 16 09 2012 - 18:08
Dzięki raz jeszcze za pomoc!Plik z przyrostkiem .vir raczej nie był już groźny, ale po co ma być na komputerze? Lepiej więc, że go usunąłeś.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie Avenger.
To chyba wszystko.
Użytkownicy przeglądający ten temat: 1
0 użytkowników, 1 gości, 0 anonimowych