Logi - Centrum zabezpieczeń systemu Windows- problem złożony

Witam.

Szukam pomocy,bo nie daję sobie rady z sytuacją w moim netbooku.Od wczoraj ikonka centrum zabezpieczeń i noda32 pali się na czerwono.Najlepiej pokażą to screeny i . Dalej,co ciekawe , w panelu sterowania Aktualizacje automatyczne są ustawione w tryb automatyczny,taka anomalia.Po skanowaniu nodem nic nie wykryło,po skanie Malwarebytes Anti-malware znalazło kilka śmieci z jedną sobie nie radzi:
Wykrytych wartości rejestru: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Data: C:\WINDOWS\system32\regedit.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

Z każdym skanem jest tak samo.Ostatnia anomalia,przy wyłączaniu kompa pojawia się okno: Trwa zamykanie programu sdklhghg34ot573785,po czym ,pogram nie odpowiada,zakończ teraz lub anuluj. W efekcie intrnet w netbooku ledwo kula,a wcześniej śmigał.Czy to już jakiś na tyle poważny problem,aby formatować dysk i reinstalowaćsystem,czy może antywirusa(mam chyba oryginalną wersję bez instalki),czy może któryś z forumowiczów miał taki problem?...dodam,że jestem laikiem jeśli chodzi o bardziej skomplikowane operacje komputerowe,jak i pisanie na forum.będe wdzięczny za każdą odpowiedź.

Trwa zamykanie programu sdklhghg34ot573785

Zrób logi z OTL >/OTL-t35212/
Ta nazwa kojarzy mi się z Rootkitem Necurs.
Jeśli okaże się to prawdą, to konieczne będzie użycie ESET Necurs Remover >
http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__57587#entry57587
Ale to sprawdzimy w logu OTL.

C:\WINDOWS\system32\regedit.exe

Czy przypadkiem System nie jest "przerabiany"? W oryginalnym Systemie plik o tej nazwie znajduje się w folderze "WINDOWS", a nie w folderze "system32".

Zrób logi z OTL >http://www.forum.twe...OTL-t35212.html
Ta nazwa kojarzy mi się z Rootkitem Necurs.
Jeśli okaże się to prawdą, to konieczne będzie użycie ESET Necurs Remover >
Dezynfekcja: zbiór narzędzi usuwających - Fixitpc.pl
Ale to sprawdzimy w logu OTL.


Czy przypadkiem System nie jest "przerabiany"? W oryginalnym Systemie plik o tej nazwie znajduje się w folderze "WINDOWS", a nie w folderze "system32".

Oto logi(mam nadzieje,że o te chodzi)  OTL.Txt   92,08 KB   198 Ilość pobrań  Extras.Txt   33,35 KB   232 Ilość pobrań czy przypuszczenia się sprawdziły?...
Nic mi nie wiadomo o przeróbkach,komputer przejąłem od wujka,jakieś 2,3 lata temu i służy mi głównie do internetu,ani ja ,ani żaden z moich znajomych nie kobinowaliśmy nic z systemem.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2012-09-12 10:39:19 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys
[2012-09-12 06:32:20 | 000,108,544 | ---- | C] () -- C:\Documents and Settings\ja\tiddiszagtor.exe
[2012-09-15 20:03:03 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\hcmf.sys
O33 - MountPoints2\{540d8ea9-181e-11e0-aeff-0024813f3938}\Shell\AutoRun\command - "" = D:\w9.exe
O33 - MountPoints2\{540d8ea9-181e-11e0-aeff-0024813f3938}\Shell\open\Command - "" = D:\w9.exe
O33 - MountPoints2\{6376601c-8e31-11de-ae5d-0024813f3938}\Shell\AutoRun\command - "" = E:\ktly.exe
O33 - MountPoints2\{6376601c-8e31-11de-ae5d-0024813f3938}\Shell\open\Command - "" = E:\ktly.exe
O33 - MountPoints2\{c9ad138c-4f05-11de-ae40-0024813f3938}\Shell\AutoRun\command - "" = D:\eexyv.exe
O33 - MountPoints2\{c9ad138c-4f05-11de-ae40-0024813f3938}\Shell\open\Command - "" = D:\eexyv.exe
O33 - MountPoints2\{ccc6dbfa-8e36-11de-ae5e-002100ae76c1}\Shell\AutoRun\command - "" = E:\ktly.exe
O33 - MountPoints2\{ccc6dbfa-8e36-11de-ae5e-002100ae76c1}\Shell\open\Command - "" = E:\ktly.exe
O33 - MountPoints2\{d4deeb52-d179-11df-ae8b-0024813f3938}\Shell\AutoRun\command - "" = D:\io3yalc.exe
O33 - MountPoints2\{d4deeb52-d179-11df-ae8b-0024813f3938}\Shell\open\Command - "" = D:\io3yalc.exe
O33 - MountPoints2\{df839f3c-dc7b-11df-aea3-0024813f3938}\Shell\AutoRun\command - "" = D:\jofk1wf.exe
O33 - MountPoints2\{df839f3c-dc7b-11df-aea3-0024813f3938}\Shell\open\Command - "" = D:\jofk1wf.exe
O33 - MountPoints2\{ea20b9e0-9945-11de-ae61-0024813f3938}\Shell\AutoRun\command - "" = E:\o9bxu.exe
O33 - MountPoints2\{ea20b9e0-9945-11de-ae61-0024813f3938}\Shell\open\Command - "" = E:\o9bxu.exe
O4 - Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\PowerReg Scheduler.exe ()
O4 - HKCU..\Run: [tiddiszagtor] C:\Documents and Settings\ja\tiddiszagtor.exe ()
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
DRV - [2012-09-15 20:03:03 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\hcmf.sys -- (ljeisl)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Wprawdzie w logach nie widzę usługi, ale, tak na wszelki wypadek, użyj tego ESET Necurs Remover.

Użytkownik ordynat edytował ten post 16 09 2012 - 14:41

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Wprawdzie w logach nie widzę usługi, ale, tak na wszelki wypadek, użyj tego ESET Necurs Remover.

Oto raport  09162012_144611.txt   13,07 KB   226 Ilość pobrań i log  OTL.Txt   52,22 KB   196 Ilość pobrań.Zabieram się za ESETa.

Napisz, ja poszło z ESET'em NECURS?
Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tiddiszagtor"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Ściągnij -->Avenger.
wklej do niego ten tekst:

Files to delete:
C:\Documents and Settings\ja\tiddiszagtor.exe
C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys

Drivers to delete:
11df87ef6c405e25

Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
.

ESET Necrus Remover wykrył win32/necrus ..,sprawdziłem Malwarebytes Anti-malware,znalazł kilka trojanów,usunął je i ponownie już nic nie wykrył..ikony z powrotem świecą na zielono,przy restarcie nie ma już "Trwa zamykanie programu sdklhghg34ot573785" ,mimo że wciąż aktualizacja bazy wirusów z 1601 roku nie jest konieczna, to problem jest zażegnany. Dziękuje bardzo.

A więc jednak to był NECURS.

Pokaż jeszcze nowy log z OTL.
.

Napisz, ja poszło z ESET'em NECURS?
Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tiddiszagtor"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Ściągnij -->Avenger.
wklej do niego ten tekst:

Files to delete:
C:\Documents and Settings\ja\tiddiszagtor.exe
C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys

Drivers to delete:
11df87ef6c405e25

Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
.

W takim razie jest  avenger.txt   1,89 KB   208 Ilość pobrań i  OTL.Txt   51,97 KB   183 Ilość pobrań

Napisz, ja poszło z ESET'em NECURS?
Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tiddiszagtor"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Ściągnij -->Avenger.
wklej do niego ten tekst:

Files to delete:
C:\Documents and Settings\ja\tiddiszagtor.exe
C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys

Drivers to delete:
11df87ef6c405e25

Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
.

W takim razie jest  avenger.txt   1,89 KB   187 Ilość pobrań i  OTL.Txt   51,97 KB   180 Ilość pobrań

Driver "11df87ef6c405e25" deleted successfully.

Skoro Avenger usuwał tę usługę, to znaczy, że ESET Necurs niezbyt dokładnie działał.

C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys.vir

Spróbuj to usunąć ręcznie, a jeśli się nie uda, to:
>>Avenger >>wklej do niego ten tekst:

Files to delete:
C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys.vir

Kliknij w "Execute" i zatwierdź restart komputera.

.

Skoro Avenger usuwał tę usługę, to znaczy, że ESET Necurs niezbyt dokładnie działał.


Spróbuj to usunąć ręcznie, a jeśli się nie uda, to:
>>Avenger >>wklej do niego ten tekst:

Files to delete:
C:\WINDOWS\System32\drivers\11df87ef6c405e25.sys.vir

Kliknij w "Execute" i zatwierdź restart komputera.

.

Udało się usunąć ręcznie..,więc to nie był koniec problemu?

Udało się usunąć ręcznie..,więc to nie był koniec problemu?

Plik z przyrostkiem .vir raczej nie był już groźny, ale po co ma być na komputerze? Lepiej więc, że go usunąłeś.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie Avenger.
To chyba wszystko.

Plik z przyrostkiem .vir raczej nie był już groźny, ale po co ma być na komputerze? Lepiej więc, że go usunąłeś.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie Avenger.
To chyba wszystko.

Dzięki raz jeszcze za pomoc!