Skocz do zawartości


Zdjęcie

Logi - Komputer wolno chodzi


  • Zamknięty Temat jest zamknięty
14 odpowiedzi w tym temacie

#1 xmessixxx

xmessixxx

    Obserwator

  • 8 postów

Napisano 07 11 2010 - 11:07

Witam ostatnio komputer cos wolno chodzi, tnie sie itd.

LOG z OTL : http://wklej.org/id/414150/

  • 0

#2 Kantoro

Kantoro

    Zaawansowany użytkownik

  • 550 postów

Napisano 07 11 2010 - 11:49

1. Przeskanować porządnym programem antywirusowym(np g data,kaspersky)
2. Wykonać czyszczenie rejestru programem typu CC Cleaner lub jv16power tools
3. Wykonać scandisk (z konsoli chkdsk)
4. Wykonać defragmentacje
5. Opcjonalnie mozna sciagnac program Tune XP i wybrac defrag boot file

ps. sorry za brak polskich znakow,ale nie mam aktualnie PL klawiatury :)

  • 0

#3 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 07 11 2010 - 15:02

Masz tu kilka infekcji.
I mam przeczucie, że to nie wszystko, bo może też być wirus zarażający wszystkie pliki *.exe

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\cdaudio.sys -- (AVPsys)
DRV - [2010-11-07 08:19:48 | 000,005,109 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\jgmkin.sys -- (NdisFileServices32)
O4 - HKLM..\Run: [LanzarL2007] C:\DOCUME~1\SKRZYP~1\USTAWI~1\Temp\{84C3C2B5-F467-403F-B039-829723412CE0}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe ()
O4 - HKU\S-1-5-21-790525478-1500820517-682003330-1003..\Run: [king_mg] C:\Documents and Settings\Skrzypski\Ustawienia lokalne\Temp\mgking.exe ()
O32 - AutoRun File - [2010-11-07 08:19:50 | 000,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-07 08:19:50 | 000,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-07 08:19:50 | 000,000,057 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{44eb37a8-e984-11df-b16d-0016ec30697f}\Shell\AutoRun\command - "" = K:\apqpm.exe -- File not found
O33 - MountPoints2\{44eb37a8-e984-11df-b16d-0016ec30697f}\Shell\open\Command - "" = K:\apqpm.exe -- File not found
O33 - MountPoints2\{44eb37a9-e984-11df-b16d-0016ec30697f}\Shell\AutoRun\command - "" = L:\apqpm.exe -- File not found
O33 - MountPoints2\{44eb37a9-e984-11df-b16d-0016ec30697f}\Shell\open\Command - "" = L:\apqpm.exe -- File not found
O33 - MountPoints2\{d1a0932e-e999-11df-b16f-bad0beefface}\Shell\AutoRun\command - "" = K:\albkpq3.exe -- File not found
O33 - MountPoints2\{d1a0932e-e999-11df-b16f-bad0beefface}\Shell\open\Command - "" = K:\albkpq3.exe -- File not found
O33 - MountPoints2\C\Shell\AutoRun\command - "" = C:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\C\Shell\open\Command - "" = C:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\D\Shell\open\Command - "" = D:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\E\Shell\open\Command - "" = E:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
[2010-11-07 08:39:00 | 000,005,109 | ---- | M] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-07 08:24:52 | 000,000,057 | RHS- | M] () -- C:\autorun.inf
[2010-11-07 08:19:48 | 000,026,066 | -H-- | M] () -- C:\WINDOWS\System32\wmfptc32.dl_
[2010-11-07 08:17:10 | 000,039,936 | ---- | M] () -- C:\WINDOWS\System32\wmfptc32.dll
[2010-11-06 22:15:03 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\wtaj.dll
[2010-11-06 20:17:20 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\wuhonbp.dll
[2010-11-06 19:52:58 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\cxv.dll
[2010-11-06 17:31:19 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\gqbahgu.dll
[2010-11-06 10:08:51 | 000,005,109 | ---- | C] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-06 10:08:34 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\wmfptc32.dll
[2010-11-06 10:08:34 | 000,026,066 | -H-- | C] () -- C:\WINDOWS\System32\wmfptc32.dl_
MOD - [2010-11-07 08:17:14 | 000,113,664 | RHS- | M] () -- C:\Documents and Settings\Skrzypski\Ustawienia lokalne\Temp\mgking0.dll
MOD - [2010-11-07 08:17:10 | 000,039,936 | ---- | M] () -- C:\WINDOWS\system32\wmfptc32.dll

:Files
egmjjb.exe /alldrives
autorun.inf /alldrives
RECYCLER /alldrives
apqpm.exe /alldrives
egmjjb.exe /alldrives

:Services
jgmkin

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Użyj >Dr. Web CureIt!
Napisz, co wykrył.

Użyj USBFix, >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0 -- post nr 21
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.

Użyj >TDSSKiller >http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Oraz raporty z USBFix, TDSSKiller.
  • 0

#4 xmessixxx

xmessixxx

    Obserwator

  • 8 postów

Napisano 07 11 2010 - 15:42

USBFix : http://wklej.org/id/414327/

TDSSKiller : http://wklej.org/id/414334/

Dr.Web Curelt : http://wklej.org/id/414367/

Użytkownik xmessixxx edytował ten post 07 11 2010 - 16:10

  • 0

#5 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 07 11 2010 - 16:03

Jestem trochę zaskoczony, że TDSSKiller nic nie wykrył, bo jeden z plików wyglądał na plik tego Rootkita.
Ale skoro nie ma - to dobrze.

.

Użytkownik ordynat edytował ten post 07 11 2010 - 16:04

  • 0

#6 xmessixxx

xmessixxx

    Obserwator

  • 8 postów

Napisano 07 11 2010 - 17:09

Nowy Log OTL : http://wklej.org/id/414414/
  • 0

#7 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 07 11 2010 - 17:30

[2010-11-07 16:11:05 | 000,005,109 | ---- | M] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-07 16:07:53 | 000,026,066 | -H-- | M] () -- C:\WINDOWS\System32\wmfptc32.dl_
[2010-11-07 16:07:00 | 000,039,936 | ---- | M] () -- C:\WINDOWS\System32\wmfptc32.dll
]

Dr.Web nie popisał się, bo nie wykrył tej infekcji.
A "wmfptc32" to objaw jednej z wersji SALITY, wirusa zarażającego wszystkie pliki *.exe - więc powinien to wykryć!
OTL natomiast tego nie usunął.
Spróbuj jeszcze raz:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2010-11-07 16:07:00 | 000,039,936 | ---- | M] () -- C:\WINDOWS\system32\wmfptc32.dll
DRV - [2010-11-07 16:09:03 | 000,005,109 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\jgmkin.sys -- (NdisFileServices32)
O4 - HKLM..\Run: [LanzarL2007] C:\DOCUME~1\SKRZYP~1\USTAWI~1\Temp\{84C3C2B5-F467-403F-B039-829723412CE0}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe File not found
O4 - HKU\S-1-5-21-790525478-1500820517-682003330-1003..\Run: [king_mg] C:\DOCUME~1\SKRZYP~1\USTAWI~1\Temp\mgking.exe File not found
[2010-11-07 16:11:05 | 000,005,109 | ---- | M] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-07 16:07:53 | 000,026,066 | -H-- | M] () -- C:\WINDOWS\System32\wmfptc32.dl_
[2010-11-07 16:07:00 | 000,039,936 | ---- | M] () -- C:\WINDOWS\System32\wmfptc32.dll

:Commands
[emptytemp]
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.

Użytkownik ordynat edytował ten post 07 11 2010 - 17:33

  • 0

#8 xmessixxx

xmessixxx

    Obserwator

  • 8 postów

Napisano 07 11 2010 - 17:42

Nowy Log : http://wklej.org/id/414438/
  • 0

#9 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 07 11 2010 - 18:03

Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\system32\wmfptc32.dll
C:\WINDOWS\system32\drivers\jgmkin.sys
C:\WINDOWS\System32\wmfptc32.dl_
C:\WINDOWS\System32\ioajne.dll
C:\WINDOWS\System32\rzlqs.dll
C:\WINDOWS\System32\wtaj.dll
C:\WINDOWS\System32\wuhonbp.dll
C:\WINDOWS\System32\cxv.dll
C:\WINDOWS\System32\gqbahgu.dll
C:\WINDOWS\System32\iyjjqf.dll
C:\WINDOWS\System32\dtk.dll
C:\WINDOWS\System32\sgsfs.dll
C:\WINDOWS\QMDispatch.dll

Folders to delete:
C:\Documents and Settings\Skrzypski\Ustawienia lokalne\Temp

Registry values to delete: 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | LanzarL2007

Drivers to delete:
NdisFileServices32
jgmkin
Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
.
  • 0

#10 xmessixxx

xmessixxx

    Obserwator

  • 8 postów

Napisano 07 11 2010 - 18:15

Raport Avenger : http://wklej.org/id/414462/


Log OTL : http://wklej.org/id/414470/
  • 0

#11 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 07 11 2010 - 18:28

[2010-11-07 17:14:24 | 000,005,109 | ---- | C] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-07 17:14:16 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\wmfptc32.dll
[2010-11-07 17:14:16 | 000,026,066 | -H-- | C] () -- C:\WINDOWS\System32\wmfptc32.dl_

Jest źle, bo nawet Avenger sobie nie poradził z usunięciem tego.
Spróbuj jeszcze raz:
Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\jgmkin.sys
C:\WINDOWS\System32\wmfptc32.dll
C:\WINDOWS\System32\wmfptc32.dl_

Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.

Jeśli to dalej będzie, to trzeba będzie spróbować, czy inny miniskaner to usunie:
Użyj >Kaspersky Virus Removal Tool
.
EDIT:

>START>URUCHOM>wpisz: SYSTEM.INI, >>OK >otworzy się Notatnik >> usuń linijki:
[MCIDRV_VER]
DEVICEN1={przypadkowy numer}

>zamknij plik SYSTEM.INI >Tak

Znalazłem takie coś w instrukcji usuwania tego wirusa.
.

Użytkownik ordynat edytował ten post 07 11 2010 - 18:53

  • 0

#12 xmessixxx

xmessixxx

    Obserwator

  • 8 postów

Napisano 07 11 2010 - 20:07

Raport Avenger : http://wklej.org/id/414565/

  • 0

#13 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 07 11 2010 - 20:15

Niby Avenger usunął, ale przedtem też niby usunął, a okazało się, że to dalej było.
Czy w nowym logu OTL to dalej jest, czy zniknęło?
  • 0

#14 xmessixxx

xmessixxx

    Obserwator

  • 8 postów

Napisano 08 11 2010 - 22:53

Nowy Log z OTL : http://wklej.org/id/415291/
  • 0

#15 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 08 11 2010 - 23:24

Jak widać - to jest nieusuwalne, nie da się tego usunąć.
Może spróbuj jeszcze:
1. Wklej do Notatnika:
DISABLE NdisFileServices32
ATTRIB -R-S-H C:\WINDOWS\system32\wmfptc32.dll
ATTRIB -R-S-H C:\WINDOWS\system32\drivers\hppln.sys
ATTRIB -R-S-H C:\WINDOWS\System32\xyhbdd.dll
ATTRIB -R-S-H C:\WINDOWS\QMDispatch.dll
ATTRIB -R-S-H C:\WINDOWS\System32\khl.dll
ATTRIB -R-S-H C:\WINDOWS\System32\drivers\hlonl.sys
ATTRIB -R-S-H C:\WINDOWS\System32\drivers\jgmkin.sys
ATTRIB -R-S-H C:\WINDOWS\System32\wmfptc32.dl_
DEL C:\WINDOWS\system32\wmfptc32.dll
DEL C:\WINDOWS\system32\drivers\hppln.sys
DEL C:\WINDOWS\System32\xyhbdd.dll
DEL C:\WINDOWS\QMDispatch.dll
DEL C:\WINDOWS\System32\khl.dll
DEL C:\WINDOWS\System32\drivers\hlonl.sys
DEL C:\WINDOWS\System32\drivers\jgmkin.sys
DEL C:\WINDOWS\System32\wmfptc32.dl_
EXIT

Zapisz jako plik DEL.TXT i umieść go w C:\WINDOWS.

2. Startujesz z płytki CD XP do -->Konsoli Odzyskiwania.
Jak już będziesz w linii komend, wklepujesz:

BATCH DEL.TXT

Czekasz aż komp się samoczynnie zresetuje.
I w nowym logu sprawdź, czy to usunęło, czy nie.
.

Użytkownik ordynat edytował ten post 09 11 2010 - 02:21

  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych