Logi - Komputer wolno chodzi
#1
Napisano 07 11 2010 - 11:07
#2
Napisano 07 11 2010 - 11:49
2. Wykonać czyszczenie rejestru programem typu CC Cleaner lub jv16power tools
3. Wykonać scandisk (z konsoli chkdsk)
4. Wykonać defragmentacje
5. Opcjonalnie mozna sciagnac program Tune XP i wybrac defrag boot file
ps. sorry za brak polskich znakow,ale nie mam aktualnie PL klawiatury
#3
Napisano 07 11 2010 - 15:02
I mam przeczucie, że to nie wszystko, bo może też być wirus zarażający wszystkie pliki *.exe
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\cdaudio.sys -- (AVPsys)
DRV - [2010-11-07 08:19:48 | 000,005,109 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\jgmkin.sys -- (NdisFileServices32)
O4 - HKLM..\Run: [LanzarL2007] C:\DOCUME~1\SKRZYP~1\USTAWI~1\Temp\{84C3C2B5-F467-403F-B039-829723412CE0}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe ()
O4 - HKU\S-1-5-21-790525478-1500820517-682003330-1003..\Run: [king_mg] C:\Documents and Settings\Skrzypski\Ustawienia lokalne\Temp\mgking.exe ()
O32 - AutoRun File - [2010-11-07 08:19:50 | 000,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-07 08:19:50 | 000,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-07 08:19:50 | 000,000,057 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{44eb37a8-e984-11df-b16d-0016ec30697f}\Shell\AutoRun\command - "" = K:\apqpm.exe -- File not found
O33 - MountPoints2\{44eb37a8-e984-11df-b16d-0016ec30697f}\Shell\open\Command - "" = K:\apqpm.exe -- File not found
O33 - MountPoints2\{44eb37a9-e984-11df-b16d-0016ec30697f}\Shell\AutoRun\command - "" = L:\apqpm.exe -- File not found
O33 - MountPoints2\{44eb37a9-e984-11df-b16d-0016ec30697f}\Shell\open\Command - "" = L:\apqpm.exe -- File not found
O33 - MountPoints2\{d1a0932e-e999-11df-b16f-bad0beefface}\Shell\AutoRun\command - "" = K:\albkpq3.exe -- File not found
O33 - MountPoints2\{d1a0932e-e999-11df-b16f-bad0beefface}\Shell\open\Command - "" = K:\albkpq3.exe -- File not found
O33 - MountPoints2\C\Shell\AutoRun\command - "" = C:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\C\Shell\open\Command - "" = C:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\D\Shell\open\Command - "" = D:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
O33 - MountPoints2\E\Shell\open\Command - "" = E:\apqpm.exe -- [2010-10-31 08:20:26 | 000,204,288 | RHS- | M] ()
[2010-11-07 08:39:00 | 000,005,109 | ---- | M] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-07 08:24:52 | 000,000,057 | RHS- | M] () -- C:\autorun.inf
[2010-11-07 08:19:48 | 000,026,066 | -H-- | M] () -- C:\WINDOWS\System32\wmfptc32.dl_
[2010-11-07 08:17:10 | 000,039,936 | ---- | M] () -- C:\WINDOWS\System32\wmfptc32.dll
[2010-11-06 22:15:03 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\wtaj.dll
[2010-11-06 20:17:20 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\wuhonbp.dll
[2010-11-06 19:52:58 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\cxv.dll
[2010-11-06 17:31:19 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\gqbahgu.dll
[2010-11-06 10:08:51 | 000,005,109 | ---- | C] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-06 10:08:34 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\wmfptc32.dll
[2010-11-06 10:08:34 | 000,026,066 | -H-- | C] () -- C:\WINDOWS\System32\wmfptc32.dl_
MOD - [2010-11-07 08:17:14 | 000,113,664 | RHS- | M] () -- C:\Documents and Settings\Skrzypski\Ustawienia lokalne\Temp\mgking0.dll
MOD - [2010-11-07 08:17:10 | 000,039,936 | ---- | M] () -- C:\WINDOWS\system32\wmfptc32.dll
:Files
egmjjb.exe /alldrives
autorun.inf /alldrives
RECYCLER /alldrives
apqpm.exe /alldrives
egmjjb.exe /alldrives
:Services
jgmkin
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
[Reboot]
Użyj >Dr. Web CureIt!
Napisz, co wykrył.
Użyj USBFix, >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0 -- post nr 21
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.
Użyj >TDSSKiller >http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Oraz raporty z USBFix, TDSSKiller.
#4
Napisano 07 11 2010 - 15:42
TDSSKiller : http://wklej.org/id/414334/
Dr.Web Curelt : http://wklej.org/id/414367/
Użytkownik xmessixxx edytował ten post 07 11 2010 - 16:10
#5
Napisano 07 11 2010 - 16:03
Ale skoro nie ma - to dobrze.
.
Użytkownik ordynat edytował ten post 07 11 2010 - 16:04
#7
Napisano 07 11 2010 - 17:30
Dr.Web nie popisał się, bo nie wykrył tej infekcji.[2010-11-07 16:11:05 | 000,005,109 | ---- | M] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-07 16:07:53 | 000,026,066 | -H-- | M] () -- C:\WINDOWS\System32\wmfptc32.dl_
[2010-11-07 16:07:00 | 000,039,936 | ---- | M] () -- C:\WINDOWS\System32\wmfptc32.dll
]
A "wmfptc32" to objaw jednej z wersji SALITY, wirusa zarażającego wszystkie pliki *.exe - więc powinien to wykryć!
OTL natomiast tego nie usunął.
Spróbuj jeszcze raz:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
MOD - [2010-11-07 16:07:00 | 000,039,936 | ---- | M] () -- C:\WINDOWS\system32\wmfptc32.dll
DRV - [2010-11-07 16:09:03 | 000,005,109 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\jgmkin.sys -- (NdisFileServices32)
O4 - HKLM..\Run: [LanzarL2007] C:\DOCUME~1\SKRZYP~1\USTAWI~1\Temp\{84C3C2B5-F467-403F-B039-829723412CE0}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe File not found
O4 - HKU\S-1-5-21-790525478-1500820517-682003330-1003..\Run: [king_mg] C:\DOCUME~1\SKRZYP~1\USTAWI~1\Temp\mgking.exe File not found
[2010-11-07 16:11:05 | 000,005,109 | ---- | M] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-07 16:07:53 | 000,026,066 | -H-- | M] () -- C:\WINDOWS\System32\wmfptc32.dl_
[2010-11-07 16:07:00 | 000,039,936 | ---- | M] () -- C:\WINDOWS\System32\wmfptc32.dll
:Commands
[emptytemp]
[Reboot]
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
Użytkownik ordynat edytował ten post 07 11 2010 - 17:33
#9
Napisano 07 11 2010 - 18:03
wklej do niego ten tekst:
Files to delete: C:\WINDOWS\system32\wmfptc32.dll C:\WINDOWS\system32\drivers\jgmkin.sys C:\WINDOWS\System32\wmfptc32.dl_ C:\WINDOWS\System32\ioajne.dll C:\WINDOWS\System32\rzlqs.dll C:\WINDOWS\System32\wtaj.dll C:\WINDOWS\System32\wuhonbp.dll C:\WINDOWS\System32\cxv.dll C:\WINDOWS\System32\gqbahgu.dll C:\WINDOWS\System32\iyjjqf.dll C:\WINDOWS\System32\dtk.dll C:\WINDOWS\System32\sgsfs.dll C:\WINDOWS\QMDispatch.dll Folders to delete: C:\Documents and Settings\Skrzypski\Ustawienia lokalne\Temp Registry values to delete: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | LanzarL2007 Drivers to delete: NdisFileServices32 jgmkinKliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
.
#10
Napisano 07 11 2010 - 18:15
#11
Napisano 07 11 2010 - 18:28
Jest źle, bo nawet Avenger sobie nie poradził z usunięciem tego.[2010-11-07 17:14:24 | 000,005,109 | ---- | C] () -- C:\WINDOWS\System32\drivers\jgmkin.sys
[2010-11-07 17:14:16 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\wmfptc32.dll
[2010-11-07 17:14:16 | 000,026,066 | -H-- | C] () -- C:\WINDOWS\System32\wmfptc32.dl_
Spróbuj jeszcze raz:
Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete: C:\WINDOWS\System32\drivers\jgmkin.sys C:\WINDOWS\System32\wmfptc32.dll C:\WINDOWS\System32\wmfptc32.dl_Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Jeśli to dalej będzie, to trzeba będzie spróbować, czy inny miniskaner to usunie:
Użyj >Kaspersky Virus Removal Tool
.
EDIT:
Znalazłem takie coś w instrukcji usuwania tego wirusa.>START>URUCHOM>wpisz: SYSTEM.INI, >>OK >otworzy się Notatnik >> usuń linijki:
[MCIDRV_VER]
DEVICEN1={przypadkowy numer}
>zamknij plik SYSTEM.INI >Tak
.
Użytkownik ordynat edytował ten post 07 11 2010 - 18:53
#13
Napisano 07 11 2010 - 20:15
Czy w nowym logu OTL to dalej jest, czy zniknęło?
#15
Napisano 08 11 2010 - 23:24
Może spróbuj jeszcze:
1. Wklej do Notatnika:
DISABLE NdisFileServices32 ATTRIB -R-S-H C:\WINDOWS\system32\wmfptc32.dll ATTRIB -R-S-H C:\WINDOWS\system32\drivers\hppln.sys ATTRIB -R-S-H C:\WINDOWS\System32\xyhbdd.dll ATTRIB -R-S-H C:\WINDOWS\QMDispatch.dll ATTRIB -R-S-H C:\WINDOWS\System32\khl.dll ATTRIB -R-S-H C:\WINDOWS\System32\drivers\hlonl.sys ATTRIB -R-S-H C:\WINDOWS\System32\drivers\jgmkin.sys ATTRIB -R-S-H C:\WINDOWS\System32\wmfptc32.dl_ DEL C:\WINDOWS\system32\wmfptc32.dll DEL C:\WINDOWS\system32\drivers\hppln.sys DEL C:\WINDOWS\System32\xyhbdd.dll DEL C:\WINDOWS\QMDispatch.dll DEL C:\WINDOWS\System32\khl.dll DEL C:\WINDOWS\System32\drivers\hlonl.sys DEL C:\WINDOWS\System32\drivers\jgmkin.sys DEL C:\WINDOWS\System32\wmfptc32.dl_ EXIT
Zapisz jako plik DEL.TXT i umieść go w C:\WINDOWS.
2. Startujesz z płytki CD XP do -->Konsoli Odzyskiwania.
Jak już będziesz w linii komend, wklepujesz:
BATCH DEL.TXT
Czekasz aż komp się samoczynnie zresetuje.
I w nowym logu sprawdź, czy to usunęło, czy nie.
.
Użytkownik ordynat edytował ten post 09 11 2010 - 02:21
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych