Kilka problemów z komputerem

[cruunchips]

Witam. Mam problem z komputerem brata. Wyłączał się sam, więc zdecydowałem sie na przeistalowanie systemu co pomogło, jednak nadal występują problemy takie jak: dysk inny niż c przy próbie uruchomienia pojawia się, że należy wybrać program jakim się go uruchomi ( da się otworzyć przez opcje "eksploruj") no i drugi problem: nie da się uruchomić menadżera zadań( zablokowany przez administratora). Wstawiam logi

Kod: Zaznacz wszystko

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-02-10 18:45:18
Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-c WDC_WD800JB-00ETA0 rev.77.07W77
Running: 6zo3i5kx.exe; Driver: C:\DOCUME~1\Konrad\USTAWI~1\Temp\kfeyakob.sys


---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1312] kernel32.dll!SetUnhandledExceptionFilter  7C8449FD 4 Bytes  [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                              eamon.sys (Amon monitor/ESET)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                           epfwtdir.sys

---- Files - GMER 1.0.15 ----

File            C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0000\adoc.bx-j   362 bytes
File            C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0000\md.dat-j    3346 bytes
File            C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0000\url.axx-j   1576 bytes
File            C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0000\w.axx-j     104129 bytes
File            C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0000\wb.vx-j     12760 bytes

---- EOF - GMER 1.0.15 ----


http://www.wklej.org/hash/b02a288521e/
http://www.wklej.org/hash/a4717453a68/

[wojtas]

Infekcja z pendriva:
Podłącz urządzenia które podłączasz do kompa (pendrive, telefon )
Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found
O7 - HKU\S-1-5-21-343818398-2052111302-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-21-343818398-2052111302-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O32 - AutoRun File - [2011-02-10 17:59:10 | 000,000,293 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-12-31 17:20:49 | 000,000,000 | ---D | M] - D:\Autodesk -- [ NTFS ]
O32 - AutoRun File - [2011-02-10 17:59:10 | 000,000,329 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2005-09-06 17:03:32 | 000,007,928 | R--- | M] () - F:\Autorun.apm -- [ CDFS ]
O32 - AutoRun File - [2002-08-12 13:30:00 | 001,126,400 | R--- | M] (Indigo Rose Corporation) - F:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [1998-08-30 03:57:46 | 000,002,998 | R--- | M] () - F:\Autorun.ico -- [ CDFS ]
O32 - AutoRun File - [2005-09-06 17:03:33 | 000,000,047 | R--- | M] () - F:\autorun.inf -- [ CDFS ]

:Files
vbmxmy.pif /alldrives
autorun.inf /alldrives

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\Konrad\USTAWI~1\Temp\dqrcsf.exe"=-
"C:\DOCUME~1\Konrad\USTAWI~1\Temp\winygstyx.exe"=-
"C:\DOCUME~1\Konrad\USTAWI~1\Temp\winqhtcbf.exe"=-
"D:\wbyvv.exe"=-

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + robisz skan: http://www.fixitpc.pl/picasso/download/malware/sk.zip (skanujesz dopóki nic nie będzie znajdował ) i tym http://www.freedrweb.com/download+cureit/ (1 skan : z Weba dajesz raport)

Autor postu otrzymał pochwałę

[cruunchips]

Wklejam logi:

Kod: Zaznacz wszystko

All processes killed
========== OTL ==========
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nltide_2 deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nltide_2 not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nltide_2 deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nltide_2 deleted successfully.
Registry value HKEY_USERS\S-1-5-21-343818398-2052111302-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\S-1-5-21-343818398-2052111302-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
C:\autorun.inf moved successfully.
File  not found.
D:\autorun.inf moved successfully.
File move failed. F:\Autorun.apm scheduled to be moved on reboot.
File move failed. F:\Autorun.exe scheduled to be moved on reboot.
File move failed. F:\Autorun.ico scheduled to be moved on reboot.
File move failed. F:\autorun.inf scheduled to be moved on reboot.
========== FILES ==========
C:\vbmxmy.pif moved successfully.
vbmxmy.pif not found in D:\
vbmxmy.pif not found in F:\
vbmxmy.pif not found in G:\
vbmxmy.pif not found in H:\
autorun.inf not found in C:\
autorun.inf not found in D:\
File move failed. F:\autorun.inf scheduled to be moved on reboot.
G:\autorun.inf moved successfully.
H:\autorun.inf moved successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"SuperHidden"|dword:00000001 /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"Hidden"|dword:00000001 /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"ShowSuperHidden"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\\"CheckedValue"|dword:00000001 /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\ deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\\@|"" /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\DOCUME~1\Konrad\USTAWI~1\Temp\dqrcsf.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\DOCUME~1\Konrad\USTAWI~1\Temp\winygstyx.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\DOCUME~1\Konrad\USTAWI~1\Temp\winqhtcbf.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\D:\wbyvv.exe deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Konrad
->Temp folder emptied: 627 bytes
->Temporary Internet Files folder emptied: 126457 bytes
->Opera cache emptied: 7639453 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352022 bytes
%systemroot%\System32 .tmp files removed: 2596 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 2164959168 bytes

Total Files Cleaned = 2 074,00 mb


[EMPTYFLASH]

User: All Users

User: Default User

User: Konrad

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 02112011_013556

Files\Folders moved on Reboot...
File move failed. F:\Autorun.apm scheduled to be moved on reboot.
File move failed. F:\Autorun.exe scheduled to be moved on reboot.
File move failed. F:\Autorun.ico scheduled to be moved on reboot.
File move failed. F:\autorun.inf scheduled to be moved on reboot.

Registry entries deleted on Reboot...


Logi OTL:
http://www.wklej.org/hash/def7072f2ad/
http://www.wklej.org/hash/bf53d3b5681/

Jeśli chodzi o Weba to wyświetliło się, że nic nie wykrył.

[wojtas]

a salitykiller ? nie sypie Ci się Nod32? bo dziennik zdarzeń coś podpowiada; przeinstaluj tego antywira (najpierw odinstaluj)

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu


Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)
>>> Internet Explorer 8
>>> Java™ 6 Update 23



jak sytuacja z kompem ?

[cruunchips]

- Saitykillerem skanowałem dopóki nic nie wykrywał ( troche tego syfu było)
- Generalnie nod32 nie sprawia problemów ale zrobiłem reinstal
- OTL z opcją sprzątania był
- Optymalizacja wykonana
I wszystko inne też. Jak narazie wszystko jest ok, widoczne przeze mnie wcześniej błędy zostały usunięte, czyli chyba jest dobrze