Kiroo Opublikowano 1 Lipca 2010 Zgłoś Udostępnij Opublikowano 1 Lipca 2010 Witam! Wystąpił problem z komputerem. Odsyłam do tematu, w którym próbowaliśmy z użytkownikiem Morda poradzić sobie z problemem: [szukaj]/index.php?showtopic=138870 Nie mogę wykonać logów z GMER ani RootRepeal. W przypadku programu GMER prędzej czy później następuje natychmiastowe wyłączenie komputera. Dysponuję tylko fragmentami logów wykonanych przed wyłączeniem komputera. RootRepeal nie dał rady zainicjować działania przez cztery godziny. Stare gg nie działa, ICQ też nie. Mozilli zdarza się wyłączyć. Nieraz po włączeniu komputera explorer.exe zużywa prawie całą pamięć procesora. Wówczas wyłączam go przez menedżer zadań i ponownie uruchamiam, wówczas działa poprawnie. msmsgs.exe też nieraz pochłania dużą część zasobów, wówczas go wyłączam bez ponownego uruchomienia. Od czasu do czasu zdarza się, że znów pojawia się komunikat o błędzie services.exe i odliczanie do wyłączenia komputera. Dzieje się to, jak zauważyłem, gdy np. podczas uruchamiania komputer się zawiesi i muszę zrobić reset. Wówczas pomaga wyłączenie komputera i włączenie go ponownie, ale nie przez Start->Uruchom ponownie, tylko przez frontalny power-przycisk komputera. Obecnie nie mam antywirusa, który ostatnio zainstalowany po jakimś czasie sprawnego działania zaczął zżerać pamięć procesora, w wyniku czego go odinstalowałem. Mój odtwarzacz MP3 czasami zostaje zarzucony ukrytymi śmieciami o rozszerzeniu .exe, wykrywanymi przez antywirus innego komputera. Dołączam raport z OTL. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 1 Lipca 2010 Zgłoś Udostępnij Opublikowano 1 Lipca 2010 Spróbuj wykonać log z Gmer w trybie awaryjnym. Wyłącz też wszelkie programy zabezpieczające bo według logów tu jest Panda a mówisz, że odinstalowałeś więc?. Log ten musimy obejrzeć bo to jest podstawa do stwierdzenia czy tu rzeczywiście jest poważna infekcja czy nie ma. Na samym OTL nie można bazować. Odnośnik do komentarza
Kiroo Opublikowano 5 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2010 Aktualnie mam loga sprzed wyłaczenia komputera, to znaczy zapisałem go w trakcie skanowania, nim wystąpił błąd, może się przyda? Nie zobaczyłem opcji włączenia GMERa w trybie awaryjnym, nie było tego przycisku... Pandę odinstalowałem przez panel sterowania, więc na moje oko nie powinno jej być... Chyba, że to procesy pozostałe jeszcze z innych instalacji? http://wklej.org/id/360579/ Jeszcze kawałek tego loga, który nie mogłem "wkleić": .text C:\WINDOWS\explorer.exe[3956] WININET.dll!InternetWriteFile 3FD660F6 5 Bytes JMP 0EA75710 .text C:\WINDOWS\explorer.exe[3956] WININET.dll!InternetCheckConnectionA 3FD66664 5 Bytes JMP 0EA7C127 .text C:\WINDOWS\explorer.exe[3956] WININET.dll!HttpSendRequestExA 3FD7A70A 5 Bytes JMP 0EA74894 .text C:\WINDOWS\explorer.exe[3956] WININET.dll!HttpEndRequestA 3FD7A812 5 Bytes JMP 0EA7C278 .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!sendto 71A52F51 6 Bytes JMP 5F100F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!recvfrom 71A52FF7 6 Bytes JMP 5F0A0F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!closesocket 71A53E2B 6 Bytes JMP 5F220F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!connect 71A54A07 6 Bytes JMP 5F040F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!send 71A54C27 6 Bytes JMP 5F0D0F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSARecv 71A54CB5 6 Bytes JMP 5F160F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!recv 71A5676F 6 Bytes JMP 5F070F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSASend 71A568FA 6 Bytes JMP 5F1C0F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSARecvFrom 71A5F66A 6 Bytes JMP 5F190F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSASendTo 71A60AAD 6 Bytes JMP 5F1F0F5A .text C:\WINDOWS\explorer.exe[3956] ws2_32.dll!WSAConnect 71A60C81 6 Bytes JMP 5F130F5A .text C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 0EA76C0C .text C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 0EA77330 .text C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 0EA774C4 .text C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!NtVdmControl 7C90DF1E 5 Bytes JMP 0EA773E8 .text C:\Documents and Settings\ADMIN\Moje dokumenty\Downloads\4mgk16dr.exe[4020] ntdll.dll!LdrLoadDll 7C9163C3 5 Bytes JMP 0EA7227B .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 0EA06C0C .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 0EA07330 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 0EA074C4 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!NtVdmControl 7C90DF1E 5 Bytes JMP 0EA073E8 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ntdll.dll!LdrLoadDll 7C9163C3 5 Bytes JMP 0EA0227B .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] ADVAPI32.dll!CryptEncrypt 77DDE360 5 Bytes JMP 0EA05330 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] USER32.dll!TranslateMessage 7E368BF6 5 Bytes JMP 0EA04566 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!sendto 71A52F51 6 Bytes JMP 5F100F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!recvfrom 71A52FF7 6 Bytes JMP 5F0A0F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!closesocket 71A53E2B 6 Bytes JMP 5F220F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!connect 71A54A07 6 Bytes JMP 5F040F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!send 71A54C27 6 Bytes JMP 0EA0BB21 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSARecv 71A54CB5 6 Bytes JMP 5F160F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!recv 71A5676F 6 Bytes JMP 5F070F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSASend 71A568FA 6 Bytes JMP 5F1C0F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSARecvFrom 71A5F66A 6 Bytes JMP 5F190F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSASendTo 71A60AAD 6 Bytes JMP 5F1F0F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] WS2_32.dll!WSAConnect 71A60C81 6 Bytes JMP 5F130F5A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetQueryOptionA 3FD00049 5 Bytes JMP 0EA0C14B .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetSetOptionA 3FD03302 5 Bytes JMP 0EA0C139 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetReadFile 3FD0654B 5 Bytes JMP 0EA0C21A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpQueryInfoA 3FD0878D 5 Bytes JMP 0EA0CE1A .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetCloseHandle 3FD09088 5 Bytes JMP 0EA0D0A2 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetQueryDataAvailable 3FD0BF7F 5 Bytes JMP 0EA0CF8F .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpAddRequestHeadersA 3FD0CF46 5 Bytes JMP 0EA0C15D .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpOpenRequestA 3FD0D508 5 Bytes JMP 0EA0CCC9 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetConnectA 3FD0DEAE 5 Bytes JMP 0EA0C115 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpSendRequestW 3FD0FABE 5 Bytes JMP 0EA04813 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetOpenA 3FD1D690 5 Bytes JMP 0EA0C0F1 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetSetStatusCallback 3FD1DCC8 5 Bytes JMP 0EA0C103 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpSendRequestA 3FD1EE89 5 Bytes JMP 0EA04792 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetReadFileExA 3FD23381 5 Bytes JMP 0EA0CFF6 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetSetFilePointer 3FD659F1 5 Bytes JMP 0EA0C266 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetWriteFile 3FD660F6 5 Bytes JMP 0EA05710 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!InternetCheckConnectionA 3FD66664 5 Bytes JMP 0EA0C127 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpSendRequestExA 3FD7A70A 5 Bytes JMP 0EA04894 .text C:\Program Files\Microsoft ActiveSync\Wcescomm.exe[4036] wininet.dll!HttpEndRequestA 3FD7A812 5 Bytes JMP 0EA0C278 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0C 0x50 0xA6 0x6E ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x58 0x20 0xAD 0xC2 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x82 0xA3 0x8D 0xF0 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x1D 0xF0 0x5E 0xE5 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0C 0x50 0xA6 0x6E ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@cleansweep.exe C:\cleansweep.exe\cleansweep.exe ---- Files - GMER 1.0.15 ---- File C:\Program Files\BearShare\db\config.bin 3103 bytes Odnośnik do komentarza
Landuss Opublikowano 5 Lipca 2010 Zgłoś Udostępnij Opublikowano 5 Lipca 2010 1. Według logów Panda wcale nie jest odinstalowana. Prosze użyć narzędzia Panda Uninstaller pod wersje 2009 taką jaką posiadasz. 2. Tu prawdopodobnie jest nadal infekcja widoczna w Gmer: Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@cleansweep.exe C:\cleansweep.exe\cleansweep.exe Zamontuj następujący skrypt do OTL: :Processes killallprocesses :Files C:\cleansweep.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "cleansweep.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] [clearallrestorepoints] 3. Wklejasz nowe logi z OTL i nowy log z Gmer. Odnośnik do komentarza
Kiroo Opublikowano 13 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2010 Załączam. Gmer dał radę do końca przeprowadzić skanowanie, ale niemal nic nie wykazał. Po włączeniu komputera przez jakieś dwie-trzy minuty nie działa Internet, także na pozostałych urządzeniach korzystających z wi-fi. Na C:/ istnieje folder cleansweep.exe, a wewnątrz niego pliki cleansweep.exe i config.bin. Oprócz tego przy zamykaniu Mozilli zazwyczaj wyskakuje komunikat Javy, żewystąpiła próba modyfikacji i czy chcę zapobiec zmianie. OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
Rekomendowane odpowiedzi