x-kom hosting

Wirus m.in. uniemożliwiający/utrudniający pracę programów.

Sympatyczna_Defragmentacja
utworzono
utworzono

Witam wszystkich.

 

Zmagam się od wczoraj z następującymi problemami:

 

Siostra poskarżyła mi się na brak dźwięku w systemie, który wcześniej działał. Chcąc sprawdzić

najbardziej oczywiste przyczyny takiego stanu rzeczy, zauważyłam, że zniknął także pasek zadań.

Przywróciłam zatem pasek [który muszę przywracać za każdym razem po uruchomieniu systemu (!)],

ale w prawym dolnym rogu tego paska nie ma niczego, oprócz godziny i ikony wskazującej na ładowanie baterii. Nie mogę uruchomić większości programów. Nie uruchamia Avasta, nie uruchamia anty-malware'owego software'u, McAfee Security Scan Plus też nie - zawsze wyskakuje jakieś okienko (nigdy z tą samą treścią, zawsze wskazuje jako problem coś innego). Jako że steruję systemem siostry zdalnie, poprosiłam, żeby zrobiła dla mnie jednego screena. Jednak Paint nie pozwala jej zapisywać plików. Nie uruchamia się Internet Explorer (którego potrzebowałam do zrobienia skanu systemu online, korzystam z Firefox'a, który - o dziwo! - uruchamia się). Nie mogę zminimalizować okien. Kiedy minimalizuję, one się po prostu zamykają. Myślałam, że nie zostają na pasku zadań i być może działają w tle. Menedżer zadań tego nie potwierdza. W procesach jednak zauważyłam coś, co zwróciło moją uwagę, a czego nie mogę zamknąć. Proces nazywa się lsass.exe - wiem, że to istotny proces systemowy, drogą poszukiwań przez Google'a wszystko powinno wskazywać na Sassera, ale objawy u mnie różnią się jednak, bo system mi się nie wyłącza i nie wyłączał ani razu po tych 60 sek. Nie wiem zatem, z czym i jak walczyć. Wolałabym uniknąć formata i tego typu działań, których nie mogę zrobić zdalnie. Siostra tego nie ogarnie i nie ma na miejscu nikogo, kto mógłby jej pomóc. Ja jestem o 600 km za daleko.

 

Próbowałam zaktualizować zabezpieczenia dla systemu, ale przy instalowaniu wyskoczył komunikat, że wersja zabezpieczeń na tym komputerze jest nowsza. Użyłam też oprogramowania ze strony Microsoft, do wyszukiwania takich robaków kategorii Blaster, Sasser etc. - nic nie znalazło. Czysto.

 

Zamieszczam logi z OTL, RSIT i GMER.

Natsuki Kuga
komentarz
komentarz

1. Wykonaj ten skrypt w OTL (instrukcja: http://www.forumpc.pl/topic/277786-nieingerencyjne-narz%C4%99dzia-do-tworzenia-log%C3%B3w-systemowych/#entry1683607 ):


:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=TOSHIBAXMK4025GAS_X4G60049SXXX4G60049S&ts=1381747428
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=TOSHIBAXMK4025GAS_X4G60049SXXX4G60049S&ts=1381747428
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=TOSHIBAXMK4025GAS_X4G60049SXXX4G60049S&ts=1381747443&type=default&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=TOSHIBAXMK4025GAS_X4G60049SXXX4G60049S&ts=1381747428
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=TOSHIBAXMK4025GAS_X4G60049SXXX4G60049S&ts=1381747428
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=TOSHIBAXMK4025GAS_X4G60049SXXX4G60049S&ts=1381747443&type=default&q={searchTerms}

:Files
C:\Documents and Settings\All Users\Dane aplikacji\eSafe
C:\Documents and Settings\juzek\Ustawienia lokalne\Dane aplikacji\Lollipop
C:\Program Files\Mobogenie
C:\Documents and Settings\juzek\Dane aplikacji\DigitalSite
C:\WINDOWS\tasks\At*.job
C:\Documents and Settings\juzek\Dane aplikacji\0D0S1L2Z1P1B0T1P1B2Z

Pokaż raport.

2. Użyj AdwCleaner z opcji Usuń. Pokaż raport.

3. Prześlij mi tę grupę plików zapakowaną w archiwum:

 

[2013-01-13 12:44:36 | 000,020,992 | ---- | C] () -- C:\WINDOWS\System32\Cabtool.exe
[2013-01-13 12:44:35 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\Cabarc.exe
[2013-01-13 12:44:33 | 000,699,508 | ---- | C] () -- C:\WINDOWS\System32\UpxGui.exe
[2013-01-13 12:44:33 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\WallChan.exe
[2013-01-13 12:44:33 | 000,001,128 | ---- | C] () -- C:\WINDOWS\System32\WC.com
[2013-01-13 12:44:29 | 000,216,576 | ---- | C] () -- C:\WINDOWS\System32\PCalc.exe
[2013-01-13 12:44:29 | 000,210,432 | ---- | C] () -- C:\WINDOWS\System32\Notepad2.exe
[2013-01-13 12:44:29 | 000,008,636 | ---- | C] () -- C:\WINDOWS\System32\modifyPE.exe
[2013-01-13 12:44:29 | 000,000,058 | ---- | C] () -- C:\WINDOWS\System32\Notepad2.ini
[2013-01-13 12:44:28 | 000,828,416 | ---- | C] () -- C:\WINDOWS\System32\mmm.exe
[2013-01-13 12:44:28 | 000,175,616 | ---- | C] () -- C:\WINDOWS\System32\mmm.dll
[2013-01-13 12:44:27 | 000,068,608 | ---- | C] () -- C:\WINDOWS\System32\metapath.exe
[2013-01-13 12:44:27 | 000,001,630 | ---- | C] () -- C:\WINDOWS\System32\metapath.ini
[2013-01-13 12:44:25 | 001,152,165 | ---- | C] () -- C:\WINDOWS\System32\HFExtract.exe
[2013-01-13 12:44:23 | 000,110,085 | ---- | C] () -- C:\WINDOWS\System32\cdimage.exe
[2013-01-13 12:44:11 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll

 

4. Pokaż zestaw nowych logów z OTL + log z FRST (znajdziesz w przyklejonym)
 

 

Sympatyczna_Defragmentacja
komentarz
komentarz (edytowane)

Gotowe.

Natsuki Kuga
komentarz
komentarz

Siostra tworzy jakieś programy/zajmuje się ich modyfikacją? Widzę właśnie takie pliki, które są podmienione jakimiś "bajeranckimi" (np. systemowy notatnik został podmieniony zewnętrznym).

 

 

2013-10-21 15:39 - 2008-04-15 16:00 - 00013312 _____ (Microsoft Corporation) C:\WINDOWS\system32\lsass.exe
2013-10-21 15:30 - 2008-04-15 16:00 - 00013312 _____ (Microsoft Corporation) C:\Documents and Settings\juzek\Pulpit\lsass.exe

Dodatkowo - po co był podmieniany ten składnik systemu? Z jakiego źródła pochodzi?

 

 

Wykonaj pełne skanowanie MBAMem i pokaż raport.

Sympatyczna_Defragmentacja
komentarz
komentarz

Siostra w ogóle się czymś takim nie zajmuje - jej znajomość obsługi komputera ogranicza się mocno do korzystania
z Internetu (czyt. FB, YT etc.). Odkupiła od kogoś sprzęt jakiś tydzień/dwa tygodnie wcześniej. Być może poprzedni użytkownik się bawił.

lsass.exe ja podmieniłam idąc za pomysłem, że może to jednak Sasser... Plik skopiowałam z mojego systemu, który jest
zdrowy i nie sprawia kłopotów (ale ostatecznie to i tak nic nie zmieniło).

MBAM się nie uruchamia. Wyskakuje okno z komunikatem:
"Run-time error '372':
Failed to load control 'vdalGrid' from 'vbalsgrid6.ocx. Your version of vbalsgrid6.ocx may be outdated.
Make sure you are using the version of the control that was provided with your application."

Natsuki Kuga
komentarz
komentarz

MBAM się nie uruchamia. Wyskakuje okno z komunikatem: "Run-time error '372': Failed to load control 'vdalGrid' from 'vbalsgrid6.ocx. Your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application."

Z tego co widzę, ten MBAM to jest wersja portable. Usuń go, zainstaluj pełnowartościową: http://www.malwarebytes.org/ i spróbuj go uruchomić.

Sympatyczna_Defragmentacja
komentarz
komentarz

Wyskakuje dokładnie to samo okno.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.