Problem- samoistny reset systemu.

[Kisiel?]

Witam,

mam nadzieję, że temat założony jak trzeba- jestem nowym użytkownikiem więc mogłem czegoś nie doczytać.

Otóż od jakiegoś czasu mam problem z komputerem, którego nie potrafię rozwiązać. Od razu zaznaczam, że jestem zielony w tych kwestiach i próbowałem raczej podstaw- konsoli odzyskiwania, formatu i przywracania systemu. Nie pomaga nic- podejrzewam, że to wirus, no bo co innego? Oto, co się dzieje:

1. Komputer samoistnie się resetuje przy próbie wejścia do cmd, zainstalowania jakiegoś patcha do gry, pobrania dodatku do mozilli czy w innych, pojedynczych przypadkach.
2. Wchodząc do jakiegoś folderu najczęściej pojawia się jeden o takiej samej nazwie, o rozmiarze bodajże 41,6 kb.
3. Co jakiś czas wyskakuje zielona strona w dziwnym języku z komunikatem na środku, nazwa to "brontok.exe".
4. avast ostrzega mnie przed jakimś plikiem "explorasi.exe", że wykrył wirusa. Próbowałem wszystkiego, kwarantanny, usunięcia pliku- nic nie działa, komunikat pojawia się regularnie a pliku nie da się usunąć w żaden sposób.

Ktoś jest w stanie pomóc? Być może problemy te nie są ze sobą powiązane, byłbym wdzięczny jeśli ktoś pomógłby mi to rozwiązać, polecono mi to forum więc mam nadzieję że tutaj ktoś coś poradzi..

Załączam loga:

Dostępne tylko dla zarejestrowanych użytkowników

[cosik_ktosik]

Coś nie tak z tym logiem, nikt go raczej nie odczyta.

[Kisiel?]

Hmm tylko czemu? Zrobiłem raczej wszystko wg kroków które wyczytałem..

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - C:\WINDOWS\eksplorasi.exe ()
O7 - HKU\S-1-5-21-1292428093-1284227242-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-1292428093-1284227242-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O4 - HKLM..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe ()
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" File not found
O4 - HKU\S-1-5-21-1292428093-1284227242-839522115-1003..\Run: [pjsieq] C:\Documents and Settings\Kisiel\pjsieq.exe ()
O4 - HKU\S-1-5-21-1292428093-1284227242-839522115-1003..\Run: [Tok-Cirrhatus] C:\Documents and Settings\Kisiel\Ustawienia lokalne\Dane aplikacji\smss.exe ()
O4 - HKU\S-1-5-21-1292428093-1284227242-839522115-1003..\Run: [yoayo] C:\Documents and Settings\Kisiel\yoayo.exe File not found
O4 - Startup: C:\Documents and Settings\Kisiel\Menu Start\Programy\Autostart\Empty.pif ()
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw) WAN Miniport (ATW)
MOD - [2012-03-03 01:10:48 | 000,049,152 | RHS- | M] () -- C:\Documents and Settings\Kisiel\pjsieq.exe
[2012-05-06 23:08:46 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\Kisiel\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin
[2012-05-06 23:03:26 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\Kisiel\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
[2012-05-06 16:44:28 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Kisiel\Video.lnk
[2012-05-06 16:44:28 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Kisiel\Pictures.lnk
[2012-05-06 16:44:28 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Kisiel\Passwords.lnk
[2012-05-06 16:44:28 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Kisiel\New Folder.lnk
[2012-05-06 16:44:28 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Kisiel\Music.lnk
[2012-05-06 16:44:28 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Kisiel\Documents.lnk
[2011-11-01 23:29:42 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Kisiel\Ustawienia lokalne\Dane aplikacji\winlogon.exe
[2011-11-01 23:29:42 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Kisiel\Ustawienia lokalne\Dane aplikacji\smss.exe
[2011-11-01 23:29:42 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Kisiel\Ustawienia lokalne\Dane aplikacji\services.exe
[2011-11-01 23:29:42 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Kisiel\Ustawienia lokalne\Dane aplikacji\lsass.exe
[2011-11-01 23:29:42 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Kisiel\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
[2011-11-01 23:29:42 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Kisiel\Ustawienia lokalne\Dane aplikacji\csrss.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Odinstaluj w panelu sterowania (dodaj / usuń programy) zbędnego syfa: StartSearchToolBar

3. Użyj Dostępne tylko dla zarejestrowanych użytkowników z opcji Delete. Po restarcie pokaż raport.

4. Wygeneruj nowy log z OTL opcją Skanuj (Extras już niepotrzebne po raz drugi). Dołącz log z wynikami usuwania z punktu 1 oraz 3.

[Kisiel?]

Raport z AdwCleaner: Dostępne tylko dla zarejestrowanych użytkowników

Log po usuwaniu: Dostępne tylko dla zarejestrowanych użytkowników

Dzięki za rzeczową odpowiedź- nie mam pojęcia czy to pomoże, ale może to jakiś krok do przodu

Edit: działa!! Dzięki!! Są tutaj jakieś punkty za pomoc?

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O7 - HKU\S-1-5-21-1292428093-1284227242-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-1292428093-1284227242-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

:Files
C:\WINDOWS\tasks\Adobe Flash Player Updater.job

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"pjsieq"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[Reboot]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Podłącz wszystkie urządzenia przenośne (pendrive / komórki / mp3 / dyski przenośne) i użyj USBFix z opcji DELETION.
Pokaż raport z usuwania (wszystko opisane jest w poradniku)!

3. Wygeneruj nowy log z OTL, ale w okienku ,,Rejestr - skan dodatkowy" ma być zaznaczone na Użyj filtrowania. Po zaznaczeniu wciskasz opcję Skanuj.
Przedstawiasz usuwanie z punktu 1 oraz logi (OTL.txt i Extras.txt) z punktu 3 i raport z usuwania USBFixem z punktu 2.

[Kisiel?]

Wszystko zrobiłem według wskazówek

USBFix - Dostępne tylko dla zarejestrowanych użytkowników
OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników

Nie wiem jak to robisz, ale jesteś wielki

[kominekl]

Deleted ! F:\muza
Deleted ! J:\muza

To przywróć sobie z kwarantanny USBFix`a.

"Usbfix" = UsbFix By El Desaparecido
"V9Software" = Deinstalator Strony V9

Odinstaluj to oprogramowanie, gdyż jest zupełnie zbędne.

SRV - [2012-01-31 16:09:34 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
O4 - HKLM..\Run: [DAEMON Tools-1033] C:\Program Files\D-Tools\daemon.exe (DAEMON'S HOME)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKU\S-1-5-21-1292428093-1284227242-839522115-1003..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)

To wszystko to zbędne wpisy w autostarcie. Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługę -> Skype Update i NVIDIA Display Driver Service (NVSVC). Resztę usunę skryptem.

Logi.

Uruchom OTL (przy podłączonych pamięciach przenośnych) -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw) WAN Miniport (ATW)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1292428093-1284227242-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1292428093-1284227242-839522115-1003\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
O4 - HKLM..\RunOnce: [] File not found
O15 - HKU\S-1-5-21-1292428093-1284227242-839522115-1003\..Trusted Domains: aol.com ([objects] * is out of zone range - 5)

:Files
C:\UsbFix
C:\AdwCleaner[S1].txt
RECYCLER /alldrives
C:\UsbFix.txt
F:\067175ef90db72b17f17388da40a44
F:\4915a3dbbc09df61dcdb

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools-1033"=-
"NeroFilterCheck"=-
"NvCplDaemon"=-
"NvMediaCenter"=-
"nwiz"=-
[HKEY_USERS\S-1-5-21-1292428093-1284227242-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

[Kisiel?]

Usuwanie: Dostępne tylko dla zarejestrowanych użytkowników

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller: Dostępne tylko dla zarejestrowanych użytkowników


Dzięki jeszcze raz!!

A i mam pytanie- wszystkie pliki muzyczne maja teraz rozszerzenie .vir. Raczej nie przeszkadza, ale zmienić to?

[kominekl]

A i mam pytanie- wszystkie pliki muzyczne maja teraz rozszerzenie .vir. Raczej nie przeszkadza, ale zmienić to?

Ma być rozszerzenie -> .MP3 . USBFix przenosząc do kwarantanny jakiekolwiek pliki automatycznie zmienia ich rozszerzenie na -> .VIR.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw) WAN Miniport (ATW)
IE - HKU\S-1-5-21-1292428093-1284227242-839522115-1003\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}

:Files
RECYCLER /alldrives

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Zainstaluj SP3 -> Dostępne tylko dla zarejestrowanych użytkowników.

Internet Explorer (Version = 6.0.2900.2180)

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"Adobe Acrobat 5.0" = Adobe Acrobat 5.0 CE

Odinstaluj, bo masz już najnowszą wersję -> Adobe Reader X (10.1.3) - Polish.

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[Kisiel?]

Usuwanie OTL: Dostępne tylko dla zarejestrowanych użytkowników

Malwarebyte: Dostępne tylko dla zarejestrowanych użytkowników

Mam prośbę.. znacie może jakis sposób na konwersje tych plików muzycznych z powrotem na .mp3 z .vir? Nie wyobrażam sobie życia bez muzyki ;s a o ile na komputerze mogę odtwarzać, to ani na telefonie nie mogę, ani listy odtwarzania mi się nie ładują.. jak to naprawić?

DZIĘKI!!

[djkamil09061991]

znacie może jakis sposób na konwersje tych plików muzycznych z powrotem na .mp3 z .vir? Nie wyobrażam sobie życia bez muzyki ;

Do masowego usuwania przyrostka .vir z nazw przywracanych plików muzycznych możesz użyć Renamer Dostępne tylko dla zarejestrowanych użytkowników

[Kisiel?]

Problem w tym, że nie działa mi to- albo źle robię. Zmieniłem rozszerzenie na .mp3, usunąłem (teoretycznie) .vir, ale w plikach nadal mam pokazane, że są typu właśnie .vir.

[kominekl]

F:\muza\Rock i podgatunki\P.O.D\A Tribute To P.O.D\A Tribute To P.O.D`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 1991 - Demo\P.O.D. - 1991 - Demo`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 1994 - Snuff The Punk\P.O.D. - 1994 - Snuff The Punk`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 1996 - Brown\P.O.D. - 1996 - Brown`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 1997 - Live At Tomfest\P.O.D. - 1997 - Live At Tomfest`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 1998 - Warriors EP\P.O.D. - 1998 - Warriors EP`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 1999 - The Fundamental Elements Of South\P.O.D. - 1999 - The Fundamental Elements Of South`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 2001 - Satellite (Single)\P.O.D. - 2001 - Satellite (Single)`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 2003 - Payable on Death\P.O.D. - 2003 - Payable on Death`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 2003 - Payable on Death\P.O.D. - 1999 - Limited Edition Bonus CD\P.O.D. - 1999 - Limited Edition Bonus CD`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 2004 - Swallow my eggnog (rare and mixes)\P.O.D. - 2004 - Swallow my eggnog (rare and mixes)`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 2005 - The Warriors EP Vol. 2\P.O.D. - 2005 - The Warriors EP Vol. 2`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 2006 - Beyond Testify (Limited Edition Bonus)\P.O.D. - 2006 - Beyond Testify (Limited Edition Bonus)`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 2006 - Testify\P.O.D. - 2006 - Testify`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\P.O.D. - 2008 - When Angels & Serpents Dance\P.O.D. - 2008 - When Angels & Serpents Dance`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
F:\muza\Rock i podgatunki\P.O.D\Revolution String Quartet Tribute to P.O.D\Revolution String Quartet Tribute to P.O.D`.exe.vir (Trojan.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

To wszystko przywróć z kwarantanny Malwarebytes`a. Następnie opróżnij jego kwarantannę (Usuń Wszystko).

Problem w tym, że nie działa mi to- albo źle robię. Zmieniłem rozszerzenie na .mp3, usunąłem (teoretycznie) .vir, ale w plikach nadal mam pokazane, że są typu właśnie .vir.

Zrób to w następujący sposób. Wejdź w Narzędzie -> Opcje folderów -> Widok -> odznacz opcje ukryj rozszerzenia znanych typów plików. Następnie zmień rozszerzenie na -> .MP3, np. "Peja.mp3" .

[Kisiel?]

No i pięknie. Działa!! Dzięki!