protect.dll i wolna praca komputera

Post24 lip 2009, 13:00

Witam
Od razu napisze że jestem laikiem w naprawie systemów. I trochę przyznam swojego kompa zaniedbałam.
Wczoraj avastem przeszukałam wszystkie dyski, odkrył sporo trojanów i reklamiarzy. Jednego z tego co pamiętam to musiał usunąć w trybie ładowania się systemu, więc troszkę inaczej.
Przed tym komp chodził powoli, a teraz po jest jeszcze gorzej. Próbowałam zrobić nakładkę na swojego Windowsa XP, niestety wciąz pojawia sie komunikat drive is fail... Próbowałam z Windowsem na dwóch płytkach.
Dodatkowo jak włącza się komp wyskakuje w nieskończonośc komunikat C:WINNT\system32\config\SYSTEM 1\protect.dll
Nie mam możliwości przywrócić system. Niewiem czy to wina tego jednego pliku?
Prosze o pomoc. Czy musze robić formata? Nawet nie bardzo jest szansa by go zrobić skoro komp nie widzi dysku w cd-romie...
Tutaj jest zrobiony log w Combofixie Dostępne tylko dla zarejestrowanych użytkowników

-- Dzisiaj, 13:00 --

Pomóźcie laikowi

Post24 lip 2009, 13:14

Co do sprawdzenia loga musisz poczekać na naszego eksperta od bezpieczeństwa.

Na chwilę obecną mogę zaproponować ściągniecie z sieci i wypalenie bootowalnej płyty z antywirusem na pokładzie. Odpalasz z takiej płytki komp i skanujesz.

A więc tak, po kolei:

1) Ściągasz obraz płyty w formie pliku ISO, proponuje Kaspersky lub Dr Web i skanujesz, pełna lista tutaj => viewtopic.php?f=42&t=1706

2) Nagrywasz obraz na płytę w swoim ulubionym programie do nagrywania, tutaj przykład dla CDBurnerXP => Pokonaj wirusy z Kaspersky Rescue Disk (pkt 2).

3) Zmieniasz kolejność bootowania tak, aby start odbywał się w pierwszej kolejności z napędu CD\DVD, więcej info tutaj =>Ustawienie kolejności bootowania w BIOS-ie

4) Skanujesz dysk programem Kaspersky.

Post24 lip 2009, 14:10

Infekcja i to duża.

Kod: Zaznacz cały

File::    
    c:\winnt\oqaqovar.dll
    c:\winnt\etuwetidalumi.dll
    c:\winnt\uvenukif.dll
    c:\winnt\efepofevinuy.dll
    c:\winnt\eyamonusijegoh.dll
    c:\winnt\ipozozah.dll
    c:\winnt\efunufuqo.dll
    c:\winnt\ecaqehexopakenup.dll
    c:\winnt\elotegef.dll
    c:\winnt\apuyisad.dll
    c:\winnt\eruvimov.dll
    c:\winnt\efuwevevukovik.dll
    c:\winnt\ezacepexomi.dll
    c:\winnt\ahidorayeher.dll
    c:\winnt\ubilaqocubale.dll
    c:\winnt\esejuyokuyep.dll
    c:\winnt\ofegatekudat.dll
    c:\winnt\omenigow.dll
    c:\winnt\ibuhubimudutibo.dll
    c:\winnt\Kjiheyuha.dat
    c:\winnt\itolasihi.dll
    c:\winnt\ilamomixef.dll
    c:\winnt\ehefinos.dll
    c:\winnt\uqovogepu.dll
    c:\winnt\itezebazob.dll
    c:\winnt\akoqutoq.dll
    c:\winnt\amayaqoxi.dll
    c:\winnt\ilahukoz.dll
    c:\winnt\ugavupilidarexow.dll
    c:\winnt\system32\euhupxtkddgnplgje.dll
    c:\winnt\loaddll.exe

    Folder::
    c:\program files\AskTBar

    Registry::
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{9CB65206-89C4-402c-BA80-02D8C59F9B1D}"=-
    [-HKEY_CLASSES_ROOT\clsid\{9cb65206-89c4-402c-ba80-02d8c59f9b1d}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{56A905BB-8ED8-2A2E-8AF3-FCCD31A4846B}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "loaddll"=-
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nlsf"=-
    "tscuninstall"=-

Wklej to do notatnika i zapisz pod nazwą CFScript. Plik tekstowy CFScript przeciągnij na ikonę Combofix
Zacznie się usuwanie póżniej daj log z usuwania combofix

Post24 lip 2009, 15:08

Zrobione
Dostępne tylko dla zarejestrowanych użytkowników
Oj dobrze że tu trafiłam

To jak ten mój komp wygląda teraz?

Post24 lip 2009, 15:17

mir, wg mnie - tu nie warto narazie niczego usuwać różnymi Scriptami.

ComboFix usunął "Legacy" i "Service".

-------\Legacy_WQFVHGMD
-------\Service_wqfvhgmd

Ale po usuwaniu dalej to wróciło:

*NewlyCreated* - WQFVHGMD
*Deregistered* - wqfvhgmd

Do Autora tematu: zrób to co napisał rokko, przeskanuj Kasperskym, usuwaj co znajdzie.
Po skanowaniu Kasperskym pokazujesz najnowszy log z ComboFixa (tym razem dobrze zrobiłeś/łaś, że użyłeś/łaś ComboFixa, więc na Ciebie nie na krzyczę).

*************************************************************************************

A Script powinnien wyglądać tak:

Kod: Zaznacz cały

KILLALL::

File::
c:\winnt\oqaqovar.dll
c:\winnt\etuwetidalumi.dll
c:\winnt\uvenukif.dll
c:\winnt\efepofevinuy.dll
c:\winnt\eyamonusijegoh.dll
c:\winnt\ipozozah.dll
c:\winnt\efunufuqo.dll
c:\winnt\ecaqehexopakenup.dll
c:\winnt\elotegef.dll
c:\winnt\apuyisad.dll
c:\winnt\eruvimov.dll
c:\winnt\efuwevevukovik.dll
c:\winnt\ezacepexomi.dll
c:\winnt\ahidorayeher.dll
c:\winnt\ubilaqocubale.dll
c:\winnt\esejuyokuyep.dll
c:\winnt\ofegatekudat.dll
c:\winnt\omenigow.dll
c:\winnt\ibuhubimudutibo.dll
c:\winnt\Kjiheyuha.dat
c:\winnt\itolasihi.dll
c:\winnt\ilamomixef.dll
c:\winnt\ehefinos.dll
c:\winnt\uqovogepu.dll
c:\winnt\itezebazob.dll
c:\winnt\akoqutoq.dll
c:\winnt\amayaqoxi.dll
c:\winnt\ilahukoz.dll
c:\winnt\ugavupilidarexow.dll
c:\winnt\system32\euhupxtkddgnplgje.dll
c:\winnt\loaddll.exe
c:\program files\mozilla firefox\components\brwsrcmp.dll
c:\winnt\SBE1FD7A6.tmp

Folder::
c:\documents and settings\All Users\Dane aplikacji\Oberon Games
c:\program files\Dress Up Rush
c:\program files\Turbo Pizza
c:\documents and settings\All Users\Dane aplikacji\Sandlot Games
c:\program files\Cake Mania Back to the Bakery
c:\program files\Vidalia Bundle
c:\program files\AskTBar

Driver::
Winnr60
WQFVHGMD

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9CB65206-89C4-402c-BA80-02D8C59F9B1D}"=-

[-HKEY_CLASSES_ROOT\clsid\{9cb65206-89c4-402c-ba80-02d8c59f9b1d}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{56A905BB-8ED8-2A2E-8AF3-FCCD31A4846B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"loaddll"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winnr60.sys]

===========
K.

EDIT:
Do Autora: wykonaj mojego Scripta + przeskanuj Kasperskym tak jak napisał @rokko.

Post24 lip 2009, 20:43

Kasperskiego nagrałam, niestety przy próbie startu z płyty pojawił się ponownie komunikat drive is fails...
Oto log po wrzuceniu twojego scriptu Dostępne tylko dla zarejestrowanych użytkowników

Post24 lip 2009, 20:51

W logu tym już nic nie ma.

Wrzuć do kontroli log z OTL.

===========
K.

Post25 lip 2009, 13:57

Proszę

Dostępne tylko dla zarejestrowanych użytkowników
Mam nadzieję, że jest wszystko ok

Tylko mam też pytanko, dlaczego ciągle pojawia mi się ten komunikat przy starcie z jakiejkolwiek płyty drive is fails ?

Post26 lip 2009, 10:24

Jest OK.!

1. Odpal OTL i wywołaj go z opcji CleanUp, zgódź się na czyszczenie + restart komputera.

2. Przeskanuj komputer tym programem: Malwarebytes Anti-Malware.
Ustaw na Pełne Skanowanie, zaznacz wszystko ptaszkiem.
Po Skanowaniu Pełnym usuń to co znajdzie i wrzuć raport na Forum.

==========
K.