Nie wykrywa CSRSS.EXE

przez **melex89** » 17 Lut 2011, 14:00

Przy starcie pokazuje się okienko, że nie znaleziono pliku csrss.exe. Sprawdzałem już czy wszystko ok antyvirusem i Registry Boosterem i nic na ten temat mi nie wykryło.
Dam tu loga z OTLa może Wy znajdziecie gdzie tkwi błąd?
http://www.wklej.eu/index.php?id=2cc742da05

przez **kominekl** » 17 Lut 2011, 14:49

Sprawdź czy w Windows/system32 jest ten plik.

Podaj jeszcze logi z GMER, ale to raczej nie infekcja. viewtopic.php?f=22&t=13967#p88736

przez **melex89** » 17 Lut 2011, 15:01

Nie rozumiem tego kompa. Cały czas pokazywał się ten błąd, a po kolejnym z rzędu restarcie przestał się pojawiać.
Tak ten plik jest w system32. To już sprawdziłem wcześniej.
Wygląda na to, że problem rozwiązany, jakby co będę pisał.

przez **mateo8898** » 17 Lut 2011, 18:07

kominekl napisał(a):to raczej nie infekcja

Infekcja jest jak byk, nie wprowadzaj w błąd.

Odinstaluj Ask Toolbar.

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL
PRC - [2011-02-17 12:38:47 | 000,190,976 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe
PRC - [2011-02-17 12:38:13 | 000,209,408 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\csrss.exe
PRC - [2011-02-17 12:37:42 | 000,201,728 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe
PRC - [2011-02-15 11:30:43 | 000,087,040 | ---- | M] (Opera Software) -- C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2\svcnost.exe
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O4 - HKCU..\Run: [mssend] C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2\svcnost.exe (Opera Software)
F3 - HKCU WinNT: Load - (C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\csrss.exe) - C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\csrss.exe ()
O20 - HKLM Winlogon: Shell - ("C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2\csrss.exe") - File not found
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe) - C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe ()
[2011-02-15 11:30:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2
[2011-02-15 09:59:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\xw3ppoqujsbdhetswbwl1xu3x1c3r3ns2
[2011-02-15 09:27:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\xbbe2wmufenpjvefqxgmb1nbpflgwuvp2
[2011-02-15 09:27:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2
[2011-02-17 12:38:25 | 000,002,928 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\7202.12E
[2011-02-17 12:28:18 | 000,001,046 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011-02-17 12:28:17 | 000,000,280 | ---- | M] () -- C:\WINDOWS\tasks\RegistryBooster.job
[2011-02-17 12:01:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2011-02-17 11:55:00 | 000,001,050 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
O4 - HKLM..\Run: [conhost] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe ()

:Files
C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL (tylko wykonaj je prawidłowo wg. tej instrukcji

viewtopic.php?f=22&t=13967#p107754 i podaj także drugi log Extras.txt).

przez **kominekl** » 17 Lut 2011, 18:11

Fakt infekcja chyba jest.

. Zasugerowałem się samym plikiem który jest przecież elementem systemu.

przez **mateo8898** » 17 Lut 2011, 18:22

No widzisz, nazwą pliku nie zawsze należy się sugerować. W tym przypadku plik o tej nazwie startuje także z tej lokalizacji:

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\csrss.exe

co już prawidłowe nie jest. Nazwa pliku jest celowo zmieniona dla zmylenia.

Lepiej żeby użytkownik wrócił i zajrzał czym prędzej do tematu, bo póki co myśli, że wszystko jest ok...

przez **melex89** » 24 Lut 2011, 19:38

Wróciłem bo infekcja na pewno jest! Skanowałem Ad-aware i wykryło mi dość dużo trojanów, których normalnie nie wykrył Avast. Problem jest taki: coś siedzi na połączeniu z internetem i nie jest to żaden adblock itp. Nie potrafię wejść na niektóre strony np. wykop.pl , opera-slaska.pl , chomikuj.pl. Nie pomaga reinstalacja Opery. Firefox i IE też sobie nie radzi.
W pliku host jest wszystko ok. Proszę o pomoc

http://www.wklej.eu/index.php?id=53444a127b OTL
http://www.wklej.eu/index.php?id=b2f662e54d OTL - extras
HijackThis

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18:34:52, on 2011-02-24 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20815) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\Program Files\Alwil Software\Avast5\AvastSvc.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe C:\Program Files\A4Tech\Mouse\Amoumain.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Alwil Software\Avast5\avastUI.exe C:\Program Files\Browny02\Brother\BrStMonW.exe C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe C:\Program Files\Brother\ControlCenter3\brccMCtl.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\Wcescomm.exe C:\Documents and Settings\Administrator\Dane aplikacji\SanDisk\Sansa Updater\SansaDispatch.exe C:\PROGRA~1\Microsoft ActiveSync\rapimgr.exe C:\Program Files\Ovislink\Common\AirLiveUI.exe C:\Program Files\Mustek 1200 UB Plus\Driver\WATCH.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Programy\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Raxco\PerfectDisk\PDAgent.exe C:\Program Files\Ovislink\Common\RalinkRegistryWriter.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Browny02\BrYNSvc.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\Opera\opera.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\csrss.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:52808 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe "C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2\csrss.exe" F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\csrss.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - (no file) O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing) O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [BrStsMon00] C:\Program Files\Browny02\Brother\BrStMonW.exe /AUTORUN O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [SansaDispatch] C:\Documents and Settings\Administrator\Dane aplikacji\SanDisk\Sansa Updater\SansaDispatch.exe O4 - HKCU\..\Run: [mssend] "C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2\svcnost.exe" O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [VisualTaskTips] C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [VisualTaskTips] C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [VisualTaskTips] C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Global Startup: AirLive 802.11G Wireless Utility.lnk = C:\Program Files\Ovislink\Common\AirLiveUI.exe O4 - Global Startup: Watch.lnk = C:\Program Files\Mustek 1200 UB Plus\Driver\WATCH.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\Programy\Microsoft Office\Office10\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: BrYNSvc - Brother Industries, Ltd. - C:\Program Files\Browny02\BrYNSvc.exe O23 - Service: Usługa Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programy\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Program Files\Ovislink\Common\RalinkRegistryWriter.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 10404 bytes

przez **mateo8898** » 24 Lut 2011, 19:52

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL
PRC - [2011-02-24 17:52:47 | 000,216,576 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\csrss.exe
PRC - [2011-02-24 17:52:14 | 000,191,488 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe
PRC - [2011-02-17 12:37:42 | 000,201,728 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe
IE - HKU\S-1-5-21-1390067357-1085031214-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-1390067357-1085031214-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:52808
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found
O3 - HKU\S-1-5-21-1390067357-1085031214-1801674531-500\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found
O4 - HKU\S-1-5-21-1390067357-1085031214-1801674531-500..\Run: [mssend] File not found
O4 - HKLM..\Run: [conhost] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe ()
F3 - HKU\S-1-5-21-1390067357-1085031214-1801674531-500 WinNT: Load - (C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\csrss.exe) - C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\csrss.exe ()
O20 - HKLM Winlogon: Shell - ("C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2\csrss.exe") - File not found
O20 - HKU\S-1-5-21-1390067357-1085031214-1801674531-500 Winlogon: Shell - (C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe) - C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe ()
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 173.192.105.217 173.193.227.124
[2011-02-15 11:30:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2
[2011-02-15 09:59:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\xw3ppoqujsbdhetswbwl1xu3x1c3r3ns2
[2011-02-15 09:27:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\xbbe2wmufenpjvefqxgmb1nbpflgwuvp2
[2011-02-15 09:27:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2
[2011-02-17 13:53:33 | 000,005,014 | ---- | C] () -- C:\Documents and Settings\Administrator\Dane aplikacji\340C.224
[2011-02-17 12:32:11 | 000,013,357 | ---- | C] () -- C:\Documents and Settings\Administrator\Dane aplikacji\7202.12E

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\0.3261719558617614.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\xbbe2wmufenpjvefqxgmb1nbpflgwuvp2\svcnost.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\xw3ppoqujsbdhetswbwl1xu3x1c3r3ns2\svcnost.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2\svcnost.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2\csrss.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_USERS\S-1-5-21-1390067357-1085031214-1801674531-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

przez **melex89** » 24 Lut 2011, 19:59

ojoj po wykonaniu skryptu restartuje mi kompa i nie tworzy logów

przez **mateo8898** » 24 Lut 2011, 20:00

To zrób nowe logi opcją Skanuj

przez **melex89** » 24 Lut 2011, 20:07

http://www.wklej.eu/index.php?id=1628c09e48 drugiego extras nie wygenerował

przez **kominekl** » 24 Lut 2011, 20:08

Extras.txt drugi raz nie musisz podawać.

przez **mateo8898** » 24 Lut 2011, 20:08

Nic się nie wykonało. Powtórz skrypt w trybie awaryjnym, a następnie podaj nowe logi.

przez **melex89** » 24 Lut 2011, 20:20

Powtórzyłem w trybie awaryjnym. Znów podczas wykonywania skryptu się zrestartował. Log http://www.wklej.eu/index.php?id=d482ca2a27

przez **mateo8898** » 24 Lut 2011, 20:28

Nic nie ruszone, zmiana metody. Wykonaj w podanej kolejności poniższe instrukcje.
1. Wklej do notatnika:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\0.3261719558617614.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\xbbe2wmufenpjvefqxgmb1nbpflgwuvp2\svcnost.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\xw3ppoqujsbdhetswbwl1xu3x1c3r3ns2\svcnost.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2\svcnost.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2\csrss.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_USERS\S-1-5-21-1390067357-1085031214-1801674531-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
"conhost"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

Plik

Zapisz jako

Ustaw rozszerzenie z TXT na Wszystkie pliki

zapisz pod nazwą FIX.REG

umieść ten plik bezpośrednio na dysku C.

2. Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Folders to delete:
C:\Documents and Settings\Administrator\Dane aplikacji\xbbe2wmufenpjvefqxgmb1nbpflgwuvp2
C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2
C:\Documents and Settings\Administrator\Dane aplikacji\xw3ppoqujsbdhetswbwl1xu3x1c3r3ns2
C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2
C:\Documents and Settings\Administrator\Dane aplikacji\7202.12
C:\Documents and Settings\Administrator\Dane aplikacji\340C.224

Files to delete:
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\csrss.exe
C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe
C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe

Programs to launch on reboot:
C:\FIX.reg

klikasz Execute

Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt + nowe logi z OTL.

Jeśli po restarcie pojawi się komunikat z pytaniem, czy dodać informację do rejestru, wybierz Tak.

Nie wykrywa CSRSS.EXE

Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Re: Nie wykrywa CSRSS.EXE

Kto jest na forum