C, D, + dyski wymienne :\ji38j.exe i inne

Witam!

Częściowo już poradziłem sobie z tymi plikami, ale chyba coś zostało.
1. Rzecz w tym, że karta pamięci, telefon otwierało się poprzez "otwórz za pomocą:"
Te nośniki i dyski systemowe posiadały plik ji38j.exe,
Usunąłem z karty pamięci, telefonu i dysków poprzez OTL, i Avasta który poprostu usunął pięknie te pliki, chociaż na początku nie dawał sobie z nimi rady (ciągle pokazywało się to samo "Usuń, kwarantanna, przenieś/przemianuj" te same pliki (ji38j.exe))
To już udało mi się naprawić i po resecie komputera tego nie ma.

Mam wątpliwości co do innych wirusów oraz czy coś nie zostało...
Zamieszczam logi z OTL

Kod:

Extras.txt
http://wklej.eu/index.php?id=fa7b4c5d58&view=nl

Kod:

OTL.txt
http://wklej.eu/index.php?id=386b9acd2e&view=nl

Z GMER'a narazie nie dam bo nie wiem czy w tej chwili jest to potrzebne.
Proszę o pomoc z tego co jest i w miarę szybką odpowiedź

Ostatnio edytowany przez Viruseq, 23 Mar 2010, 21:49, edytowano w sumie 1 raz

Podałeś dwa razy ten sam link, popraw.

już dałem w 1 poście

Kod:

http://wklej.eu/index.php?id=386b9acd2e&view=nl

Pobierz ten plik http://www.speedyshare.com/files/21585433/cisvc.zip i wypakuj do folderu C:\WINDOWS\system32. Następnie:
Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
SRV - File not found [Disabled | Stopped] -- -- (Zwangie Service)
SRV - File not found [Disabled | Stopped] -- -- (EhttpSrv)
SRV - File not found [Disabled | Stopped] -- -- (Diskeeper)
SRV - File not found [Disabled | Stopped] -- -- (Apache2.2)
IE - HKLM\..\URLSearchHook: {14f0d511-36a2-41ca-ae01-ba4f87282c97} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultthis.engineName: "LocalStrike_English Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2381354&SearchSource=3&q={searchTerms}"
[2009-08-22 03:14:54 | 000,000,900 | ---- | M] () -- C:\Documents and Settings\Komputerek\Dane aplikacji\Mozilla\Firefox\Profiles\zvqi8efp.default\searchplugins\conduit.xml
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0457331d-8ca6-4f97-9c26-6a9ef2b2dba8} - No CLSID value found.
O4 - HKCU..\Run: [cdoosoft] D:\USTAWI~1\Temp\herss.exe File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - AutoRun File - [2010-03-23 18:31:34 | 000,000,057 | RHS- | M] () - J:\autorun.inf -- [ FAT ]
O33 - MountPoints2\{9baabdfd-2689-11df-9460-000e2ee82524}\Shell\AutoRun\command - "" = fk.exe
O33 - MountPoints2\{9baabdfd-2689-11df-9460-000e2ee82524}\Shell\open\Command - "" = fk.exe

:Files
C:\Qoobox
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\User_Feed_Synchronization-{43C85028-4FE7-4C18-9F8F-33FB552CA62A}.job

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"nwiz"=-
"UnlockerAssistant"=-

:Commands
[emptytemp]

Klikasz Run Fix. Dajesz log z usuwania + nowe logi z OTL

Z podłączonymi pamięciami przenośnymi użyj Flash Disinfector

Log z usuwania

Kod:

http://wklej.eu/index.php?id=d14082225a&view=nl

OTL.txt

Kod:

http://wklej.eu/index.php?id=7dbe2c0e61&view=nl

// tak poza tym , karta pamięci jest wporządku i nie ma tego "otwórz za pomocą" a było... i jest dobrze.
a pamięć telefonu ciągle to samo. używałem flash disinfector... spróbuje jeszcze raz.

a pamięć telefonu ciągle to samo. używałem flash disinfector... spróbuje jeszcze raz.

Po użyciu Flash Disinfectora powinna się normalnie otwierać. Spróbuj jeszcze raz go użyć, a jeśli nie pomoże to pisz.

W logach więcej nic nie widać.

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj tą poprawkę http://download.microsoft.com/download/ ... 86-PLK.exe

Zainstaluj najnowszą wersję Avasta http://www.instalki.pl/programy/downloa ... virus.html

Problemu z otwórz za pomocą już nie ma...
Ale jest przy otwieraniu poprawki... wyodrębnia się.. potem wyskakuje okienko że dalej...
a tu nagle wywala błąd o jakimś pliku update.

Screen:


Avast'a aktualizuje raz na 2 tygodnie więc chyba nie ma problemu.

Jeśli chodzi o błąd to wejdź w Start Uruchom wpisz: services.msc
Następnie znajdź Usługi kryptograficzne i sprawdź, czy typ uruchomienia jest ustawiony na Automatyczny.

Avast'a aktualizuje raz na 2 tygodnie więc chyba nie ma problemu.

Nie w tym rzecz, po prostu Ty masz wersję 4, a jest już nowsza 5, więc odinstaluj starą i zainstaluj nowszą.

Nie mam w ogóle tam "Usług kryptograficznych"

Włącz analize systemu Esetem Smart Security i przeskanuj system, potem podłóż log z Combofixa, HijackThis i OTL

Żadnego Eseta nie instaluj, ani nie używaj Combofixa.

Wklej do notatnika:

Kod:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc]
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"Description"="Zapewnia trzy usługi zarządzania: Usługę bazy danych wykazu,
która potwierdza podpisy plików systemu Windows, Usługę chronionego magazynu
głównego, która dodaje i usuwa certyfikaty zaufanego głównego urzędu
certyfikacji z tego komputera i Usługę kluczy, która pomaga zarejestrować
ten komputer dla certyfikatów. Jeśli ta usługa zostanie zatrzymana, te
usługi zarządzania nie będą działać właściwie. Jeśli ta usługa zostanie
wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać."
"DisplayName"="Usługi kryptograficzne"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  63,00,72,00,79,00,70,00,74,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\
  00
"ServiceMain"="CryptServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Security]
"Security"=hex:00,00,0e,00,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Enum]
"0"="Root\\LEGACY_CRYPTSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Plik Zapisz jako Ustaw rozszerzenie z TXT na Wszystkie pliki zapisz pod nazwą FIX.REG uruchom utworzony plik i potwierdź restart

Następnie sprawdź ponownie, czy masz tą usługę.

ok wkleiłem to i działa. jest "automatyczny"

Tak poza tym poradzicie coś na to, że przy każdym uruchamianiu komputera wyskakuje :
Uruchom system windows normalnie " 30...29...28...27...26...25..."

W takim razie zainstaluj teraz poprawkę.

Tak poza tym poradzicie coś na to, że przy każdym uruchamianiu komputera wyskakuje :
Uruchom system windows normalnie " 30...29...28...27...26...25..."

Włącz pokazywanie ukrytych plików systemowych. Mój komputer Narzędzia Opcje Folderów Widok odznacz: "Ukryj chronione pliki systemu operacyjnego (zalecane)" Zastosuj.
Następnie na dysku C powinien znajdować się plik boot.ini. Otwórz go, a następnie skopiuj jego zawartość i podaj na forum.

ostatnio miałem te pliki ... a teraz nie ma :O nawet po odznaczeniu "Ukryj chronione pliki systemu operacyjnego (zalecane)",
ale otwieram poprzez : Start Uruchom C:\Boot.ini.

Zawartość Boot.ini :

Kod:

[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=SKI9A6 /maxmem=1024 /Kernel=TUKernel.exe

Mam podejrzenie do tego że system nie ładuje prawidłowo sterowników, więc dodałem po /fastdetect "/bootlog"
Prawdopodobnie dostane rozwiązanie w pliku .log.

______

I mam odpowiedź...
Pomóżcie mi się teraz z tym uporać...

Zawartość "ntbtlog.txt"
Daje tylko te które nie wczytują się :

Dodatek Service Pack 3 3 26 2010 15:18:30.500
Sterownik nie zostałˆ załˆadowany. \SystemRoot\System32\Drivers\NDProxy.SYS
Sterownik nie zostaˆł załˆadowany. \SystemRoot\System32\Drivers\lbrtfdc.SYS
Sterownik nie zostałˆ załˆadowany. \SystemRoot\System32\Drivers\Fdc.SYS
Sterownik nie zostaˆł załˆadowany. \SystemRoot\System32\Drivers\Flpydisk.SYS
Sterownik nie zostałˆ załˆadowany. \SystemRoot\System32\Drivers\Sfloppy.SYS
Sterownik nie zostaˆł zaˆładowany. \SystemRoot\System32\Drivers\i2omgmt.SYS
Sterownik nie zostaˆł zaˆładowany. \SystemRoot\System32\Drivers\Changer.SYS
Sterownik nie zostałˆ zaˆładowany. \SystemRoot\System32\Drivers\Cdaudio.SYS
Sterownik nie zostałˆ zaˆładowany. \SystemRoot\System32\Drivers\PCIDump.SYS
Sterownik nie zostałˆ zaˆładowany. \SystemRoot\system32\DRIVERS\rdbss.sys
Sterownik nie zostaˆł zaˆładowany. \SystemRoot\system32\DRIVERS\mrxsmb.sys
Sterownik nie zostałˆ zaˆładowany. \SystemRoot\system32\DRIVERS\ipnat.sys