dmwu.exe, stij.exe

[meler89]

Witam, mam problem z plikami umieszczonymi w temacie: dmwu.exe, stij.exe. Spowalniają komputer, a gdy staram się usunąć je w managerze zadań niemal natychmiast uruchamiają się ponownie. Szukałem programów na innych stronach, które mogłyby rozwiązać problem, ale niestety bez pozytywnych rezultatów.

Pozdrawiam i proszę o pomoc, meler89.

[meler89]

Nie wiem dlaczego, ale przy próbie pobrania OTL resetuje mi połączenie internetowe na tym forum, sytuacja powtarza się przy próbie ściągniecia tego programu z każdej innej strony...

Zamieszczam log z GMER'a:

http://www.wklej.eu/index.php?id=955923e795

[mateo8898]

Zapewne infekcja blokuje. Wrzuciłem na hosting, spróbuj z niego pobrać http://www3.zippyshare.com/v/31614891/file.html (nazwa specjalnie zmieniona)

[meler89]

Wersja którą wrzuciłeś jest niekompatybilna z moim windows'em, mam system xp.

up* załatwiłem OTL, oto logi:

Extras: http://www.wklej.eu/index.php?id=8d68d167d7
OTL: http://www.wklej.eu/index.php?id=22ffaa3045

[mateo8898]

Wersja OTL na pewno jest w porządku i obsługuje XP. Tylko ten Twój system jest jakiś dziwny bo nawet na forum pokazuje go jako... 98

Windows NT 4.10

Odinstaluj: Yontoo 1.12.02, SweetIM for Messenger 3.7, IB Updater 2.0.0.574, AVG Security Toolbar, DAEMON Tools Toolbar, DealPly, McAfee Security Scan Plus, Update_DealPly. Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV - File not found [Kernel | System | Running] -- C:\Program Files\iSafe\iSafeNetFilter.sys -- (iSafeNetFilter)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Admin\USTAWI~1\Temp\fwacyfog.sys -- (fwacyfog)
DRV - File not found [Kernel | On_Demand | Running] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.26010003&st=12&barid={4376BCC3-A72D-41C9-B93D-C3E27D7D6283}
IE - HKU\S-1-5-21-484763869-1844823847-682003330-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
IE - HKU\S-1-5-21-484763869-1844823847-682003330-1003\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}\InprocServer32 File not found
IE - HKU\S-1-5-21-484763869-1844823847-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-484763869-1844823847-682003330-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.26010003&st=12&q={searchTerms}&barid={4376BCC3-A72D-41C9-B93D-C3E27D7D6283}
[2013-10-21 12:28:29 | 000,002,115 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7phoiz0r.default\searchplugins\MyStart Search.xml
[2012-09-15 09:47:15 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7phoiz0r.default\searchplugins\sweetim.xml
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
[2014-01-15 14:50:53 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Dane aplikacji\eCyber
[2014-01-15 14:50:20 | 000,000,000 | ---D | C] -- C:\Program Files\iSafe
[2014-01-15 14:50:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Dane aplikacji\iSafe
[2014-01-15 18:14:00 | 000,000,452 | ---- | M] () -- C:\WINDOWS\tasks\DTReg.job
[2014-01-15 16:15:13 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job
[2014-01-15 16:15:12 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
[2014-01-15 14:52:40 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2013-12-29 11:12:40 | 001,488,176 | ---- | M] () -- C:\WINDOWS\System32\dmwu.exe
[2013-12-22 03:24:50 | 000,000,440 | ---- | M] () -- C:\WINDOWS\tasks\SlimDrivers Scan.job
[2013-06-28 10:32:50 | 000,003,730 | ---- | C] () -- C:\Program Files\Mozilla Firefoxavg-secure-search.xml
[2013-08-20 13:49:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Dane aplikacji\Babylon
[2013-02-07 15:05:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Dane aplikacji\DealPly
[2014-01-15 14:54:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Dane aplikacji\eCyber
[2014-01-15 16:16:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Dane aplikacji\iSafe
[2012-09-15 12:11:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask
[2013-08-20 13:49:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2013-11-29 23:02:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\BonanzaDealsLive
[2014-01-15 17:17:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web
[2012-10-01 20:19:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\SweetIM

:Files
C:\WINDOWS\system32\jmdp

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=-
"C:\WINDOWS\system32\dmwu.exe"=-
"C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\incredibar_install.exe"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

Skrypt w OTL wykonaj w trybie awaryjnym.

[meler89]

Wszystko wykonane zgodnie z zaleceniem, tylko Yantoo nie dało się usunąć, logi:
skrypt: http://www.wklej.eu/index.php?id=a8648b2f7c
extras: http://www.wklej.eu/index.php?id=56dd78d4ff
otl: http://www.wklej.eu/index.php?id=05fc306d6d

[mateo8898]

Wklej w OTL:

:OTL
IE - HKU\S-1-5-21-484763869-1844823847-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/?a=6R8SBR8vmU&loc=skw
IE - HKU\S-1-5-21-484763869-1844823847-682003330-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/?a=6R8SBR8vmU&loc=skw&search={searchTerms}
[2013-05-23 15:10:09 | 000,003,716 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Program Files\IB Updater\Firefox
O2 - BHO: (no name) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - No CLSID value found.
O2 - BHO: (no name) - {336D0C35-8A85-403a-B9D2-65C292C39087} - No CLSID value found.
O2 - BHO: (no name) - {7F6AFBF1-E065-4627-A2FD-810366367D01} - No CLSID value found.
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-484763869-1844823847-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-484763869-1844823847-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-484763869-1844823847-682003330-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3 - HKU\S-1-5-21-484763869-1844823847-682003330-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
[2014-01-15 17:17:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Doctor Web


:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-

Klikasz Wykonaj skrypt i podajesz log z usuwania.

[meler89]

log z usuwania: http://wklej.eu/index.php?id=830a5ccd8f

[mateo8898]

W OTL Sprzątanie

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc O programie FIrefox)

[meler89]

Wszystko wykonane, dziękuję za pomoc i pozdrawiam.