Proszę o sprawdzenie logów czy nie ma żadnych robaków.

[xxxbrowarekxxx]

Proszę o sprawdzenie logów czy nie ma żadnych robaków.
Od dłuższego czasu mam taki problem, otóż gdy np. gram to nagle wyłącza się komputer, wyskakuje niebieski ekran, jakieś znaczki Chinśkie i pozostaje mi tylko wyłączyć komputer guzikiem. Średnio to jest co 2 dni.
OTL: http://www.wklej.eu/index.php?id=9808616108
OTL (Extras): http://www.wklej.eu/index.php?id=8237ee3fad
GMER: http://www.wklej.eu/index.php?id=ca6006ab15

[kominekl]

O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") -C:\WINDOWS\System32\sysdm.cpl (cr1t1cal)

To przerabiany system operacyjny. Widać to również po ustawieniu strony startowej. Także będą tu zapewne pewne problemy z analizą loga.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

MOD - [2011-08-09 23:18:20 | 001,018,880 | ---- | M] () -- C:\Documents and Settings\All Users\My applications\lua8.exe
O4 - HKU\S-1-5-21-343818398-2049760794-1644491937-1001..\Run: [] File not found
O4 - Startup: C:\Documents and Settings\All Users\My applications\lua8.exe ()
O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found
O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found
O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found
@Alternate Data Stream - 111 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:010ADD2C

:Files
C:\WINDOWS\System32\secustat.dat
C:\WINDOWS\System32\secushr.dat
C:\dk2.mem

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania.

Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.

Następnie podajesz nowe logi z OTL.

Podaj odczyt minidump viewtopic.php?t=15501.

[xxxbrowarekxxx]

Jest mały problem,nie mam folderu "minidump", przestawiłem sobie zapisywanie informacji o debugowaniu na mały zrzut pamięci (przedtem miałem zaznaczony "brak") i dalej go nie ma w: C/WiNDOWS/

[kominekl]

Wykonaj resztę instrukcji.

[mateo8898]

Trudno, jeśli by się pojawił ten BSOD to po prostu spisz kod błędu.

[xxxbrowarekxxx]

Log OTL z usuwania http://wklej.eu/index.php?id=5d5a70afde
Raport z malwarebytes http://wklej.eu/index.php?id=d985f9a353
Nowy log z OTL: http://wklej.eu/index.php?id=f94696e6b6

[kominekl]

Źle wykonałeś wklejenie skryptu usuwającego. Powtórz usuwanie skryptem w trybie awaryjnym (mimo, że infekcja lua8.exe koń trojański został usunięty przez skaner na żądanie), ale tym razem skopiuj poprawnie to, co znajduje się w cudzysłowie (od rocesses).

Co do tego co znalazł Malwarebytes.

c:\documents and settings\SysOp\Pulpit\mexiliamt2\metin2.bin (Trojan.Agent) Quarantined and deleted successfully.
c:\documents and settings\SysOp\Pulpit\mexiliamt2\pack\metin2.bin (Trojan.Agent) Quarantined and deleted successfully.
c:\documents and settings\SysOp\Pulpit\Rozne\metin5.s2.07.02.2011\metin2.bin (Trojan.Agent) Quarantined and deleted successfully.
c:\documents and settings\SysOp\Pulpit\Rozne\metin5.s2.07.02.2011\pack\metin2.bin (Trojan.Agent) Quarantined and deleted successfully.
c:\documents and settings\SysOp\Pulpit\Rozne\mexiliamt2\metin2.bin (Trojan.Agent) Quarantined and deleted successfully.
c:\documents and settings\SysOp\Pulpit\Rozne\mexiliamt2\pack\metin2.bin (Trojan.Agent) Quarantined and deleted successfully.
c:\program files\counter-strike\platform\Admin\adminserver.dll (Malware.Packer.Gen) Quarantined and deleted successfully.

Jeśli masz pewność, co do źródła, z których zdobyłeś te pliki do Metin`a i CS to możesz to przywrócić z kwarantanny. Resztę z tego, co znalazł Malwarebytes usuń (co już zrobiłeś) i opróżnij kwarantannę Malwarebytes.

Po wykonaniu skryptu podaj nowe logi z OTL.

[xxxbrowarekxxx]

Powtórz usuwanie skryptem w trybie awaryjnym

To znaczy że jak?

[kominekl]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

O4 - HKU\S-1-5-21-343818398-2049760794-1644491937-1001..\Run: [] File not found
O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found
O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found
O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found
@Alternate Data Stream - 111 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:010ADD2C

:Files
C:\WINDOWS\System32\secustat.dat
C:\WINDOWS\System32\secushr.dat
C:\dk2.mem

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[xxxbrowarekxxx]

Log z usuwania: http://wklej.eu/index.php?id=caf8626806
Nowy log z OTL: http://wklej.eu/index.php?id=73dd0b795d

[kominekl]

Znowu źle to wykonałeś. Nie kopiujesz tylko rocesses i poszczególne wpisy. Do dyrektywy rocesses odnosi się tylko killallprocesses. Wykonaj to poprawnie.

[xxxbrowarekxxx]

Teraz już napewno dobrze wykonałem skrypt - log z usuwania http://wklej.eu/index.php?id=16edbf49f7
Nowy log z OTL: http://wklej.eu/index.php?id=90e74a861d

[kominekl]

Teraz już zrobiłeś to dobrze .

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4 - HKLM..\RunOnce: [InnoSetupRegFile.0000000001] C:\WINDOWS\is-GCC1S.exe ()

:Files
C:\WINDOWS\is-GCC1S.msg
C:\WINDOWS\is-GCC1S.lst

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. W OTL Sprzątanie.

Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj ponownie pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję Java(TM) 6 Update 25 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.

Po wykonaniu wszytskiego napisz, czy są jeszcze jakieś problemy.

[mateo8898]

[HKEY_USERS\S-1-5-21-343818398-2049760794-1644491937-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"=-

Usunięcie tego wpisu to nie jest zbyt dobry pomysł... Poza tym i tak nie dałeś wcześniej :Reg
Skrypt edytuję.

[kominekl]

OK. Nie zauważyłem, że nie ma :Reg. Teraz skrypt jest już OK.