winesm32. Tragiczny problem

[SPati]

Witam.
Zauważyłem, że często ludzie mają problem z tym szkodnikiem. Zorientowałem się, że na tym forum jest wielu specjalistów, którzy bardzo profesjonalnie pomagają w takiej sprawie.
Komputer bardzo wolno pracuje, i już przy samym starcie systemu- po załadowaniu procesów- procesor jest obciążony PRZYNAJMNIEJ w 60%. W CCleaner zauważyłem winesm32 w autostarcie.
Bardzo prosze o pomoc w jego usunięciu.

OTL > http://wklej.eu/index.php?id=f967d78852

[mateo8898]

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod: Zaznacz wszystko

Files to delete:
C:\Documents and Settings\Ja\Menu Start\Programy\Autostart\winesm32.exe
C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat
C:\WINDOWS\System32\drivers\scmbkhst.sys
C:\Documents and Settings\Ja\Dane aplikacji\rbuwzv.dat
C:\Documents and Settings\Ja\Dane aplikacji\avdrn.dat

Drivers to delete:
scmbkhst

klikasz Execute -> Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Uruchom OTL -> w oknie Custom Scans/Fixes wklej:

:OTL
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKCU..\Run: [Prec] C:\Program Files\Prec\PrecStarter.exe File not found
O20 - Winlogon\Notify\byXOhFWo: DllName - byXOhFWo.dll - File not found
O33 - MountPoints2\{4c53a644-7b36-11db-a8e9-0016e65f63b9}\Shell\AutoRun\command - "" = E:\jfvkcsy.bat -- File not found
O33 - MountPoints2\{4c53a644-7b36-11db-a8e9-0016e65f63b9}\Shell\explore\Command - "" = E:\jfvkcsy.bat -- File not found
O33 - MountPoints2\{5c2feda4-b198-11dc-ab49-0016e65f63b9}\Shell\AutoRun\command - "" = G:\sm.exe -- File not found
O33 - MountPoints2\{bc3037bd-c909-11dc-ab70-0016e65f63b9}\Shell\AutoRun\command - "" = RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
O33 - MountPoints2\{bc3037bd-c909-11dc-ab70-0016e65f63b9}\Shell\open\command - "" = RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
O33 - MountPoints2\{d656f892-ec4a-11dc-aba5-0016e65f63b9}\Shell\autorun\command - "" = ranvrgn.exe
O33 - MountPoints2\{d656f892-ec4a-11dc-aba5-0016e65f63b9}\Shell\explore\command - "" = ranvrgn.exe
O33 - MountPoints2\{d656f892-ec4a-11dc-aba5-0016e65f63b9}\Shell\open\command - "" = ranvrgn.exe
O33 - MountPoints2\{e513752c-5342-11dd-ac83-0016e65f63b9}\Shell\AutoRun\command - "" = ngp8l.exe
O33 - MountPoints2\{e513752c-5342-11dd-ac83-0016e65f63b9}\Shell\open\Command - "" = ngp8l.exe
@Alternate Data Stream - 12 bytes -> C:\WINDOWS\system32:{DA6227CB-326B-4B4D-9A81-04B61F1538DD}

:Files
C:\Program Files\DAEMON Tools Toolbar
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
C:\Documents and Settings\Ja\Menu Start\Programy\Autostart\Adobe Gamma.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"nwiz"=-

:Commands
[emptytemp]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL + log z GMER (przed uruchomieniem użyj Defoggera)

[SPati]

Dzięki za zainteresowanie się moim przypadkiem.

Oto log z Avangera > http://wklej.eu/index.php?id=8c4f25a1be

Niestety mam problem z OTL'em. Po wklejeniu Twojego tekstu i naciśnięciu "Run Fix" znikają ikonki na pulpicie, znika pasek zadań a z kursora robi się klepsydra. Program wygląda jakby stawał w miejscu w Menadżerze zadań ma status "Brak odpowiedzi". Próbowałem parę razy, i nie wiem co jest nie tak.



P.S Chyba pomogło już na tym etapie, bo po raz pierwszy widzę zużycie prosesora w przedziale od 2- 10 % Niesamowite!

[mateo8898]

Spróbuj wykonać usuwanie OTL w trybie awaryjnym.

[SPati]

Racja, w awaryjnym się udało.

Log z usuwania OTL > http://wklej.eu/index.php?id=a4b934d62c

Nowy log OTL > http://wklej.eu/index.php?id=001e6a9b6d

[mateo8898]

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O24 - Desktop Components:0 (Privacy Protection) -
O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\awtrOfcD) - File not found
O28 - HKLM ShellExecuteHooks: {EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9} - Reg Error: Key error. File not found

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"InCD"=-
"NeroFilterCheck"=-

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL

[SPati]

log z usunięcia ( pojawił się niemal natychmiast po wcisnięciu Run'a) > http://wklej.eu/index.php?id=43722a528b

nowy Scan OTL> http://wklej.eu/index.php?id=82dd2a6fb5

[mateo8898]

Ok, logi czyste.

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj SP3 https://www.instalki.pl/download/programy/windows/dodatki/aktualizacje/windows-xp-service-pack-3/

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) https://www.instalki.pl/download/programy/windows/internet/przegladarki-www/internet-explorer-8-xp/

[SPati]

Dzieki Ci wielkie mati8898. Szczerze mówiąc pisząc na tym forum miałem nadzieje uzyskać pomoc właśnie od Ciebie bo widziałem, że dobrze sobie z tym radzisz.
W końcu system chodzi normalnie.
Dzieki, i God bless You.