Problemy z zawiechami na pulpicie

[Major Domo]

Proszę o ocenę dysku.

[Tak, wiem że temperatura jest o dużo za wysoka. Zaraz otwieram obudowę i czyszczę (To komp matki)]

Cały problem to zawieszanie się Windy na pulpicie, na stronach internetowych. Często trzeba robić w dodatku reseta.

Procesor Intel Pentium 4 HT - 2.6Ghz

Kontroler graficzny Zintegrowana

Pamięc RAM 512 MB DDR2

Chipset: Intel 915G Express

Karta graficzna: zintegrowana - Intel? Intel GMA 915 Dynamic Video Memory Technology 3.0 128 MB.

Zasilacz DELL model PS-5161-7DS 160W

To kompik biurowy, aczkolwiek brat czasem grywa na nim w Spore. [Które działa ]

Log z Anti-Malware ze skanowania szybkiego, teraz leci pełne.

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org


Wersja bazy: 4187


Windows 5.1.2600 Dodatek Service Pack 2

Internet Explorer 8.0.6001.18702


2010-06-10 21:37:12

mbam-log-2010-06-10 (21-37-12).txt


Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 115867

Upłynęło: 6 minut(y), 47 sekund(y)


Zainfekowanych procesów w pamięci: 3

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 2

Zainfekowanych wartości rejestru: 2

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 6


Zainfekowanych procesów w pamięci:

C:\WINDOWS\system32\EXPLORER.EXE (Password.Stealer) -> Unloaded process successfully.

C:\WINDOWS\system\svchost.exe (FakeMS) -> Unloaded process successfully.

C:\WINDOWS\system\wupdmgr.exe (Worm.AutoRun) -> Unloaded process successfully.


Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych kluczy rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\createprocess (FakeMS) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CREATEPROCESS (Worm.AutoRun.Gen) -> Quarantined and deleted successfully.


Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\explorer.exe (Password.Stealer) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wsctf.exe (Trojan.Agent) -> Quarantined and deleted successfully.


Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)


Zainfekowanych folderów:

(Nie znaleziono zagrożeń)


Zainfekowanych plików:

C:\WINDOWS\system32\EXPLORER.EXE (Password.Stealer) -> Delete on reboot.

C:\autorun.inf (FakeMS) -> Quarantined and deleted successfully.

C:\explore.exe (FakeMS) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\explorxp.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system\svchost.exe (FakeMS) -> Quarantined and deleted successfully.

C:\WINDOWS\system\wupdmgr.exe (Worm.AutoRun) -> Quarantined and deleted successfully.

[Sevard]

Dysk jest ok, ale system nie.

Ściągnij i uruchom OTL, pozaznaczaj opcje: Scan All Users, LOP Check, Purity Check. Zaznacz też opcję Use Safelist w Extra registry. Wklej oba wygenerowane przez OTL logi. Do tego dorzuć log z GMERa.

[Major Domo]

Zzipowane logi, jak na razie tylko z OTL.

EDIT: Dołączam log z GMERa:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-06-10 23:08:15

Windows 5.1.2600 Dodatek Service Pack 2

Running: cxnjd44s.exe; Driver: C:\DOCUME~1\Wojtek\USTAWI~1\Temp\kgecifod.sys



---- Kernel code sections - GMER 1.0.15 ----


?     cejbkvqr.sys                                                                                       Nie można odnaleźć określonego pliku. !

init  C:\WINDOWS\system32\drivers\senfilt.sys                                                            entry point in "init" section [0xF8184F80]


---- Registry - GMER 1.0.15 ----


Reg   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithList@MRUList         a


---- Files - GMER 1.0.15 ----


File  C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0001\adoc.bx-j  0 bytes

File  C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0001\md.dat-j   0 bytes

File  C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0001\url.axx-j  0 bytes

File  C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0001\w.axx-j    0 bytes

File  C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0001\wb.vx-j    0 bytes

File  C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\vps\0010            0 bytes


---- EOF - GMER 1.0.15 ----

logi.zip

[Sevard]

Uruchom OTL, w Custom Scans/Fixes w OTL wklej to co poniżej:

:Processes

killallprocesses


:Files

D:\autorun.inf


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


:Commands

[emptytemp]

i kliknij run fix. Wrzuć na forum log z tej operacji. Następnie wrzuć nowe logi z OTL wygenerowane w ten sam sposób, co poprzednio.

Tak ogólnie jednak raczej czysto. Co mnie bardziej niepokoi, to błędy usługi Serwer, które występują dosyć często. Zaktualizuj najpierw system do SP3 i zobacz, czy wtedy ustąpią objawy.

[Major Domo]

Wrzucam logi. Wszystkie zrobione już na SP3.

Lekki refresz tematu.

Ekhmem... Regulamin znasz? Daj chwilę czasu ludziom, nie minęło nawet 24h, a Ty już się niecierpliwisz... - Gofer

logi.zip

[Major Domo]

24h minęły, refresz, Sevard albo któryś inny ekspert, coś ciekawego w tych logach znaleźliście?

[Sevard]

Szkodników już nie widać, choć w systemie było coś grzebane. Wrzuć do napędu płytę z Windowsem, naciśnij klawisz Windows + R i w okienku, które wyskoczy wpisz komendę

sfc /scannow