​Wirus notepad.exe

[wilkoxd]

Mam problem z procesem notepad.exe. Nie mam wlaczonego notatnika ale on jednak tam jest. Co mam zrobic?

[Nezvik]

Podany fix wklej na dole w OTL następnie naciśnij przycisk WYKONAJ i wstaw log z usuwania.

 

:processes

killallprocesses

 

:OTL

MOD - [2002-02-02 18:02:22 | 000,599,552 | ---- | M] () -- C:\Documents and Settings\Wilku\Pulpit\nb1.7\NetBus1.7_PL.exe


DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)

DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)

DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)

DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)

DRV - File not found [Kernel | System | Stopped] --  -- (Changer)


DRV - [2013-03-07 10:49:20 | 000,013,896 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\epmntdrv.sys -- (epmntdrv)

DRV - [2013-03-07 10:49:20 | 000,009,160 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\EuGdiDrv.sys -- (EuGdiDrv)


O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)

O2 - BHO: (WinToFlash Suggestor) - {FC36B0BD-27F0-4cdd-8AB1-50651EFC3EFD} - C:\Program Files\WinToFlash Suggestor\WinToFlashSuggestor.dll (Novicorp LLC)

O4 - HKLM..\Run: [GrooveMonitor] D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)

O4 - HKLM..\Run: [HKLM] C:\Documents and Settings\Wilku\Dane aplikacji\svchost.exe\svchost.exe ()

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\Wilku\Dane aplikacji\svchost.exe\svchost.exe ()

O4 - HKCU..\Run: [piubol] C:\Documents and Settings\Wilku\piubol.exe ()

O8 - Extra context menu item: Ściągnij przez IDM - D:\Program Files\Internet Download Manager\IEExt.htm ()


O8 - Extra context menu item: Ściągnij wszystkie linki przez IDM - D:\Program Files\Internet Download Manager\IEGetAll.htm ()

O8 - Extra context menu item: Ściągnij zawartość wideo FLV przez IDM - D:\Program Files\Internet Download Manager\IEGetVL.htm ()

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\MSDCSC\msdcsc.exe) -  File not found


O33 - MountPoints2\{368651ac-b438-11e3-b5f8-002219dbdfc4}\Shell - "" = AutoRun

O33 - MountPoints2\{368651ac-b438-11e3-b5f8-002219dbdfc4}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE  .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

O33 - MountPoints2\{368651b0-b438-11e3-b5f8-002219dbdfc4}\Shell - "" = AutoRun

O33 - MountPoints2\{368651b0-b438-11e3-b5f8-002219dbdfc4}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE  .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

 






:Files

C:\Documents and Settings\Wilku\Dane aplikacji\svchost.exe\svchost.exe

C:\Documents and Settings\Wilku\Pulpit\Qslowloris v0.1

C:\Documents and Settings\Wilku\piubol.exe

C:\Documents and Settings\Wilku\piubol.scr

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

 

Przeskanuj na virustotal.com

C:\WINDOWS\system32\windrvNT.sys

 

Niezła paleta wirusów / adaware / spyware. Wykonaj nowe logi OTL. Musisz ustawić wszystkie opcje takie jak na zdjęciu (w tym zaznaczone infekcje Purity i LOP oraz rejestr dodatkowy skan).

Jedynie co mnie dziwi, to to że ten proces notepad.exe nie jest chyba wirusem Nie ma go w logach OTL, ale oprócz tego jest naprawdę dużo do roboty.

[wilkoxd]

Tak

[wilkoxd]

Logi OTL

skan

Zauwazylem kolejny problem. Kiedy probuje zmienic nazwe archiwum WinRAR'a wyskakuje powiadomienie : "Jesli zmienisz rozszerzenie nazwy pliku, plik moze stac sie niezdany do uzytku. Czy na pewno chcesz zmienic rozszerzenie?". Aby zmienic nazwe musze dopisac np. nazwa.rar

[Nezvik]

Wykonaj logi OTL:

 

http://www.mpcforum.pl/topic/679592-tutlogi-co-i-jak/

[Kirito.]

Wyłączyć go?

To żaden wirus, po prostu usługa chodzi w tle i tyle, ew. odinstaluj.

[Janusz.]

no to to nie jest problem tylko normalna wiadomość windowsa. wysłałeś puste archiwum : d

[wilkoxd]

Temat do zamkniecia zrobilem format i po problemie

[wilkoxd]

Czlowieku. Gdybym mogl normalnie wylaczyc ten proces to bym wogole tego tematu nie zakladal. Chyba logiczne. A tak btw to genialny pomysl! Odinstaluje notatnik!

[Janusz.]

bo pewnie nie zaznaczyłeś skanu dodatkowego (rejestr). zrób to jeszcze raz.

[wilkoxd]

Przepraszam za to puste archiwum ciagle sie ucze i ciezko mi sie skupic na czymkolwiek innym
zalaczam log z OTL(nie wiem dlaczego nie zrobil Extras.txt)

http://speedy.sh/NzADr/OTL.Txt

[Janusz.]

jak włączasz notatnik to ten proces się dubluje?