swinggcat
(Kubagame)
17 Sierpień 2009 14:49
#1
Witam! Posiadam laptopa z windowsem xp.
Jakieś 3 dni temu zrestartowałem kompa po tym jak zawiesił się przy aktualizacji.
Po tym restarcie system zaczął wariować. Konkretniej, po każdym włączeniu/restarcie, po wpisaniu hasła użytkownika profilu windows strasznie długo się aktywuje. Później pojawia się sam pulpit bez ikonek ani pasku zadań! Po kilkakrotnym zamknięciu i otworzeniu klapki laptopa (stan wstrzymania), odczekaniu paru minut i o ile komputer w tym czasie nie zdąrzy się po raz kolejny zawiesić ikonki i pasek zadan się pojawiają! Jednak to nie koniec problemów, jak już wszystko niby wróciło do normy to przestaje działać Internet. Posiadam modem bezprzewodowy iPlusa. Komputer wynajduje jakieś bledy przy próbie polączenia się z internetem.
Załamany postanawiam uruchomić Combofix. Program włącza mi się w jakimś trybie zredukowanej funkcjonalności wcześniej powiadomiewszy mnie iż moja kopia combofixa wygasła (btw wie ktoś skąd sciągnąć najnowszą wersję?). Po zakonczeniu skanowania Internet zaczyna działać i wszystko jest ok. Aż do ponownego restartu/uruchomienia komputera.
Gdy dzisiaj wlaczylem laptopa, po tych wszystkich procedurach opisanych powyżej, gdy wreszcie ikonki się pokazały wyskakuje mi komunikat: Error! ->Could not load the NHC driver.
Znowu skanuje Combosem i o to log: (cały log jest strasznie długi, wcześniej się nie spotkalem aby był taki długi więc wkleję tylko część która wydaje mi się najważniejsza, jeśli będzie trzeba wkleję całość)
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ALLUpdate”=“e:\allplayer\ALLUpdate.exe” [2008-11-24 869888] “DAEMON Tools”=“c:\program files\DAEMON Tools\daemon.exe” [2007-08-16 167368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “HP Software Update”=“c:\program files\Hp\HP Software Update\HPWuSchd2.exe” [2007-05-08 54840] “QlbCtrl.exe”=“c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe” [2008-10-10 206128] “QuickTime Task”=“e:\quicktime\QTTask.exe” [2008-05-27 413696] “NotebookHardwareControl”=“e:\notebook hardware control\nhc.exe” [2007-05-04 2629632] “avgnt”=“c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” [2008-06-12 266497] “Adobe Reader Speed Launcher”=“e:\adobe\Reader\Reader_sl.exe” [2009-02-27 35696] “NeroFilterCheck”=“c:\windows\system32\NeroCheck.exe” [2006-01-12 155648] “SunJavaUpdateSched”=“c:\program files\Java\jre6\bin\jusched.exe” [2009-03-09 148888] “TkBellExe”=“c:\program files\Common Files\Real\Update_OB\realsched.exe” [2009-07-04 198160] “iPlusManager”=“e:\iplus\iPlusChecker.exe” [2009-05-06 438272] “IDTSysTrayApp”=“sttray.exe” [2008-02-27 c:\windows\sttray.exe] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] “HonorAutoRunSetting”= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] “msacm.avis”= ff_acm.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @=“Driver” [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “e:\Counter-Strike\hl.exe”= “c:\gadu gadu\Gadu-Gadu\gg.exe”= “e:\CALLOFDUTY4\iw3mp.exe”= “e:\cod5waw\CoDWaWmp.exe”= “e:\cod5waw\CoDWaW.exe”= “e:\SonyWalkmanManager\MediaManager.exe”= “e:\Program Files\Wolfenstein - Enemy Territory\ET.exe”= “e:\quake III\quake3.exe”= “e:\Ubisoft\Splinter Cell Pandora Tomorrow\pandora.exe”= “c:\Program Files\Skype\Phone\Skype.exe”= “%windir%\Network Diagnostic\xpnetdiag.exe”= “e:\Quake III Arena\quake3.exe”= “e:\nfsu\nfsuserver.0.9.9.exe”= “e:\nfsu\nfsuclient.exe”= “e:\Ea Sports\F-1 Mania 2008\F1 Challenge 2008.exe”= “c:\WINDOWS\system32\dplaysvr.exe”= “c:\Program Files\Cossacks\dmcr.exe”= “e:\IVT Corporation\BlueSoleil\BlueSoleil.exe”= R0 ahcix86;ahcix86;c:\windows\system32\DRIVERS\ahcix86.sys [2008-11-29 176136] R1 hmonitor;hmonitor;??\c:\windows\system32\drivers\hmonitor.sys [2009-02-25 10536] S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\DRIVERS\ZTEusbnmeaext.sys [2009-06-27 103936] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{08e152d1-4df8-11de-b6d7-001e68c39224}] \Shell\AutoRun\command - G:\ukvr.bat \Shell\open\Command - G:\ukvr.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{0adc9f80-3d81-11de-b6bd-001e68c39224}] \Shell\AutoRun\command - G:\i.cmd \Shell\open\Command - G:\i.cmd [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{12d4fc0d-04bf-11de-b628-001e68c39224}] \Shell\AutoRun\command - a2h2.com \Shell\open\Command - a2h2.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{3b7bb424-be2e-11dd-b545-001e68c39224}] \Shell\AutoRun\command - G:\y6yol.exe \Shell\open\Command - G:\y6yol.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{45d16e18-496b-11de-b6ce-001e68c39224}] \Shell\AutoRun\command - G:\ncyrf.bat \Shell\explore\Command - G:\ncyrf.bat \Shell\open\Command - G:\ncyrf.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{45d16e19-496b-11de-b6ce-001e68c39224}] \Shell\AutoRun\command - H:\8.bat \Shell\open\Command - H:\8.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{7414bd64-c16e-11dd-b55e-001e68c39224}] \Shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{774aaa4a-7f3a-11de-b740-00030d000001}] \Shell\AutoRun\command - G:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{893746d3-61ad-11de-b6fa-001e68c39224}] \Shell\ArcaVirMenu\command - G:\ArcaVir2009USBMenu.exe \Shell\AutoRun\command - G:\ArcaVir2009USBMenu.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{893746d4-61ad-11de-b6fa-001e68c39224}] \Shell\AutoRun\command - H:\s.exe \Shell\open\Command - H:\s.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{893746d5-61ad-11de-b6fa-001e68c39224}] \Shell\AutoRun\command - G:\AutoRunCardDetector.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{a388402e-070b-11de-b62d-001e68c39224}] \Shell\AutoRun\command - F:\jeorels.cmd \Shell\open\Command - F:\jeorels.cmd [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ba0756dc-5ce7-11de-b6ef-001e68c39224}] \Shell\AutoRun\command - G:\d9c.bat \Shell\open\Command - G:\d9c.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c039481c-648a-11de-b6ff-001e68c39224}] \Shell\AutoRun\command - G:\AutoRunCardDetector.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c0394842-648a-11de-b6ff-001e68c39224}] \Shell\AutoRun\command - I:\cj1m.com \Shell\open\Command - I:\cj1m.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{d95c00e5-029d-11de-b622-001e68c39224}] \Shell\AutoRun\command - G:\q9.cmd \Shell\open\Command - G:\q9.cmd [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{e4def039-7e76-11de-b73c-00030d000001}] \Shell\AutoRun\command - G:\AutoRun.exe . Zawartość folderu ‘Zaplanowane zadania’ 2009-08-17 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2009-03-10 22:18] . - - - - USUNIĘTO PUSTE WPISY - - - - HKCU-Run-RGSC - e:\rgsc\Rockstar Games Social Club\RGSCLauncher.exe . ------- Skan uzupełniający ------- . FireFox -: Profile - c:\documents and settings\Kuba-pc\Dane aplikacji\Mozilla\Firefox\Profiles\v5usffk4.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.pl FF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npdeploytk.dll FF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npjp2.dll FF -: plugin - c:\program files\Microsoft Silverlight\2.0.40115.0\npctrl.dll FF -: plugin - c:\program files\Mozilla Firefox\plugins\npdeploytk.dll FF -: plugin - c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll FF -: plugin - c:\windows\Microsoft.NET \Framework\v3.5\Windows Presentation Foundation\NPWPF.dll FF -: plugin - e:\adobe\Reader\browser\nppdf32.dll FF -: plugin - e:\google\Picasa3\npPicasa3.dll FF -: plugin - e:\quicktime\Plugins\npqtplugin.dll FF -: plugin - e:\quicktime\Plugins\npqtplugin2.dll FF -: plugin - e:\quicktime\Plugins\npqtplugin3.dll FF -: plugin - e:\quicktime\Plugins\npqtplugin4.dll FF -: plugin - e:\quicktime\Plugins\npqtplugin5.dll FF -: plugin - e:\quicktime\Plugins\npqtplugin6.dll FF -: plugin - e:\quicktime\Plugins\npqtplugin7.dll FF -: plugin - e:\quicktime\Plugins\npqtplugin8.dll FF -: plugin - e:\real alternative\browser\plugins\nppl3260.dll FF -: plugin - e:\real alternative\browser\plugins\nprpjplug.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-17 16:16:55 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide] “ImagePath”="??\c:\docume~1\Kuba-pc\USTAWI~1\Temp\ASFWHide" . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > ‘winlogon.exe’(1072) c:\windows\system32\Ati2evxx.dll . Czas ukończenia: 2009-08-17 16:17:44 ComboFix-quarantined-files.txt 2009-08-17 14:17:33 ComboFix2.txt 2009-02-19 16:48:48 ComboFix3.txt 2009-02-18 21:11:32 ComboFix4.txt 2009-02-03 18:29:08 ComboFix5.txt 2009-08-16 15:37:40 Przed: 24,136,048,640 bajtów wolnych Po: 24,122,159,104 bajtów wolnych 7988 — E O F — 2009-08-17 07:51:40
Z góry dziękuję za pomoc! i pozdrawiam.
deFco247
(deFco247)
17 Sierpień 2009 14:53
#2
Log ucięty od połowy.
Logi wklejasz na wklej.org lub wklej.to , a w poście dajesz link.
swinggcat
(Kubagame)
17 Sierpień 2009 15:02
#3
deFco247
(deFco247)
17 Sierpień 2009 15:12
#4
Wklej log na wklej.to , bo wklej.org się nie ładuje.
swinggcat
(Kubagame)
17 Sierpień 2009 15:29
#5
coś dziwnie to się zrobiło przez wklej.to ale proszę (jakby dół ucięty ale to co jest ucięte to wpisałem w pierwszym poście)
http://wklej.to/M7mL
deFco247
(deFco247)
17 Sierpień 2009 15:32
#6
:shock:
No to żeś wyskoczył, Combofix sprzed 10 miesięcy? :?
Usuń go jak najszybciej: Menu Start -> Uruchom… -> Combofix /u
Pokaż logi OTL oraz GMER .
W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj .
swinggcat
(Kubagame)
17 Sierpień 2009 16:53
#7
przecież napisałem
OTL’em nie udało mi się zrobić - zawiesił się w połowie ;/
GMR poleciał do końca ale gdy wcisnąłem kopiuj to pojawił się błąd krytyczny (niebieski ekran) i komputer zrestartował się automatycznie
co zrobić?