Witam. Problem u mnie jest nastepujacy: na partycji C ciągle coś mi ‘żre’ miejsce. Przydzielone jest 20gb (system i kilka programów) a w chwili obecnej jest wolne 47,6 mb. Oczyszczanie dysku (Mój komputer > Wlasciwosci - Oczyszczanie dysku) pokazuje ze moze zwolnic 200mb, lecz gdy klikam twierdząco myśli chwile po czym się wyłącza i nic sie nie dzieje. Gdy recznie usuwam pliki, programy (bądź przenoszę na inną partycję) przez chwile to miejsce jest wolne, po czym znowu zostaje od 10 do 40 mb wolnego miejsca. Podczas próby wyłączenia przywracania systemu również nic sie nie dzieje (niby wyłącza ale nic wiecej poza ‘niby’). Gdy raz udało mi się zwolnic 2 gb na dłuższą chwile, po ściągnięciu z internetu jednego pliku (ok 4 mb) wyskoczył błąd brak miejsca na dysku i znowu mialem 40mb wolnego miejsca tylko i komputer zaczął się ‘ciąć’.

P.S> Z tymi programami w trayu co teraz, wcześniej komputer chodził bez zastrzeżeń (ashampoo firewall, kmwakeup oraz nokia pcsuite)

LOG z hijacka: http://wklej.org/id/91257/

Z góry dziękuję za pomoc

Log jest czysty .

Więc co to może być ?

C:\Documents and Settings\Master\Ustawienia lokalne\temp\RarSFX0\7yh9k4.exe 0,11MB

C:\Documents and Settings\Master\Ustawienia lokalne\temp\RarSFX0\agff4.exe 1,99MB

Może ktoś wie jeszcze co to za pliki są? Nie dają się usunąć (czytałem że to jakiś trojan)

Gdzie widzisz te wpisy ??Zamieść log z ComboFix

Nie wiem czemu nie widzicie jego logów tu je macie :

#


Logfile of Trend Micro HijackThis v2.0.2


#


Scan saved at 10:22:41, on 2009-05-16


#


Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)


#


MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)


#


Boot mode: Normal


#



#


Running processes:


#


C:\WINDOWS\System32\smss.exe


#


C:\WINDOWS\system32\winlogon.exe


#


C:\WINDOWS\system32\services.exe


#


C:\WINDOWS\system32\lsass.exe


#


C:\WINDOWS\system32\svchost.exe


#


C:\WINDOWS\System32\svchost.exe


#


C:\WINDOWS\system32\spoolsv.exe


#


C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe


#


C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe


#


C:\Program Files\Bonjour\mDNSResponder.exe


#


C:\Program Files\Java\jre6\bin\jqs.exe


#


C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe


#


C:\Program Files\Spyware Doctor\pctsAuxs.exe


#


C:\WINDOWS\System32\svchost.exe


#


C:\WINDOWS\Explorer.EXE


#


C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe


#


C:\WINDOWS\system32\ctfmon.exe


#


C:\Program Files\Mozilla Firefox\firefox.exe


#


C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


#


C:\WINDOWS\system32\wuauclt.exe


#


C:\Program Files\KM Wakeup\kmwakeup.exe


#


C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe


#


C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe


#


C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe


#


C:\WINDOWS\Explorer.EXE


#


C:\Program Files\foobar2000\foobar2000.exe


#


C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


#



#


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157


#


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896


#


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896


#


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local


#


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza


#


O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll


#


O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL


#


O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll


#


O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll


#


O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll


#


O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto


#


O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY


#


O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe


#


O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray


#


O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')


#


O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')


#


O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')


#


O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000


#


O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll


#


O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll


#


O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL


#


O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe


#


O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe


#


O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


#


O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


#


O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL


#


O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL


#


O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe


#


O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe


#


O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe


#


O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe


#


O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe


#


O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe


#


O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe


#


O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


#


O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe


#


O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe


#


O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


#



#


--


#


End of file - 5866 bytes

Kazek31 tych wpisów nie ma w HijackThis!!

A po drugie widzimy jego log z HijackThis!

Te wpisy są z CCleanera, podczas czyszczenia zawsze wyskakują, potem niby je usuwa a potem przy kolejnej analizie znowu są i tak dalej i tak dalej. Zaraz będzie log z cf

EDIT:

Log z combofixa: http://wklej.org/id/91294/

Ponieważ przeniośł on całą górę śmieci z kosza i nie tylko do jednego folderu na partycji systemowej.

Z tego powodu radzę ci czasami opróżniać kosz. [-X

Wklej do notatnika:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@=-

Plik zapisz jako typ wszystkie pliki pod nazwą fix.reg (najlepiej na pulpicie). Powstały plik uruchamiasz dwuklikiem i potwierdzasz chęć wprowadzenia do rejestru, a potem restart.

Sprawdź w folderze C:\Qoobox, czy nie zostało usunięte coś ważnego. Jeśli tak, to usuń z nazwy końcówkę .vir i przenieś plik na swoje miejsce.

Po tym:

Menu Start -> Uruchom… -> wpisz: %userprofile%\Pulpit\Combofix.exe /u

Optymalizacja XP

Posprzątaj komputer CCleanerem.

Zoptymalizuj startowanie komputera.

Wykonaj pełny skan Dr Web CureIt!.

Jeśli będą wirusy, to usuń je.

Już wiem, to nie było od kosza (kosz mam zawsze pusty, musialo cos zostac z poprzedniego systemu zainstalowanego razem z tym). Po prostu poprzenosił pliki do kwarantanny.

Dzięki za pomoc, na razie wszystko śmiga

P.S. Jeszcze tak na marginesie, czy te pliki poniżej są systemowe?

2009-05-12 20:29 . 2008-08-08 05:04	545	----a-w	c:\windows\PKZIP.PIF

2009-05-12 20:29 . 2008-08-08 05:04	545	----a-w	c:\windows\RAR.PIF

2009-05-12 20:29 . 2008-08-08 05:04	545	----a-w	c:\windows\UC.PIF

2009-05-12 20:29 . 2008-08-08 05:04	545	----a-w	c:\windows\PKUNZIP.PIF

2009-05-12 20:29 . 2008-08-08 05:04	545	----a-w	c:\windows\LHA.PIF

2009-05-12 20:29 . 2008-08-08 05:04	545	----a-w	c:\windows\NOCLOSE.PIF

2009-05-12 20:29 . 2008-08-08 05:04	545	----a-w	c:\windows\ARJ.PIF

Niezupełnie. To wygląda na pliki Vundo. Raczej do usunięcia.

http://www.threatexpert.com/report.aspx … 6456f633c8

EDIT: Moja pomyłka, nie usuwaj. Jeśli usunąłeś jednak - przeinstaluj Total Commandera.