misiu1
(Michalrub)
8 Listopad 2007 21:12
#1
Witam. Mam problem. Komputer co jakiś czas się restartuje, NOD32 nic nie wykrywa, skanowałem evido i spybotem bez rezultatu. Proszę o pomoc
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:01:08, on 2007-11-08 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe C:\Program Files\Common Files\Teleca Shared\Generic.exe C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Winamp\winamp.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll O4 - HKLM…\Run: [skyTel] SkyTel.EXE O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [LanguageShortcut] “C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [!AVG Anti-Spyware] “C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe – End of file - 5220 bytes
LostWorld
(LostWorld)
8 Listopad 2007 21:17
#2
W logu jest okej.
Daj log z Combofix
Opis użycia ComboFix jest na tej stronie z linku.
Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/ , a tu daj tylko link
misiu1
(Michalrub)
9 Listopad 2007 18:47
#3
Przepraszam, że tak długo.
Przy zamykaniu programu Spybot pojawił sie komunikat:
czy to normalne
daję log z Combofixa, niestety tutaj w całości, strona podana do wklejenia not found.
ComboFix 07-11-08.1 - Adam 2007-11-09 19:31:21.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.583 [GMT 1:00] Running from: C:\Documents and Settings\Adam\Pulpit\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((( Files Created from 2007-10-09 to 2007-11-09 ))))))))))))))))))))))))))))))) . 2007-11-09 19:30 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-08 21:55 2007-11-08 21:04 2007-11-06 21:20 2007-11-04 21:21 2007-11-04 21:20 2007-11-04 21:11 2007-10-28 14:39 2007-10-27 14:49 2007-10-19 18:29 2007-10-19 18:28 2007-10-19 18:28 2007-10-19 18:28 2007-10-19 18:28 2007-10-19 18:28 2007-10-19 18:24 2007-10-18 16:48 2007-10-16 20:44 1,415,680 --a------ C:\WINDOWS\system32\WMV9VCM.dll 2007-10-16 20:44 921,600 --a------ C:\WINDOWS\system32\vorbisenc.dll 2007-10-16 20:44 237,568 --a------ C:\WINDOWS\system32\OggDS.dll 2007-10-16 20:44 188,416 --a------ C:\WINDOWS\system32\vorbis.dll 2007-10-16 20:44 45,056 --a------ C:\WINDOWS\system32\ogg.dll 2007-10-16 20:43 245,760 --a------ C:\WINDOWS\system32\mplvpx.dll 2007-10-16 20:43 9,216 --a------ C:\WINDOWS\system32\cpuinf32.dll 2007-10-16 20:42 1,559,040 --a------ C:\WINDOWS\system32\xvidcore.dll 2007-10-16 20:42 740,442 --a------ C:\WINDOWS\system32\DivX.dll 2007-10-11 16:56 2007-10-11 16:55 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-08 21:27 --------- d-----w C:\Documents and Settings\Adam\Dane aplikacji\Skype 2007-11-04 20:18 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-10-19 17:25 89,872 ----a-w C:\WINDOWS\system32\drivers\k750mdm.sys 2007-10-19 17:25 81,728 ----a-w C:\WINDOWS\system32\drivers\k750mgmt.sys 2007-10-19 17:25 79,488 ----a-w C:\WINDOWS\system32\drivers\k750obex.sys 2007-10-19 17:25 6,576 ----a-w C:\WINDOWS\system32\drivers\k750mdfl.sys 2007-10-19 17:25 6,144 ----a-w C:\WINDOWS\system32\drivers\k750cmnt.sys 2007-10-19 17:25 6,144 ----a-w C:\WINDOWS\system32\drivers\k750cm.sys 2007-10-19 17:25 55,216 ----a-w C:\WINDOWS\system32\drivers\k750bus.sys 2007-10-19 17:25 5,744 ----a-w C:\WINDOWS\system32\drivers\k750whnt.sys 2007-10-19 17:25 5,744 ----a-w C:\WINDOWS\system32\drivers\k750wh.sys 2007-10-19 17:24 --------- d-----w C:\Program Files\Common Files\InstallShield 2007-10-11 17:11 --------- d-----w C:\Program Files\Gadu-Gadu 2007-10-07 06:05 --------- d-----w C:\Program Files\AidemMedia 2007-09-14 19:43 --------- d-----w C:\Program Files\Java 2007-09-14 19:38 --------- d-----w C:\Program Files\Common Files\Java 2007-09-14 13:53 --------- d-----w C:\Program Files\Dino - Intruzi w Ogrodzie 2007-09-13 19:11 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-09-13 19:02 --------- d-----w C:\Program Files\Ubisoft 2007-09-12 19:01 --------- d-----w C:\Program Files\IrfanView 2007-09-11 19:49 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Electronic Arts 2007-09-11 19:38 --------- d-----w C:\Program Files\Electronic Arts 2007-09-11 01:18 --------- d-----w C:\Program Files\Common Files\Nero 2007-09-11 01:18 --------- d-----w C:\Program Files\Common Files\LightScribe 2007-09-11 01:17 --------- d-----w C:\Program Files\Common Files\Ahead 2007-09-11 01:17 --------- d-----w C:\Program Files\Ahead 2007-09-11 00:04 --------- d-----w C:\Program Files\Common Files\Adobe 2007-09-11 00:02 --------- d-----w C:\Program Files\MarBit 2007-09-11 00:01 --------- d-----w C:\Program Files\Winamp 2007-09-10 23:55 --------- d-----w C:\Program Files\Microsoft.NET 2007-09-10 23:39 --------- d-----w C:\Program Files\Realtek 2007-09-10 23:29 --------- d-----w C:\Program Files\microsoft frontpage 2007-09-10 23:28 --------- d-----w C:\Program Files\Usługi online 2007-09-10 20:49 --------- d-----w C:\Program Files\Skype 2007-09-10 20:49 --------- d-----w C:\Program Files\Common Files\Skype 2007-09-10 20:49 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Skype 2007-09-10 20:12 --------- d-----w C:\Documents and Settings\Adam\Dane aplikacji\Gadu-Gadu 2007-09-10 20:02 502,368 ----a-w C:\WINDOWS\system32\drivers\amon.sys 2007-09-10 20:02 270,336 ----a-w C:\WINDOWS\system32\imon.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SkyTel”=“SkyTel.EXE” [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe] “RTHDCPL”=“RTHDCPL.EXE” [2006-09-06 04:44 C:\WINDOWS\RTHDCPL.exe] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-03-07 01:49] “nwiz”=“nwiz.exe” [2007-03-07 01:49 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-03-07 01:49] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-05-14 23:22] “NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 10:50] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-09-10 21:02] “Sony Ericsson PC Suite”=“C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2005-10-26 15:17] “RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2007-01-08 22:26] “LanguageShortcut”=“C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” [2007-01-08 22:17] “!AVG Anti-Spyware”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-07-09 08:39] “SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe” [] S3 SetupNTGLM7X;SetupNTGLM7X;??\F:\NTGLM7X.sys S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-09 19:31:59 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-09 19:32:13 . — E O F —
Dziękuję za wsparcie
PS: Na razie komputer przez trzy godziny nie restartował
misiu1
(Michalrub)
9 Listopad 2007 19:35
#5
Dzięki, a jest taka możliwość, by to jakiś błąd antywirusa był przyczyną, bo tez nie pracował tak normalnie ( znaczy nie aktualizował się, ale juz jest ok ) ?
adam9870
(adam9870)
9 Listopad 2007 20:19
#6
sprawdź czy masz jakieś minidump’y, a jeśli tak to wklej zawartość najlepiej kilku
http://forum.strefabezpieczenstwa.pl/topics1/183.htm
http://forum.dobreprogramy.pl/viewtopic.php?t=50125
sprawdź temperatury i napięcia
http://forum.dobreprogramy.pl/viewtopic.php?t=9809
http://forum.dobreprogramy.pl/viewtopic.php?t=88838
dla wykluczenia syfu pokaż dwa logi z Gmer’a wykonane przy takich ustawieniach:
Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.
misiu1
(Michalrub)
22 Listopad 2007 18:59
#7
Przepraszam, że tak długo. Nie miałem dostępu do tego komputera.
Logi z Gmera:
Dzięki i pozdrawiam
Gutek
(Gutek)
22 Listopad 2007 22:09
#8
Nic nie widźę, ale zaraz dokładniej obejrzę loga:
Pobierz program SDFix
misiu1
(Michalrub)
6 Grudzień 2007 17:34
#9
Jak zwykle przepraszam, za długa przerwę, ale wcześniej nie miałem dostępu do tego komputera.
SDFix: Version 1.117 Run by Adam on 2007-12-06 at 18:27 Microsoft Windows XP [Wersja 5.1.2600] Running From: c:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 18:28:57 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services & system hive … scanning hidden registry entries … [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “C:\Program Files\Gadu-Gadu\gg.exe”=“C:\Program Files\Gadu-Gadu\gg.exe:*:Enabled:Gadu-Gadu - program główny” “C:\Program Files\Skype\Phone\Skype.exe”=“C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- Files with Hidden Attributes: Wed 7 Nov 2007 495,344 A…H. — “C:\WINDOWS\SoftwareDistribution\Download\4eeb59f084e20038b23f012bb616a593\BIT67.tmp” Finished!
Dzięki
Gutek
(Gutek)
6 Grudzień 2007 19:11
#10
Log ok, czy problem ustąpił?
misiu1
(Michalrub)
7 Grudzień 2007 06:11
#11
Dzięki. Komputer na dzień dzisiejszy pracuje ok. Czyli to było jakieś “widzimisie” ? W każdym razie, jeżeli czysto to super.
Jeszcze raz wielkie dzięki.