Długo włączający sie komp, wyskakujące okienko :/ +log


(Hehe 91) #1

Komp sie strasznie długo włącza, nie chodzi o samo ładowanie windowsa tylko zaraz po starcie, włącza sie, ładuje się bios i potem przez jakiś czas czarny ekran, potem czarny ekran z białym paskiem który musi się załadować i dopiero win :/. Co jakiś czas wyskakuje mi takie okienko:

rotflqw3.jpg

Dopiero dzisiaj to zaczęło wyskakiwać, tak samo w menadżerze zadań w procesach jest msnmsgr32.exe i jakoś explorer.exe ma duże użycie procesoru... ok 40 :confused:

Log:

Logfile of HijackThis v1.99.1

Scan saved at 20:46:18, on 2007-04-13

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\WINDOWS\system\msnmsgr32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Łukasz\Pulpit\Programmy\Hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe 

O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\System32\wgrcgpis.dll",setvm

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Startup: HideBUS.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC409DA9-264A-43AA-A89A-77493B001781}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: msn msgr 32-bit client process (msnmsgr32) - Unknown owner - C:\WINDOWS\system\msnmsgr32.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

(adam9870) #2

Ściągnij program KillBox, zaznacz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\wgrcgpis.dll

Kliknij czerwonego iksa i reset.

Usuń wpis HJT.

Przeskanuj ten plik na stronie http://virusscan.jotti.org/ lub http://www.virustotal.com/ a jeśli okaże się szkodliwy:

  1. Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługę msn msgr 32-bit client process

  2. Plik usuń ręcznie w trybie awaryjnym.

Użyj VundoFix + FixVundo + VirtumundoBeGone. Wszystkie narzędzia należy uruchomić w trybie awaryjnym.

Po wykonaniu pokaż nowy log z HJT, SilentRunners + log numer 1 z L2Mfix.


(Hehe 91) #3

C:\WINDOWS\system\msnmsgr32.exe nie ma go tutaj C:\WINDOWS\system :/, wkleiłem tą ścieżkę do tego pierwszego skaneru z pierwszego linku i takie coś mi wyszło blait9.jpg

Jeszcze coś na dole pisało.

Zaraz zrobię resztę co podałeś.


(adam9870) #4

Ten plik to syf. Postąp zgodnie z instrukcją jego usunięcia. Jeśli go nie znajdziesz na dysku, to spróbuj go również spróbuj usunąć przy pomocy Pocket Killbox'a.


(Hehe 91) #5

Zrobiłem to i przy włączeniu kompa wyskoczył mi taki komunikat:

fasfaslu1.jpg

Potem z AVG wyskoczyło mi takie coś:

fggpp4.jpg

Co dalej robić?:confused:

Złączono Posta : 13.04.2007 (Pią) 21:39

Tej usługi się nie da zatrzymać :/, jedynie wyłączyć...

A i jeszcze co jakiś czas takie coś:

g3g3g33hj5.jpg

Nasrało się :smiley:


(adam9870) #6

Ok, ale zastosuj narzędzia przeciwko Vundo i wklej nowe logi, o które prosiłem. Jeśli będziesz robił tak jak Ci będziemy radzili, nie pozostanie żaden ślad po szkodnikach :wink:


(Hehe 91) #7

Hjackthis:

Silentrunners:

L2MFIX

FixVundo

VirtumundoBeGone

A tego vundofix nie wiedziałem co robić :confused:

takie coś miałem:

beztytu322uffwp8.jpg


(adam9870) #8

Ściągnij program KillBox, zaznacz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\SYSTEM32\byxusqr.dll

C:\WINDOWS\SYSTEM32\efcdawx.dll

C:\WINDOWS\SYSTEM32\nolvcroi.dll

C:\WINDOWS\SYSTEM32\moqru.tmp

C:\WINDOWS\System32\moqru.ini2

C:\WINDOWS\System32\smsc.exe

C:\WINDOWS\System32\moqru.ini

C:\WINDOWS\System32\moqru.bak1

C:\WINDOWS\System32\urqom.dll.vir

Po wklejeniu każdej ścieżki z osobna kliknij na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgódź się na restart. Jeśli po wklejeniu którejś ze ścieżek pojawi się jakiś błąd, nie przejmuj się nim tylko przejdź do wykonywania dalszych czynności.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Usuń wpisy HJT.

Po wykonaniu wklej nowy log z hijacka, silenta i l2mfixa.


(Hehe 91) #9

Chyba coś z Killboxem nei tak porobiłem =) bo zamiast Delete on reboot wziąłem Standard file kill ale i tak wyskakiwał jakiś błąd.

Te pliki co się znajdują w C:!KillBox to mogę je usunąć?


(adam9870) #10

Logi są ok.

W tym katalogu są przechowywane kopie plików usuniętych przez killboxa w razie usunięcia jakiegoś poprawnego pliku. Ty usunąłeś jedynie szkodliwe pliki trojana Vundo dlatego możesz spokojnie usunąć ten folder.


(Hehe 91) #11

To jak jesteśmy przy virusach to jeszcze jedno, co jakiś czas Kaspersky wykrywa mi takie coś: wirus Net-Worm.Win32.Allaple.b Plik: C:\WINDOWS\system32.exe lub Koń trojański Backdoor.Win32.Rbot.bni Plik: C:\WINDOWS\System32.exe

w szczególności chodzi o ta lokalizacje C:\WINDOWS\system32.exe, bo przy niej gdy mi coś wykryje, biorę usuń i komputer się zawiesza, można coś robić tylko na tych rzeczach które da się przełączyć ALT+TAB nie można nowych rzeczy otworzyć :). Trzeba reset:/


(adam9870) #12

W takim razie usuń ten plik przy pomocy killboxa.


(Hehe 91) #13

No właśnie nie da się Killboxem :/, gdy biorę Standard File kill to piszę, że File does not seem to exists, a gdy biorę Delete on reboot wyskakuję jakiś błąd.

Eh i chyba znów mam coś z tym plikiem C:\WINDOWS\system\msnmsgr32.exe.

http://virusscan.jotti.org/

http://www.virustotal.com/

abclx3.jpg

Robić coś czy olać? :confused: SP2 chyba zainstaluje zaraz i zaktualizuje windowsa...


(adam9870) #14

Czy Kaspersky w dalszym ciągu pokazuje alerty dotyczące tego pliku?

W takim razie postąp jeszcze raz według instrukcji, którą podałem tj.


(Hehe 91) #15

No Kaspersky wykrywa go ale nie tak, że co 5min tylko tak parę razy na dzień, trochę to irytującę ;].

A w Killboxie było tak:

Czyli ten plik razem z tym virem przybywa i znika?:confused:

I ta usługa jest zatrzymana i wyłączona, no nic wywalę ten plik zaraz.