Dziala tylko na awaryjnym


(Timeone) #1

czy ktos moglby mi to sprawdzic , bo nic mi nie chce dzialac

Logfile of HijackThis v1.99.1

Scan saved at 02:22:05, on 2007-02-03

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Tlen.pl\tlen.exe

C:\Documents and Settings\aga.LAPTOP750\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allegro.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll

O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor

O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\lsaeuqhr.dll",setvm

O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE

O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels1118.exe

O4 - HKLM\..\Run: [sysinter] C:\WINDOWS\System32\adirss.exe

O4 - HKLM\..\Run: [lnwin.exe] C:\WINDOWS\System32\lnwin.exe

O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe

O4 - HKLM\..\Run: [System64] C:\WINDOWS\System32\inet.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [WinUpdate] "C:\DOCUME~1\AGA~1.LAP\USTAWI~1\Temp\601194.exe " 

O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\AGA~1.LAP\USTAWI~1\Temp\594424.exe 

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Uninstall.exe~

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

O16 - DPF: Win32 Classes - 

O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - http://site.ebrary.com/lib/jyvaskyla/support/plugins/ebraryRdr.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\System32\foila.dll

O21 - SSODL: CDRecorder029 - {A3BC5E20-0235-1ABF-9CE1-00AA00512029} - C:\WINDOWS\System32\jvzx32.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe (file missing)

O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - C:\WINDOWS\system\services.exe (file missing)

:cry: jestem pewna ze jest wirus moze nawet nie jeden ale nic mi to nie mowi.

Złączono Posty : 03.02.2007 (Sob) 1:45

a i jeszcze nie napislam ze to jest na awaryjnm , bo normalny nie dziala. Nawet sie nie chce wlaczyc.


(Myszonus) #2

Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługę : Microsoft authenticate service

Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz : MsaSvc --> ok

Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługę : Windows Host Services

Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz : WINHOST32 --> ok

  1. Startujesz do trybu awaryjnego i wyłączasz przywracanie systemu.

  2. Pliki/foldery na czerwono skasuj z dysku.

  3. Wpisy skasuj Hijackiem.

Użyj ATFCleaner.

Dodatkowo wklej log z Silent Runners.


(Timeone) #3

jest troche lepiej , ale ciagle mnie wywala na trybie normalnym ,poza tym wyskakuje komunikat o tym ze pamiec wirtualna jest niewystarczajaca i nastapi jej zwiekszenie , po czym komp. bardzo zawlnia, nie moglam znales jednego pilu C:\DOCUME~1\AGA~1.LAP\USTAWI~1\Temp\594424.exe nie widze go w tempie wiec go ne usunelam ,

nowy log jest nastepujacy


(adam9870) #4

Myszak - nie zauważyłeś trojana vundo.

Pliki i foldery zaznaczone kasujesz ręcznie z dysku w trybie awaryjnym natomiast wpisy w HijackThis.

Zastosuj VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

Użyj progrmu ATF Cleaner i przeczyść Current User Temp oraz All Users Temp.

Po wykonaniu pokaż nowy log z hjt, SilentRunners + log numer 1 z L2Mfix.


(Timeone) #5

ok, wklejam loga z hjt i silent runners

i hjt

niestesty z l2mfix sobie nie poradzilam . :frowning:


(adam9870) #6

Pięknie... Vundo nadal siedzi i ma się dobrze.

Pobierz The avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w lupkę => w okienku, które się otworzy wklej:

=> Kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Po resecie może pojawić się okienko na dosłownie kilka sekund oraz log w notatniku. Wejdź tam gdzie masz avangera i skasuj plik backup.zip czyli np. c:\avanger\backup.zip.

Zastosuj VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

W l2mfix jak będziesz miał tak

klik

to wybierasz 1. Run Find Log


(Timeone) #7

ok teraz to wyglada tak

a z silent runners

i nie mialam nigdzie pliku backup.zip

Złączono Posty : 03.02.2007 (Sob) 17:15

znalalzlam ten plik i usunelam , robilam jeszcze raz serie

vundofix.

FixVundo.

VirtumundoBeGone.

i niby nic nie wykryly ,ale tryb normalny chodzi tylko jak odlacze internet , jak dostaje polaczenie to po chwili mnie wywala. :?


(adam9870) #8

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\SYSTEM\blank.htm

C:\DOCUME~1\AGA~1.LAP\USTAWI~1\Temp\rjenhwov.exe

C:\jbhwmfmj.bat

C:\nlsnralc.bat

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Użyj progrmu ATF Cleaner i przeczyść Current User Temp oraz All Users Temp.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Usuń HJT jeśli będą.

Po wykonaniu pokaż nowe logi. Tylko poczytaj o l2mfix i daj log bo nie można usunąć Vundo bez tego loga. Ewentualnie daj log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.


(Timeone) #9

nowe logi

i combofix


(adam9870) #10

Usuń ręcznie będąc w trybie awaryjnym.

Zaś te pliki:

Przeskanuj na stronie http://virusscan.jotti.org/ lub http://www.virustotal.com/vt/, a te które okażą się szkodnikami - również usuń będąc w trybie awaryjnym.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Puść w ruch SDFix i pokaż raport, opis sytuacji oraz nowy log z ComboFix.