Dziwna praca kompa


(Karolina Porwit) #1

Bardzo proszę o pomoc, bo nie mam już siły i pomysłów na to, jak się dziadostwa pozbyć... Nie mogę pobrać aktualizacji do Windowsa, choć mam oryginał... Pobiera się, ale w pewnym momencie się zacina i dalej nie idzie... Miałam żółtą tarczę z informacją o dostępnej aktualizacji, lecz po pewnym czasie zniknęła i w jej miejsce wskoczyła czerwona, że mam aktualizacje automatyczne wyłączone... Nikt tego nie ruszał i nie zmieniał... Komp ogólnie zwolnił, poza tym, nie działają czasem wszystkie strony tak jak trzeba... Mam wtedy komunikat, że kod JavaScript nie został wgrany do końca... Jak to, skoro z Javą też nikt nie kombinował? I to jest tak, że teraz np. działa, a za dwie godziny po ptakach... Wyskoczył też niedawno alert o treści: Zapobieganie wykonywaniu danych- Microsoft Windows.....Aby pomóc w ochronie tego komputera system windows zamknął ten program... Nazwa; Uruchamia plik DLL jako aplikację

Wydawca microsoft Corporation... Mam jeszcze w kwarantannie takie pliki :C:\DOCUME~I\Beata\USTAWI~\Temp\removalfile.bat Rozmiar 43 Powód Win 32/Adware.Virtumonde Program Ilość 6, C:\Documents and Settings\Beata\Ustawienia lokalne\Temporary Internet Files\Content.IE5\C3D8X896\c5ro[1].dll Jak tego szukam, wyskakuje, że lokalizacja niedostępna, może znajdować się na twardym dysku komputera lub w sieci.... POMOCY.......... Log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:13:43, on 2008-09-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\neostrada tp\neostradatp.exe

C:\Program Files\neostrada tp\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Toaster.exe

C:\PROGRA~1\NEOSTR~1\Inactivity.exe

C:\PROGRA~1\NEOSTR~1\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\neostrada tp\Watch.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.neostrada.pl

R3 - URLSearchHook: Search Class -

{08C06D61-F1F3-4799-86F8-BE1A89362C85} -

C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O4 - HKLM..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe"

/WAITSERVICE

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program

Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM..\Run: [f003db88] rundll32.exe

"C:\WINDOWS\system32\ckoybcbw.dll",b

O4 - HKLM..\Run: [bMf330e814] Rundll32.exe

"C:\WINDOWS\system32\boeprtdt.dll",s

O4 - HKLM..\RunOnce: [spybot - Search & Destroy] "C:\Program

Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKLM..\RunOnce: [spybotDeletingA399] command /c del

"C:\WINDOWS\system32\boeprtdt.dll_old"

O4 - HKLM..\RunOnce: [spybotDeletingC6196] cmd /c del

"C:\WINDOWS\system32\boeprtdt.dll_old"

O4 - HKCU..\RunOnce: [spybotDeletingB7068] command /c del

"C:\WINDOWS\system32\boeprtdt.dll_old"

O4 - HKCU..\RunOnce: [spybotDeletingD4137] cmd /c del

"C:\WINDOWS\system32\boeprtdt.dll_old"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.6.0_07\bin\ssv.dll

O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime

Environment 1.4.0_03) -

O17 -

HKLM\System\CCS\Services\Tcpip..{98F8206C-BBE3-481C-841F-B7B737D4C88A}:

NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France

Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero

BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common

Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program

Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA

Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research

Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe


(Dmirecki) #2

FIX w hijack:

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\ckoybcbw.dll

C:\WINDOWS\system32\boeprtdt.dll

C:\WINDOWS\system32\boeprtdt.dll_old

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: **** Qoobox


(Karolina Porwit) #3

Combofix


(Dmirecki) #4

Znasz te pliki:

?

Jak nie to przeskanuj je na www.virustotal.com Napisz, czy coś znalazło. Poza tym nic nie widać.