JrQ
(JrQ-)
24 Sierpień 2008 07:58
#1
Witam, mam kolejny problem z tym Windowsem…
Przeskanowałem komputer pod kątem obecności wirusów i mój antyvirus nie wykazał nic.
Problem w tym, że nie działa mi Explorer , czyli zarówno przeglądarka jak i widok folderów, nie mogę ich po prostu otwierać, nawet do mojego komputera wejść się nie da, nie dzieje się po prostu nic.
Podobny problem mam z kilkoma innymi programami u siebie (między innymi komunikator tlen)
Zauważyłem, że mam jakieś dziwne procesy działające w tle:
Czy da się jakoś sprawdzić za co jest konkretny proces odpowiedzialny i czy nie jest to jakiś złośliwy kod?
Czy da się jakoś naprawić, nie robiąc formatu?
Dodam, że przywracanie systemu odpada, gdyż usunąłem wszystkie punkty przywracania systemu, orazplik stronnicowania mam na dysku D, ale to chyba bez znaczenia.
Problem pojawił się nagle, nic nie instalowałem, ściągałem…
Proszę o pomoc, rady…
JrQ
(JrQ-)
24 Sierpień 2008 08:16
#3
Oto cały log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:22, on 2008-08-24
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\MOJE PROGRAMY\nod32\Eset\nod32kui.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
D:\MOJE PROGRAMY\AutoConnect\AutoConnect\AutoConnect.exe
C:\Program Files\Bonjour\mDNSResponder.exe
D:\MOJE PROGRAMY\cFosSpeed\spd.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\server-k\MYSQL\bin\mysqld.exe
D:\MOJE PROGRAMY\nod32\Eset\nod32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
D:\MOJE PROGRAMY\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
D:\MOJE PROGRAMY\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\wscntfy.exe
D:\MOJE PROGRAMY\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\MOJE PROGRAMY\Opera\Opera.exe
C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "D:\MOJE PROGRAMY\nod32\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Skrót do AutoConnect.lnk = D:\MOJE PROGRAMY\AutoConnect\AutoConnect\AutoConnect.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\MOJEPR~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MOJEPR~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91BB81-96D0-4E5D-82B9-3CD92AC96117}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - D:\MOJE PROGRAMY\cFosSpeed\spd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MySql - Unknown owner - D:\server-k/MYSQL/bin/mysqld.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\MOJE PROGRAMY\nod32\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - D:\MOJE PROGRAMY\Sunbelt Software\Personal Firewall\kpf4ss.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/ADMINI~1/USTAWI~1/Temp/msohtml1/01/clip_image002.jpg
--
End of file - 4833 bytes
huber2t
(huber2t)
24 Sierpień 2008 08:19
#4
W logu nic nie widzę
Zadnych procesów podejrzanych nie widzę
Podaj log z Combofix
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
Olcia
(Olixxx94)
24 Sierpień 2008 08:24
#5
JrQ- , nie widać tu nic podejrzanego w procesach, lecz z tego, co widzę, to Firefox dużo zużywa RAM-u (nawet bardzo dużo).
JrQ
(JrQ-)
24 Sierpień 2008 08:38
#6
Więc tak, ściągłem to, otworzyłem i jakieś dziwne komunikaty mam, pierwszy, poprzedzony dwoma sygnałami dźwiękowymi:
I po jego zaakceptowaniu mam ten:
Również go zatwierdzić?
====
PS: zauważylem też, że ikonki się zmieniają niektórych plików, np jeden plik *psd ma ikonkę od HiJackThis…
szlag mnie juz z tym badziewiem trafia, windows…
huber2t
(huber2t)
24 Sierpień 2008 08:43
#7
Kliknij Tak, a z ikonkiami się nie martw
JrQ
(JrQ-)
24 Sierpień 2008 09:15
#8
Więc odpaliłem ten programik i mam teraz tak:
zaczeło coś tam robić, po chwili wyskoczyło info o wirusie,
C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Av-test.txt
Eicar zbiór testowy
Kwarantanna - usunięty
MAX\Administrator
Zdarzenie miało miejsce podczas próby tworzenia nowego zbioru przez program:C:\WINDOWS\system32\CF5770.exe.
w tym czasie wywaliło mi że wystąpił błąd z explorer.exe i są dwie opcje, wyślij raport o błędach, nie wysyłaj, chciał obejrzeć raport błędu, ale nagle wszystko znikło, zostało tylko okienko konsoli i ten programik skanował sobie, trwało to troche, więc odszedełm od komputera, po chwili przychodzę, a tu komputer się chyba włączył od nowa, bo dostalem komunikat, o połączeniu internetowym, jak zwykle gdy włączam komputer…
Co radzicie? skan jeszcze raz? Ja podejrzewam, ewnetualnie jak dostać się do pliku z logiem, jeśli takowy został utworzony?
pomocy [;
huber2t
(huber2t)
24 Sierpień 2008 09:19
#9
No tak, wyłącz antywirusa a później przeskanuj combofixem
JrQ
(JrQ-)
24 Sierpień 2008 09:42
#10
Wiec zrobiłem skan, w trakcie wywaliło mi blad explorera, ale skanowało się dalej, po zakonczeniu, explorer sie wlaczyl i caly pulpit sie ‘ukazał’. A oto log:
http://wklej.eu/index.php?id=ff04ac2659
Co dalej?
AHA: na pulpicie zrobiła się ikonka IE [; sama od siebie
JrQ
(JrQ-)
24 Sierpień 2008 10:00
#12
Syfu to tam było sporo [;
Ostatni format rok temu był, no ale widać, że szykuje się kolejny…
Nie macie jeszcze jakichś rad?
Bo format to ostateczność…