Makar00n
(M Makarewicz92)
3 Listopad 2009 18:36
#1
http://wklejto.pl/46136 log.
Mój problem polega na tym, że explorer.exe zżera mi cały procek. Jest 100% użycia procesora. Jak nie on to jakiś inny program, ale przeważnie to on. Stało się tak gdy przerzuciłem filmy z pendriva. Filmy są dla mnie dosyć ważne i wolałbym ich nie wywalać. Gdy otwieram folder z tymi filmami to następuje 100%. Gdy nie mam go otwartego, użycie jest… na poziomie. Wyższe niż zawsze, ale tolerancyjne. Skanowałem te pliki AVASTem i raczej nic nie wykryło. Po użyciu programu ComboFix już nie mogę otworzyć AVASTa, ani go odinstalować.
Co mam robić?
ciemnowidz
(Henio Mazurek)
3 Listopad 2009 18:47
#2
Log źle wklejony.
Jest rootkit mbr.
Ciężko taki log sprawdzać. To co widać usuwam. Wklej do notatnika
Zapisz jako CFScript.txt . Ten plik przeciągasz na ikonę ComboFix’a. Rozpocznie się usuwanie, wklej powstały log.
Tym razem wklej log w taki sposób by był czytelny.
Gorgoroth
(Gorgoroth)
3 Listopad 2009 20:48
#3
ciemnowidz:
Jest rootkit mbr.
Wybaczcie, że się wtrącę - ma to coś wspólnego z bootkitem?
ciemnowidz
(Henio Mazurek)
4 Listopad 2009 06:21
#4
Tyle co insurekcja z powstaniem.
Makar00n
(M Makarewicz92)
4 Listopad 2009 14:35
#5
ComboFix 09-11-03.03 - Grzesiu mój królu 2009-11-04 15:14.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1279.711 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Grzesiu mój królu\Moje dokumenty\Downloads\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Grzesiu mój królu\Pulpit\CFScript.txt
AV: avast! antivirus 4.8.1351 [VPS 091103-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FILE ::
"c:\windows\TEMP\42.tmp"
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_BFASTFAO
-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
-------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}
-------\Service_bfastfao
((((((((((((((((((((((((( Pliki utworzone od 2009-10-04 do 2009-11-04 )))))))))))))))))))))))))))))))
.
2009-11-03 19:11 . 2009-06-30 09:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-11-03 19:05 . 2009-11-03 19:05 -------- d-----w- c:\program files\Panda Security
2009-10-22 19:06 . 2009-10-22 19:06 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Tlen.pl
2009-10-06 19:19 . 2009-10-06 19:31 -------- d---a-w- c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-10-06 19:18 . 2009-10-06 19:31 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\SpeedBit
2009-10-06 19:18 . 2009-10-06 19:32 -------- d-----w- c:\program files\DAP
2009-10-06 19:18 . 2009-10-06 19:30 -------- d-----w- c:\program files\SpeedBit Video Downloader
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-04 14:22 . 2007-07-28 11:47 -------- d-----w- c:\program files\neostrada tp
2009-10-25 09:28 . 2001-10-26 14:15 82354 ----a-w- c:\windows\system32\perfc015.dat
2009-10-25 09:28 . 2001-10-26 14:15 465372 ----a-w- c:\windows\system32\perfh015.dat
2009-10-24 16:46 . 2007-08-11 10:25 -------- d-----w- c:\program files\Ganymede
2009-10-21 20:02 . 2009-07-20 14:40 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\OpenFM
2009-10-08 20:12 . 2009-09-17 20:19 5 ----a-w- c:\windows\system32\SySmp3con.dat
2009-09-17 20:29 . 2009-09-17 20:29 15325 ----a-w- c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat
2009-09-17 20:28 . 2009-09-17 20:29 5640880 ----a-w- c:\windows\system32\SpoonUninstall.exe
2009-08-17 16:10 . 2009-08-27 19:18 1279456 ----a-w- c:\windows\system32\aswBoot.exe
2009-08-17 16:06 . 2009-08-27 19:18 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-08-17 16:06 . 2009-08-27 19:18 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-08-17 16:05 . 2009-08-27 19:18 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-08-17 16:05 . 2009-08-27 19:18 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-08-17 16:04 . 2009-08-27 19:18 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-08-17 16:04 . 2009-08-27 19:18 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-08-17 16:03 . 2009-08-27 19:18 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-08-17 16:02 . 2009-08-27 19:18 97480 ----a-w- c:\windows\system32\AvastSS.scr
.
((((((((((((((((((((((((((((( SnapShot@2009-11-03_15.08.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-04 14:21 . 2009-11-04 14:21 16384 c:\windows\Temp\Perflib_Perfdata_550.dat
+ 2009-11-04 14:21 . 2009-11-04 14:21 16384 c:\windows\Temp\Perflib_Perfdata_388.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Grzesiu mój królu\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-09-11 133104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\GestMaj.exe" [2004-10-14 32768]
"avast!"="c:\programy\Avast\ashDisp.exe" [2009-08-17 81000]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programy\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programy\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Programy\\uTorrent\\uTorrent.exe"=
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-11-03 28552]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-08-27 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-08-27 20560]
S3 DataMan;DataMan USB Infrared Adapter;c:\windows\system32\drivers\DataMan.sys [2008-03-11 10880]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2009-01-01 81832]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - PAVBOOT
*Deregistered* - mbr
.
Zawartość folderu 'Zaplanowane zadania'
2009-11-04 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-01 20:18]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.neostrada.pl/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: { - c:\program files\Messenger\msmsgs.exe
DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} - hxxp://67.15.101.33/g_bin/pl/snooker_2_0_0_35.cab
FF - ProfilePath - c:\documents and settings\Grzesiu mój królu\Dane aplikacji\Mozilla\Firefox\Profiles\fcviona2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.erepublik.com/
FF - plugin: c:\programy\Adobe reader 8\Reader\browser\nppdf32.dll
FF - plugin: c:\programy\Mozilla\plugins\npganymedenet.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-04 15:22
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8972C1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8972c1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
PE file found in sector at 0x025FEDB0 !
Use "Recovery Console" command "fixmbr" to clear infection !
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(568)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programy\Avast\aswUpdSv.exe
c:\programy\Avast\ashServ.exe
c:\windows\System32\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wdfmgr.exe
c:\progra~1\NEOSTR~1\TaskBarIcon.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Czas ukończenia: 2009-11-04 15:31 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-11-04 14:29
ComboFix2.txt 2009-11-03 15:11
Przed: 2 803 953 664 bajtów wolnych
Po: 2 707 894 272 bajtów wolnych
Zrobiłem co mówiłeś, przeciągnąłem ten plik CFScript.txt. na ComboFix i oto log, który mi wyszedł po tym. Wklejam przez CODE, bo już nie wiem w jaki sposób inaczej.
ciemnowidz
(Henio Mazurek)
4 Listopad 2009 18:22
#6
Wklej jeszcze log z mbr.exe
Nie wklejasz przez code. Ale na strony do tego poświęcone (jak wklejto.pl), poprzednio źle wyszło bo wkleiłeś log niechlujnie (nie wkleja się przez Przeglądaj).
Makar00n
(M Makarewicz92)
4 Listopad 2009 20:08
#7
http://wklejto.pl/46269
Log z mbr.exe (chyba to log bo nie wiem, tak szybko mi się zrobiło, że nawet nie wiem czy w dobrym miejscu mi się zapisało).
Dzięki za podpowiedź do loga.
Ej dobra, wykryło mi pandą przeglądarkową, że mam wirusy. Nie mogę usunąć, ani użyć avasta w tym celu, a nie chce, żeby zalegał na kompie. Co zrobić?
ciemnowidz
(Henio Mazurek)
5 Listopad 2009 05:58
#8
A czy Ty myślisz, że ja tutaj przy czarodziejskiej kuli siedzę. Napisz co to za wirusy (ścieżka dostępu, nazwa).
Makar00n
(M Makarewicz92)
6 Listopad 2009 06:30
#9
obra w sumie jest teraz ok, komp łapie muła jak wchodzę w folder z tymi filmami. Odinstalowałem AVASTa i zainstalowałem ESET NOD32. Wykrył mi ten program pare wirusów, ale nie mogę ich wyleczyć, ponieważ są to pliki systemowe.
2009-11-06 07:20:25 Skaner przy uruchamianiu sektor rozruchowy sektor głównego rekordu startowego dysku fizycznego 1. Win32/Mebroot.K koń trojański błąd podczas leczenie — operacja jest niedostępna w przypadku obiektu tego typu
2009-11-05 21:29:46 Skaner przy uruchamianiu sektor rozruchowy sektor głównego rekordu startowego dysku fizycznego 1. Win32/Mebroot.K koń trojański błąd podczas leczenie — operacja jest niedostępna w przypadku obiektu tego typu
2009-11-05 20:14:46 Skaner przy uruchamianiu sektor rozruchowy sektor głównego rekordu startowego dysku fizycznego 1. Win32/Mebroot.K koń trojański błąd podczas leczenie — operacja jest niedostępna w przypadku obiektu tego typu XXXX-6048534029\Grzesiu mój królu
Oto one. Nie można nic zrobić.
ciemnowidz
(Henio Mazurek)
6 Listopad 2009 07:03
#10
Jeśli chodzi o foldery z filmami zobacz ten temat (post 22)
http://www.searchengines.pl/index.php?s … st&p=54484
Co do wyników NOD’a to nie widać tutaj aktywnego rootkita sektora rozruchowego. Być może NOD wykrywa tylko jego ciało. Na wszelki wypadek zrób nowy log z mbr.exe, Start => Uruchom, wpisz => combofix /mbr , doklej log z GMER , zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz .
Makar00n
(M Makarewicz92)
6 Listopad 2009 17:11
#11
http://wklejto.pl/46401 << nowy log z mbr
http://wklejto.pl/46400 << log po “Start => Uruchom, wpisz => combofix /mbr” tym.
http://wklejto.pl/46413 << log z GMER.
wykonałem to co co było w temacie 22. Potem opisze w jaki sposób to zrobiłem, bo nie wiem czy dobrze.
Dodam, że NOD co chwile przypomina mi o tym rootkice, gdyż nie mogę go wyleczyć ani nic.
ciemnowidz
(Henio Mazurek)
7 Listopad 2009 06:18
#12
Dziwne, że NOD coś wykrywa bo ewidentnie nie ma tutaj tego rootkita. Zastosuj jednak mbr.exe z parametrem f i pokaż log. Możesz też w konsoli odzyskiwania wpisać fixmbr.
Makar00n
(M Makarewicz92)
7 Listopad 2009 10:41
#13
Panowie udało się. Wszystkie te zabiegi coś pomogły, ale chyba najbardziej pomógł ten z http://www.searchengines.pl/index.php?s … st&p=54484 tematu. Ogólnie scan combofixem nawet zmniejszał mi wydajność. Teraz wrócę do mojego starego avasta, a NODa wywaliłem już. NOD wykrywał błędy przy każdym ściągniętym pliku z neta…
Ostatnie chyba pytanie mam do Was. Możecie podać mi jakiś program, który konwertuje plik z MPEG do AVI? Szukałem w necie i są takie co konwertują 2 pierwsze minuty, albo nawet tylko 10 sek. Jak znalazłem jeden to skonwertował, ale na samym środku jest napis o tym programie czy coś. Istnieje taki darmowy program, który w całości konwertuje do AVI bez żadnych napisów itd.? Jak nie to co mam zrobić, żeby mieć 13 minut filmu w jednym kawałku?
Dzięki ciemnowidz , jesteś wielki.
ciemnowidz
(Henio Mazurek)
7 Listopad 2009 13:38
#14
Spróbuj MediaCoder lub FormatFactory.