juskol
(Grzywaczewski)
10 Wrzesień 2007 06:54
#1
Witam
Też mam podobny problem (http://forum.idg.pl/index.php?showtopic … ntry945862 ) z plikiem ibm00002.exe ;( - jeśli komputer jest podłączony kablem sieciowym to wcale sie nie uruchamia (podczas ładowania w pewnym momencie się zawiesza i tyle) podczas odpalenia w trybie awaryjnym lub po odłączeniu był komunikat o braku w program files/… pliku ibm00002.exe, po przeczesaniu rejestru (regedit) i wpisaniu w shell explorer.exe po odpaleniu komputera bez podłączonego kabla nie wyskakuje ten komunikat - ale po podłączeniu kabla komputer znowu się wiesza ;(. Przeskanowanie kasperskim nic nie wykryło ;( - może ma ktos jakiś pomysł? . A oto log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:48:46, on 10-09-2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\OpenOffice.org 2.0.2\program\soffice.exe C:\Program Files\OpenOffice.org 2.0.2\program\soffice.BIN C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\mqsvc.exe C:\WINDOWS\System32\mqtgsvc.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\notepad.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [KAVWks50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 5.0 for Windows Workstations\kav.exe” /minimize /chkas O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Startup: OpenOffice.org 2.0.2.lnk = C:\Program Files\OpenOffice.org 2.0.2\program\quickstart.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 1470611070 O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.51.123.131/activex/AxisCamControl.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol … _en_dl.cab O23 - Service: Usługa Kaspersky Anti-Virus (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 5.0 for Windows Workstations\kavsvc.exe O24 - Desktop Component 0: (no name) - http://www.big-doda.friko.pl/srednie1-mini/003.jpg O24 - Desktop Component 1: (no name) - http://www.money.pl/i/3cbg.gif
jessica
(jessica)
10 Wrzesień 2007 08:20
#2
Daj log z ComboFix (na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.
ComboFix powinien samoczynnie to usunąć (a przynajmniej starsza wersja ComboFixa to usuwała).
Najlepiej będzie, jeśli po zrobieniu loga od razu sam sprawdzisz, czy w sekcji “Other Deletions” tego logu jest wymieniony ten “ibm”.
Jeśli nie ma, to dodatkowo dasz log z “SillentRunner” -->SillentRunner
Log z Hijacka jest czysty.
jessi
juskol
(Grzywaczewski)
10 Wrzesień 2007 08:27
#3
Oto log z ComboFix - zaraz podeśle resztę http://wklej.org/id/c796a5693b . A w międzyczasie przeskanuje kompa przeciw spy’om.
Coś nie pokazuje na wklej.org ;( (już pokazuje - na końcu dodałem kropkę)- więc zamieszczam poniżej:
ComboFix 07-09-10.2 - “MIG” 2007-09-10 10:05:41.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1250.48.1045.18.30 [GMT 2:00] * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_IPRIP -------\Iprip ((((((((((((((((((((((((( Files Created from 2007-08-10 to 2007-09-10 ))))))))))))))))))))))))))))))) . 2007-09-10 10:04 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-09-10 08:20 2007-09-10 07:47 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-10 09:11 --------- d-------- C:\DOCUME~1\anna\DANEAP~1\OpenOffice.org2 . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “KAVWks50”=“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 5.0 for Windows Workstations\kav.exe” [2006-07-12 20:18] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2001-08-02 07:14] “ctfmon.exe”=“C:\WINDOWS\System32\ctfmon.exe” [2001-10-30 14:00] C:\DOCUME~1\anna\MENUST~1\Programy\AUTOST~1\ OpenOffice.org 2.0.2.lnk - C:\Program Files\OpenOffice.org 2.0.2\program\quickstart.exe [2006-03-12 02:12:44] R1 klmc;Sterownik KLMC;C:\WINDOWS\System32\drivers\klmc.sys R2 MSMQ;Message Queuing;C:\WINDOWS\System32\mqsvc.exe R2 MSMQTriggers;Message Queuing Triggers;C:\WINDOWS\System32\mqtgsvc.exe R3 MQAC;Message Queuing access control;??\C:\WINDOWS\System32\drivers\mqac.sys R3 RMCAST;Reliable Multicast Protocol driver;??\C:\WINDOWS\System32\drivers\RMCast.sys S3 NtApm;Sterownik interfejsu NT Apm/Legacy;C:\WINDOWS\System32\DRIVERS\NtApm.sys S3 rtl8029;Sterownik NT karty Realtek RTL8029(AS)-based PCI Ethernet;C:\WINDOWS\System32\DRIVERS\RTL8029.SYS *Newly Created Service* - SHAREDACCESS . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-10 10:13:11 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … ************************************************************************** . Completion time: 2007-09-10 10:17:33 - machine was rebooted C:\ComboFix-quarantined-files.txt … 2007-09-10 10:16 . — E O F —
jessica
(jessica)
10 Wrzesień 2007 08:49
#4
Log jest czysty.
Nie widać w nim w ogóle tego “ibm” - czy problem jest jeszcze aktualny?
Bo nic nie wskazuje na to, byś miał to “ibm”.
jessi
juskol
(Grzywaczewski)
10 Wrzesień 2007 08:55
#5
pliku ibm00002.exe już nie ma - jak napisałem na wstępie podczas uruchamiania komputera w trybie awaryjnym lub bez podpiętej sieciówki to pojawiało się okienko z ostrzeżeniem, że brak takiego pliku. Został po nim wpis tylko w rejestrze w shell - ale usunąłem pozostawiając tylko explorer. Jednak nadal nie mogę uruchomić komputera gdy jest podpięta sieciówka - lub gdy sieciówkę podłączę później to jest totalny zwiech sprzętu. W trybie awaryjnym i bez podłączonej sieciówki chodzi normalnie - mogłem przeskanować, zgrać logi, teraz skanuje a-squared’em, wczesniej Kasperskym. Miałem kiedyś podobny problem na 2K ale poddałem się i zakończyło się to formatowaniem - teraz nie bardzo mogę postawić system raz jeszcze ;(.
jessica
(jessica)
10 Wrzesień 2007 09:10
#6
No to chyba ja Ci tu na nic nie jestem potrzebna, skoro Twój problem nie dotyczy wirusów.
Ale na wszelki wypadek, daj jeszcze ten log z SillentRunner.
jessi
juskol
(Grzywaczewski)
10 Wrzesień 2007 09:12
#7
Oto link do loga z SillentRunner’a http://wklej.org/id/747e9ab9d8 , a oto http://wklej.org/id/2caaa74198 z Deckard’s System Scanner . A może to jest jakiś błąd systemu po “walce” z wirusem?
Złączono Posta : 10.09.2007 (Pon) 12:53
Dzięki za zainteresowanie, ale zamykam temat - po przemówieniu “siłowemu” do sieciówki wszystko gra ;). Najprawdopodobniej była trochę wypięta - ale po podłączeniu kabla dioda się zapalała ;(. Narazie wszystko działa. A pozostałości po ibm00002.exe to może jakieś stare dzieje, które teraz wyszły przy okazji
Złączono Posta : 10.09.2007 (Pon) 13:48
-------------------------
Chyba niestety za szybko się pochwaliłem - teraz strasznie muli ;( - szukam dalej ;(
juskol
(Grzywaczewski)
11 Wrzesień 2007 06:36
#9
Dzięki - wymieniłem sieciówkę i chodzi OK