Infekcji - komp muli


(Rycymer) #1

Proszę o sprawdzenie loga-podejrzenie infekcji.Komputer strasznie się "muli", zacina-czasami jest to aż nie do zniesienia, gdy oglądam jakiś film, a z kompa wydobywają się odgłosy przypominajace coś a la mielenie etc. Z góry dziękuję za pomoc i radę oraz serdecznie pozdrawiam!


(Bbieniol) #2

Kosmetycznie do usunięcia te dwa wpisy:

Przeczyść rejestr (polecam do tego jv16 PowerTools 2006 1.5.2.344), zrób defragmentację, oraz przejrzyj: Optymalizacja XP

Wejdź: Start --> uruchom --> msconfig i w zakładce uruchamianie odznacz (według Ciebie) niepotrzbne przy autostarcie programy :slight_smile:


(Rycymer) #3

Dzięki wielkie za radę, ale ja mam Windowsa 2000, a tam sprawa z optymalizacją wygląda chyba nieco inaczej… :frowning:

-nie mogę tego odpalić…


(Bbieniol) #4

Przepraszam - mój błąd :oops:

Coś się wyświetla?


(Rycymer) #5

Daję Start, potem Uruchom, i wpisuję msconfig: pisze wtedy, że nie można odnaleźć pliku"msconfig" lub jednego z jego składników…Tak poza tym, to się zastanawiam, czy ta wolna praca kompa nie ma czegoś wspólnego raczej z pracą procka czy RAM-em, niż z wirami czy szpiegami: mam avasta, używam Opery i skanuje system regularnie kilkoma skanerami, więc już sam nie wiem… :frowning:

Złączono Posta : 27.09.2006 (Sro) 17:56

Przejechalem kompa jv16 PowerTools 2006 1.5.2.344 i mam w związku z nim pytanie: wpisy z rejestru, które mają obok czerwone kółeczko, mogę bez żadnego ryzyka usunąć?Czy też raczej przenieść do kwarantanny?Tak się właśnie zastanawiam, czy to usuwać, bo jest tego sporo: na 1334 660!Co powinienem zrobić w tej sytuacji?Dzięki!


(Bbieniol) #6

Zobacz -> http://www.searchengines.pl/phpbb203/in … opic=35684

Opcje rejestru -> Narzędzia -> Czyszczenie rejestru -> Po zakończeniu dajemy -> Wybierz -> Wybór specjalny - > Pozycje które można bezpiecznie usunąć


(Gutek) #7

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Pozdrawiam Gutek2222


(Wlonab) #8

Komputer był (może jeszcze jest) zainfekowany. Użyłem SmitfraudFix, ale nie mam pewności czy wszystko usunął. Czy ktoś mógłby sprawdzić, czy wszystko jest w porządku?

Logfile of HijackThis v1.99.1

Scan saved at 08:39:35, on 2006-09-28

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\WINDOWS\system32\rundl7.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\PRINTV~1\pvmodule.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Common Files\{240F137C-0855-1045-0923-050422050030}\Update.exe

C:\WINDOWS\system32\ASKS~1\cmd.exe

C:\Documents and Settings\xx\Moje dokumenty\F?nts\w?nlogon.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\InterBase\bin\ibguard.exe

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\InterBase\bin\ibserver.exe

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ntvdm.exe

C:\unzipped\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {E91DE3A8-753B-79E5-16F2-7CE29D717392} - C:\WINDOWS\system32\wiwua.dll

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00007.exe"

O2 - BHO: (no name) - {278B661A-14A8-D8B0-6AF4-03088B866149} - C:\WINDOWS\system32\unaoakg.dll

O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6mons.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll

O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL

O2 - BHO: (no name) - {E91DE3A8-753B-79E5-16F2-7CE29D717392} - C:\WINDOWS\system32\wiwua.dll

O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r

O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKLM\..\Run: [SvcManager] rundl7.exe

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\SVCHOST.EXE

O4 - HKLM\..\Run: [uhvjsul.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\uhvjsul.dll,mrpmvyf

O4 - HKLM\..\Run: [PVModule] C:\PROGRA~1\PRINTV~1\pvmodule.exe

O4 - HKLM\..\Run: [LSASS] C:\WINDOWS\LSASS.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKCU\..\Run: [Swea] "C:\WINDOWS\system32\ASKS~1\cmd.exe" -vt yazb

O4 - HKCU\..\Run: [Xvnly] C:\Documents and Settings\xx\Moje dokumenty\F?nts\w?nlogon.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - AppInit_DLLs: e1.dll d3dishsv.dll wmneprfl.dll

O20 - Winlogon Notify: dxmamcia - C:\WINDOWS\system32\dxmamcia.dll

O20 - Winlogon Notify: winrkq32 - C:\WINDOWS\SYSTEM32\winrkq32.dll

O20 - Winlogon Notify: wnmicf - C:\WINDOWS\SYSTEM32\wnmicf.dll

O21 - SSODL: HpGTRNRr - {240F137D-8EA5-B9D7-C2C2-F68A5B9D8C90} - C:\WINDOWS\system32\bih.dll

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\InterBase\bin\ibserver.exe

(Myszonus) #9

Ten wpis z kreseczką “_” usuniesz edytorem rejestru Registrar Lite

Uruchom edytor w pole Address wklej ścieżke

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497}wszystkie inne wpisy z taką samą kreseczką także kasujesz z prawokliku.

  1. Startujesz do trybu awaryjnego i wyłączasz przywracanie systemu.

  2. Pliki/foldery na czerwono skasuj z dysku.

  3. Wpisy skasuj Hijackiem.

Użyj programu Killbox. Uruchamiasz zaznaczasz Delete on reboot, w polu full path of file wklej ścieżkę :

C:\WINDOWS\system32\dxmamcia.dll

C:\WINDOWS\SYSTEM32\winrkq32.dll

C:\WINDOWS\SYSTEM32\wnmicf.dll

Klikasz X i reset kompa.


(Wlonab) #10

Pięknie dziękuję za pomoc :slight_smile:

Postąpiłem dokładnie wg podanej instrukcji. Nie udało mi się fizycznie usunąć SVCHOST.EXE, LSASS.EXE (odmowa dostępu), e1.dll d3dishsv.dll wmneprfl.dll

Oto log po operacji… Bardzo proszę sprawdzić, czy czegoś jeszcze tam nie ma.

Logfile of HijackThis v1.99.1

Scan saved at 13:18:32, on 2006-09-28

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\PROGRA~1\PRINTV~1\pvmodule.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Common Files\{240F137C-0855-1045-0923-050422050030}\Update.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\InterBase\bin\ibguard.exe

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\InterBase\bin\ibserver.exe

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE

C:\WINDOWS\System32\svchost.exe

C:\unzipped\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00007.exe"

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL

O2 - BHO: (no name) - {E91DE3A8-753B-79E5-16F2-7CE29D717392} - C:\WINDOWS\system32\wiwua.dll (file missing)

O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r

O4 - HKLM\..\Run: [PVModule] C:\PROGRA~1\PRINTV~1\pvmodule.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - AppInit_DLLs: e1.dll

O20 - Winlogon Notify: dxmamcia - C:\WINDOWS\system32\dxmamcia.dll (file missing)

O20 - Winlogon Notify: winrkq32 - winrkq32.dll (file missing)

O20 - Winlogon Notify: wnmicf - C:\WINDOWS\SYSTEM32\wnmicf.dll

O21 - SSODL: HpGTRNRr - {240F137D-8EA5-B9D7-C2C2-F68A5B9D8C90} - C:\WINDOWS\system32\bih.dll

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\InterBase\bin\ibserver.exe

(Myszonus) #11

Odpal GMER’a.

Przejdź do cmd i wklej :

Procesy --> Zabij wszystko. Wracasz do cmd i dla cmd wciskasz uruchom.

Procesy --> Trzy kropki “…” --> włącz Hijacka wskazując go i skasuj w nim te wpisy (o ile będą).

Restart. Daj log z Silent Runners – tu masz opis.