Komp restartuje się i b długo wczytuje strony www

Na dysku C pojawiają się pliki eralf.exe, interalf.exe i inne takie dziwactwa (kasuję je ale to nic nie daje)

Wielka prośba o sprawdzenie loga powyżej.

Wyłącz przywracanie systemu i usuń te wpisy w trybie awaryjnym.

O4 - HKLM\..\Run: [Network Translation System Service] "C:\WINDOWS\system32\ntss.exe" 

O23 - Service: Network Translation System Service (NTSS) - Unknown owner - C:\WINDOWS\system32\ntss.exe

Potem ściągnij program Killbox i wklej ścieżkę

C:\WINDOWS\system32\ntss.exe

i usuń

Potem powróc z logami w HijackThis i ComboFix

Ah ten http://www.hijackthis.de

Na początek automat

Pobierz program SDFix

Opis programu

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

To ostatnio “modna” infekcja" - jeszcze niedokładnie rozpoznana, więc trudna do usunięcia.

Sciągnij -->ComboFix (na dole tej strony z linku).

Wklej do Notatnika :

File::

C:\WINDOWS\system32\ntss.exe

C:\WINDOWS\system\NOTEPAD.exe

C:\eralf.exe

C:\ interalf.exe


Driver::

NOTEPAD

NTSS

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Log z ComboFixa wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

EDIT:

O, przepraszam, pisałam w tym samym czasie, co Wy.

Niech któryś z Was dołączy do usuwania obie usługi: “NOTEPAD” i “NTSS”, bo obaj przegapiliście to, a ja usunę swój post, bo nie będzie już potrzebny. Ani SDFix, ani ComboFix nie mają jeszcze tej infekcji w swoich modułach usuwających, więc na pewno tych szkodliwych usług nie usuną.

jessi

Usunąłem w hijacku wskazane wpisy. uruchomiłem combofixa i wrzucam logi:

z combofixa:

link1

z hijacka:

link2

cały czas działam w trybie awaryjnym. czy tak mam postępować czy wejść do trybu normalnego ??

Wklej do Notatnika :

File::

C:\eskpjpg.exe

C:\WINDOWS\system32\ftpupd.exe

C:\WINDOWS\system32\re1.exe


Registry::

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Network Translation System Service"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

I daj log z ComboFixa.

Możesz cały czas być w Trybie Normalnym.

Ale ponieważ jesteś już w Trybie Awaryjnym, to użyj tego SDFix, o którym pisał @Lost World.

jessi

Jak zrobisz to co kazała @jessica

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

C:\Program Files\Uninstall.exe

Czy nie dostałeś ostatnio czasami jakiegoś ‘‘emajla’’ o takim tytule albo coś podobnego np? Update your Anti-virus Software

2007-08-27 01:56	199	--a------	C:\Program Files\quick.dat

2007-08-27 01:56	157	--a------	C:\Program Files\Stats.dat

2007-08-27 01:56	0	--a------	C:\Program Files\skiplist.dat

2007-08-27 01:56	0	--a------	C:\Program Files\favorite.dat

2007-08-27 01:56	0	--a------	C:\Program Files\Bookmarks.dat

Będzie mi miło jak mi ktoś powie od jakiej aplikacji są te pliki…? :slight_smile:

zrobiłem operacje z sdfixem

podaję raport:

report

a także z combofixem

podaję loga:

combo

Czy to wszystko??

Jak dla mnie - to wszystko bo nie widzę nic podejrzanego.

SDFix usunął robaka, więc naprawdę @Lost World miał dobry pomysł z tym SDFixem. :slight_smile:

Możesz jeszcze odpowiedzieć na pytanie zadane post wyżej przez @Lost World.

jessi

Baaardzo dziękuję za pomoc i niech Bóg Wam błogosławi, dobrzy ludzie. :slight_smile:

Co do pytania: napewno go nie czytałem, ale spamu i wszystkich wiadomości na skrzynce nie przeglądam, więc mógł się gdzieś taki zawieruszyć. Jednakże obstawiałbym przy tym, że jednak nie.

Na wszelki wypadek wklejam log z avengera który pojawił się po ostatnim restarcie:

pozdro

Użycie Avengera nie było już konieczne, bo przecież wcześniej już usunąłeś “C:\eskpjpg.exe” oraz “C:\WINDOWS\system32\re1.exe” przy pomocy Scriptu ComboFixa.

Natomiast “IsUn0407.exe” był prawidłowym plikiem (nie widzę żadnego powodu do jego usuwania, bo jego usuwa się tylko wtedy, gdy jest zarażony przez “JEEFO”, “Parite”, “Sality”, “VT1000”, itp. infekcje, które zarażają wszystkie pliki *.exe - u Ciebie takiej infekcji nie było).

jessi

Frefol

Lost World

Dość często udzielacie się w tym dziale, ale sądzę, że nie całkiem jesteście gotowi, by kompleksowo rozwiązywać problemy, o czym niejednokrotnie świadczy interwencja jessica , która wskazuje dalsze punkty do naprawy problemów - przykładem ten temat.

W temacie Ważny komunikat dotyczący tytułowania tematów

Radzę o tym pamiętać - lub omijać ten dział szerokim łukiem.

No i było jakiś czas fajnie, ale znów pojawiają się problemy. Co prawda strony internetowe “chodzą” dużo szybciej, niż przy poprzednim problemie, jednak już trzy raz dziś mi się maszyna zrestartowała.

Poza tym Avast znajduje kilka razy dziennie jakieś konie trojańskie (ostatni przykład w katalogu systemowym: “ne1.exe”)

Wklejam loga z Hijacka:

http://up.wklej.org/download.php?id=155fa09596c7e18e50b58eb7e0c6ccb4

Będę wdzięczny za pomoc…

edit:

i jeszcze log z combofixa:

http://up.wklej.org/download.php?id=f4a4da9aa7eadfd23c7bdb7cf57b3112

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

“ne1.exe” oznacza, że masz infekcję, która ostatnio jest bardzo “modna”.

Ta infekcja jeszcze nie jest dokładnie rozpoznana, więc usuwanie jest utrudnione.

Daj log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

EDIT:

Widzę log z ComboFikxa - zaraz go obejrzę…

EDIT II:

Tylko to wydaje się podejrzane - Sprawdź go na --> http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html.

(korzysta się podobnie jak z JOTTI).

jessi

Raport z SDFixa

http://up.wklej.org/download.php?id=f5c3dd7514bf620a1b85450d2ae374b1

a Jotti znalazł jakieś Malware:

AntiVir Found TR/Proxy.Delf.BS.334

AVG Antivirus Found SHeur.OPH

BitDefender Found DeepScan:Generic.Sdbot.084747E1

Pozostałe czyste.

Co dalej powinienem zrobić? Bo chyba ręczne usuwanie niewiele da…

edit:

wróciłem z awaryjnego do normalnego i mój antyvirus (avast) znów wskazał na ten plik ne1.exe podając trojana: Win32:Sdbot-4988 [Trj]

Nie wygląda to najlepiej, bo SDFix odmówił usunięcia tego, co wykrył.

Do tej pory usuwał to, a teraz nie chciał/nie mógł.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\dllcache\ivchost.exe

C:\WINDOWS\system32\winenv.exe

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj logi z Hijacka i ComboFixa.

jessi

Oto log z ComboFixa:

raz

oto log z hijacka:

dwa

Dodać muszę że często w przypadkowych momentach przy podejmowaniu operacji związanych z pozyskaniem tych logów miałem jakieś zwiechy (np. podczas uzyskiwania loga z hijacka, bądź też podczas wgrywania windowsa) jakoś na szczeście udało mi się te logi tu wkleić.

Co dalej?

Ale uparte bydlę. :slight_smile:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\dllcache\ivchost.exe


Driver::

mshexdefx


Registry::

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"winenv"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HEXelon MAX"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WITaj!"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –> Klik

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Klucze dodałam, bo z logu ComboFixa wynika,że są już bezplikowe.

I nowy log z ComboFixa.

jessi

No więc wrzucam log combofixa:

http://up.wklej.org/download.php?id=f26dab9bf6a137c3b6782e562794c2f2

i do tego hijacka

http://up.wklej.org/download.php?id=4888241374e8c62ddd9b4c3cfd091f96

Combofix na końcu procesu miał jakieś problemy z zapisaniem czegoś tam, bo “string” był za długi czy coś (nie wiem, czy to ma jakieś znaczenie, ale może).

Poza tym mam takie pytanie: jak usunąć windows messengera, tak by nie uruchamiał się wraz z każdym startem kompa?

Edit:

Avast w dalszym ciągu wyłapuje jakieś konie trojańskie w katalogu systemowym (system32) o specyficznej nazwie “.exe”

Byłbym wdzięczny za pomoc.

Wklej do Notatnika :

File::

C:\WINDOWS\System32\urdvxc.exe

C:\WINDOWS\Web\wcxnjhhj.exe

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\zejthvxk.exe

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\tlrrsvlj.exe

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\btlekkxb.exe

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\btlekkxb.exe

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\btlekkxb.exe

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\btlekkxb.exe

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\nbbrcrbb.exe

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\estewkrn.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\necxlsbh.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hsxenjvk.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hnshlbtv.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ewznktww.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ecrvhvjh.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\trvnbvzr.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\tehbbexs.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\selznkbn.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\qnkstrhn.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\kenjxzsk.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\hzenbhql.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cszbbkjb.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cjrhtnee.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\sljktqsl.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lenvstcw.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lbncltew.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\vhzlshll.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\heclkcje.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\ejjtwclz.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\brbjhjhb.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\bbcrvske.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\xxrlrrck.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\slkweqkr.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\jjtkbtsb.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\rlkctexe.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\resrzjkr.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\kcqrjjel.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\jllrjejn.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\hlnbkbjt.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\cqlwbrtn.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\vtxbneqq.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jzrjzkke.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jqnsbclx.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\rc\rjzhtwer.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\zeektjlr.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\tjsnlncx.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\stleqtrb.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\bnkrcrqq.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\errors\xnejeese.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\ErrMsg\nvsbqtlx.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\DVDUpgrd\kvzexhbs.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\zwjcbxql.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\jlskvkjt.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\hhktjkel.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\tcjqbtst.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\nrbhslcz.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\eqlrejrl.exe

C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\brvhkxjh.exe

C:\WINDOWS\Help\tsbjbtvn.exe

C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe

C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe

C:\WINDOWS\Help\Tours\htmlTour\ztssweeh.exe

C:\WINDOWS\Help\Tours\htmlTour\zbcwlstj.exe

C:\WINDOWS\Help\Tours\htmlTour\xslbknlk.exe

C:\WINDOWS\Help\Tours\htmlTour\wwvjntek.exe

C:\WINDOWS\Help\Tours\htmlTour\trsecbvb.exe

C:\WINDOWS\Help\Tours\htmlTour\tjxhsker.exe

C:\WINDOWS\Help\Tours\htmlTour\skersqzb.exe

C:\WINDOWS\Help\Tours\htmlTour\rzjnrbeb.exe

C:\WINDOWS\Help\Tours\htmlTour\rqkjqjqb.exe

C:\WINDOWS\Help\Tours\htmlTour\rbnesqvr.exe

C:\WINDOWS\Help\Tours\htmlTour\qejnhetj.exe

C:\WINDOWS\Help\Tours\htmlTour\nleqhveh.exe

C:\WINDOWS\Help\Tours\htmlTour\njnrhctz.exe

C:\WINDOWS\Help\Tours\htmlTour\lwnssrtv.exe

C:\WINDOWS\Help\Tours\htmlTour\lrhwxcwk.exe

C:\WINDOWS\Help\Tours\htmlTour\lhhjrkjk.exe

C:\WINDOWS\Help\Tours\htmlTour\lbsbbjlx.exe

C:\WINDOWS\Help\Tours\htmlTour\kzkzkjkb.exe

C:\WINDOWS\Help\Tours\htmlTour\kzerbzks.exe

C:\WINDOWS\Help\Tours\htmlTour\kxkzvszq.exe

C:\WINDOWS\Help\Tours\htmlTour\knwbcncs.exe

C:\WINDOWS\Help\Tours\htmlTour\klbvejnk.exe

C:\WINDOWS\Help\Tours\htmlTour\hjhecvkh.exe

C:\WINDOWS\Help\Tours\htmlTour\ewrlklcs.exe

C:\WINDOWS\Help\Tours\htmlTour\ekwlsjzj.exe

C:\WINDOWS\Help\Tours\htmlTour\cxjclkkc.exe

C:\WINDOWS\Help\Tours\htmlTour\blkkzrtt.exe

C:\WINDOWS\Help\jjlenkbt.exe

C:\WINDOWS\Help\jbnshhqj.exe

C:\WINDOWS\Help\hwexrtne.exe

C:\WINDOWS\Help\bzehxvnz.exe


Driver::

MSWindows

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –> Klik

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj logi z Hijacka i ComboFixa (na wklej.org).

jessi