kacprosz
(kacprosz)
20 Październik 2007 20:40
#1
Witam dzisiaj rano po sformatowaniu komputera internet chodzi strasznie wolno i w ogóle cały komputer jest strasznie zamulony.
Avast wykrył jakiegoś trojana,usunąłem go ale nadal jest to samo.
Wygenerowałem logi w HijackThis próbowałem też w Silent Runners ale wyskakuje jakiś błąd:
"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
FATAL ERROR!
------------
"Silent Runners" cannot use WMI to identify the operating system.
This is caused by corruption of the WMI installation.
WMI is complex and it is recommended that you use a Microsoft
tool, "WMIDiag.vbs," to diagnose WMI on your system.
It can be downloaded here:
http://go.microsoft.com/fwlink/?LinkId=62562
A to log w HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 22:21:01, on 2007-10-20
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
d:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system\msnrav.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\SADASDA.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\mmdmm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\rundll32.exe
D:\Program Files\AutoConnect\AutoConnect.exe
C:\WINDOWS\System32\nvsvc86.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Moje dokumenty\Kacper\Komputery\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hotinfolink.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Network Security XP] C:\WINDOWS\System32\nvsvc86.exe
O4 - HKLM\..\Run: [MicroSoft ssas3s1] SADASDA.exe
O4 - HKLM\..\Run: [mmsass] mmdmm.exe
O4 - HKLM\..\RunServices: [MicroSoft ssas3s1] SADASDA.exe
O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe
O4 - HKLM\..\RunOnce: [MicroSoft ssas3s1] SADASDA.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe
O4 - HKCU\..\Run: [Microsoft Windows Driver] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [AutoConnect] d:\Program Files\AutoConnect\AutoConnect.exe
O4 - HKCU\..\Run: [Network Security XP] C:\WINDOWS\System32\nvsvc86.exe
O4 - HKCU\..\Run: [MicroSoft ssas3s1] SADASDA.exe
O4 - HKCU\..\RunOnce: [MicroSoft ssas3s1] SADASDA.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED36C5BA-1674-4CBD-B311-4B13760F5517}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: FFI - Unknown owner - C:\WINDOWS\System32\svchost.exe:exm.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
Bardzo proszę o pomoc w jaki sposób się tego pozbyć
jessica
(jessica)
20 Październik 2007 21:25
#2
Chyba podczas formatowania, lub bezpośrednio po nim, nie była wyciągnięta wtyczka internetu, bo pełno robaków.
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.
Ściągnij -->ComboFix
Wklej do Notatnika :
File::
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\nvsvc86.exe
C:\WINDOWS\rundll32.exe
C:\WINDOWS\System32\mmdmm.exe
C:\WINDOWS\system\msnrav.exe
C:\WINDOWS\System32\SADASDA.exe
C:\WINDOWS\System32\svchost.exe:exm.exe
Driver::
FFI
"MSN RAV"
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj tu ten log z ComboFixa.
Log wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .
jessi
kacprosz
(kacprosz)
20 Październik 2007 22:05
#3
http://wklej.org/id/b115ef5f4f
Złączono Posta : 21.10.2007 (Nie) 0:30
jessica Wielki dzięki za pomoc już jest wszystko OK
Pozdro
jessica
(jessica)
21 Październik 2007 06:22
#4
Ale to jeszcze nie wszystko.
Wklej do Notatnika :
File::
C:\WINDOWS\system32\msv.exe
C:\ntlds.exe
Registry::
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"MicroSoft ssas3s1"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Office"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Windows Driver"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Network Security XP"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"MicroSoft ssas3s1"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj ten log.
Znasz to?
jessi
kacprosz
(kacprosz)
21 Październik 2007 10:31
#5
sory,ale nie wiem o co chodzi :?
Piwollo
(Piwollo)
21 Październik 2007 10:34
#6
kacprosz czy znasz ten plik ?
Jeżeli nie to przeskanuj go na http://www.virusscan.jotti.org i daj wynik.
kacprosz
(kacprosz)
21 Październik 2007 11:09
#7
jessica daje log z ComboFix:
ComboFix 07-10-21.1** - Kacper Patryk Damian 2007-10-22 12:33:08.3 - NTFSx86
jessica
(jessica)
21 Październik 2007 20:45
#8
.
Wklej do Notatnika :
File::
C:\WINDOWS\system32\oyyg.exe
C:\WINDOWS\system32\redate.exe
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj ten log.
Nie wiem, czym jest spowodowany restart. Czy na pewno zastosowałeś WWDC ?
jessi
kacprosz
(kacprosz)
21 Październik 2007 21:26
#9
Zastosowałem tak jak kazałaś,czyli wszystko na zielono i Netbus na żółto.
Z restartem sobie poradziłem,ale cały czas Avast wykrywa jakieś koni trojańskie i robaki.Już nie wiem co robić i prawde mówiąc już mnie to denerwuje :twisted:
zaraz wkleje loga…
Złączono Posta : 21.10.2007 (Nie) 23:41
oto wygenerowany log w ComboFix:
ComboFix 07-10-21.1** - Kacper Patryk Damian 2007-10-22 22:33:49.4 - NTFSx86 NETWORK
jessica
(jessica)
21 Październik 2007 21:54
#10
No tak - infekcje dalej się rozwijają…
Wklej do Notatnika :
File::
C:\qkqmj.exe
C:\WINDOWS\system32\ufmo.exe
C:\WINDOWS\system32\yxkn.exe
C:\WINDOWS\system32\dllcache\mravsc32.exe
C:\WINDOWS\system32\m2n1.exe
C:\WINDOWS\System32\svchost.exe:exm.exe
C:\WINDOWS\system32\nlwc.exe
C:\WINDOWS\system32\weiy.exe
C:\WINDOWS\system32\ultdf.exe
Driver::
"Distributed Allocated Memory Unit"
FFI
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Local Security Authority Service"=-
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\FFI]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
I znów daj log.
jessi
kacprosz
(kacprosz)
22 Październik 2007 17:37
#11
nowy log:
ComboFix 07-10-21.1** - Kacper Patryk Damian 2007-10-23 18:25:50.3 - NTFSx86
jessica
(jessica)
22 Październik 2007 18:52
#12
Moim zdaniem dalsze usuwanie nie ma sensu, bo z logu wynika, że to, co było już usunięte, teraz znów powróciło.
Nie byłoby w tym nic nadzwyczajnego, ale u Ciebie powraca to z taką datą, w jakiej było poprzednio, a to już jest dziwne.
To tak, jakbyś przywrócił system sprzed usuwania. W ten sposób to się nigdy nie skończy.
Ja oczywiście podam usuwanie, ale…
Wklej do Notatnika :
File::
C:\WINDOWS\gyt32.exe
C:\WINDOWS\ferg.exe
C:\WINDOWS\rtt32.exe
C:\WINDOWS\gnn.exe
C:\WINDOWS\ferg.dat
C:\WINDOWS\system32\o0oSaXelU.dll
C:\WINDOWS\system32\xdrfmpd6.dll
C:\WINDOWS\osmgr.exe
C:\WINDOWS\sdd.exe
C:\WINDOWS\system32\50Rlmu2T.dll
C:\WINDOWS\system32\oyyg.exe
C:\WINDOWS\system32\msv.exe
C:\WINDOWS\system32\redate.exe
C:\WINDOWS\system32\linkh323.exe
C:\WINDOWS\system32\oleauth32.dll
C:\WINDOWS\system32\mstscex.dll
C:\WINDOWS\system32\u9284a4ix.dll
C:\WINDOWS\system32\drivers\kcp.sys
C:\WINDOWS\system32\drmcmsne.dll
C:\WINDOWS\system32\wshbmsxb.dll
C:\WINDOWS\system32\iuenadva.exe
C:\WINDOWS\msh32.exe
C:\WINDOWS\track.exe
C:\WINDOWS\system32\linkh323.dll
C:\ntlds.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\nvsvc86.exe
C:\WINDOWS\rundll32.exe
Folder::
C:\rms
Registry::
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"MicroSoft ssas3s1"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Office"=-
"Microsoft Windows Driver"=-
"Network Security XP"=-
"MicroSoft ssas3s1"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Potem:
Użyj –SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym .
Pokaż Report.txt znajdujący się w folderze SDFix.
Instrukcja obsługi: Dwuklik na SDFix.exe, program wypakuje się na C:\SDFix (standardowo) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed startem Windowsa) Wejdź do folderu z SDFix, dwuklik na plik RunThis.bat Wciśnij Y, nastąpi proces usuwania. Kiedy usuwanie się ukończy, wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania. Kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. Pokaż Report.txt znajdujący się w folderze SDFix.
Idaj, oczywiście log z ComboFixa.
jessi
kacprosz
(kacprosz)
22 Październik 2007 20:34
#13
Więc tak:
tu zamieszczam raport z SDFIX:
SDFix: Version 1.110
Run by Administrator on 2007-10-23 at 21:26
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFIX\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\168945~1 - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\o - Deleted
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
File Backups: - C:\SDFIX\SDFix\backups\backups.zip
Files with Hidden Attributes:
Sun 8 Jul 2007 13,364 A..H. --- "C:\WINDOWS\system32\BITF.tmp"
Mon 22 Oct 2007 76,288 A..H. --- "C:\WINDOWS\system32\twykixk.exe"
Finished!
a tu nowy log z ComboFixa:
ComboFix 07-10-21.1** - Kacper Patryk Damian 2007-10-23 21:16:36.4 - NTFSx86
jessica
(jessica)
23 Październik 2007 07:54
#14
Wklej do Notatnika :
File::
C:\WINDOWS\system32\linkh323.dat
C:\WINDOWS\system32\twykixk.exe
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
I daj ten log z ComboFixa.
jessi