Komputer jest strasznie zamulony


(kacprosz) #1

Witam dzisiaj rano po sformatowaniu komputera internet chodzi strasznie wolno i w ogóle cały komputer jest strasznie zamulony.

Avast wykrył jakiegoś trojana,usunąłem go ale nadal jest to samo.

Wygenerowałem logi w HijackThis próbowałem też w Silent Runners ale wyskakuje jakiś błąd:

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"


FATAL ERROR!

------------


"Silent Runners" cannot use WMI to identify the operating system.

This is caused by corruption of the WMI installation.


WMI is complex and it is recommended that you use a Microsoft

tool, "WMIDiag.vbs," to diagnose WMI on your system.


It can be downloaded here:


http://go.microsoft.com/fwlink/?LinkId=62562

A to log w HijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 22:21:01, on 2007-10-20

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

d:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system\msnrav.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\pctspk.exe

d:\Program Files\Alwil Software\Avast4\ashWebSv.exe

d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\SADASDA.exe

C:\WINDOWS\System32\RUNDLL32.EXE

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\System32\mdm.exe

C:\WINDOWS\System32\mmdmm.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\rundll32.exe

D:\Program Files\AutoConnect\AutoConnect.exe

C:\WINDOWS\System32\nvsvc86.exe

C:\WINDOWS\System32\svchost.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Moje dokumenty\Kacper\Komputery\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hotinfolink.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [Network Security XP] C:\WINDOWS\System32\nvsvc86.exe

O4 - HKLM\..\Run: [MicroSoft ssas3s1] SADASDA.exe

O4 - HKLM\..\Run: [mmsass] mmdmm.exe

O4 - HKLM\..\RunServices: [MicroSoft ssas3s1] SADASDA.exe

O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe

O4 - HKLM\..\RunOnce: [MicroSoft ssas3s1] SADASDA.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe

O4 - HKCU\..\Run: [Microsoft Windows Driver] C:\WINDOWS\rundll32.exe

O4 - HKCU\..\Run: [AutoConnect] d:\Program Files\AutoConnect\AutoConnect.exe

O4 - HKCU\..\Run: [Network Security XP] C:\WINDOWS\System32\nvsvc86.exe

O4 - HKCU\..\Run: [MicroSoft ssas3s1] SADASDA.exe

O4 - HKCU\..\RunOnce: [MicroSoft ssas3s1] SADASDA.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED36C5BA-1674-4CBD-B311-4B13760F5517}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: FFI - Unknown owner - C:\WINDOWS\System32\svchost.exe:exm.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Bardzo proszę o pomoc w jaki sposób się tego pozbyć :frowning:


(jessica) #2

Chyba podczas formatowania, lub bezpośrednio po nim, nie była wyciągnięta wtyczka internetu, bo pełno robaków.

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Ściągnij -->ComboFix

Wklej do Notatnika :

File::

C:\WINDOWS\System32\mdm.exe

C:\WINDOWS\System32\nvsvc86.exe

C:\WINDOWS\rundll32.exe

C:\WINDOWS\System32\mmdmm.exe

C:\WINDOWS\system\msnrav.exe

C:\WINDOWS\System32\SADASDA.exe

C:\WINDOWS\System32\svchost.exe:exm.exe


Driver::

FFI

"MSN RAV"

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj tu ten log z ComboFixa.

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi


(kacprosz) #3

http://wklej.org/id/b115ef5f4f

Złączono Posta : 21.10.2007 (Nie) 0:30

jessica Wielki dzięki za pomoc już jest wszystko OK :stuck_out_tongue:

Pozdro :wink:


(jessica) #4

Ale to jeszcze nie wszystko.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\msv.exe

C:\ntlds.exe


Registry::

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"MicroSoft ssas3s1"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Microsoft Office"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Microsoft Windows Driver"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Network Security XP"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"MicroSoft ssas3s1"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log.

Znasz to?

jessi


(kacprosz) #5

sory,ale nie wiem o co chodzi :?


(Mail) #6

kacprosz czy znasz ten plik ?

Jeżeli nie to przeskanuj go na http://www.virusscan.jotti.org i daj wynik.


(kacprosz) #7

jessica daje log z ComboFix:

ComboFix 07-10-21.1** - Kacper Patryk Damian 2007-10-22 12:33:08.3 - NTFSx86

(jessica) #8

.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\oyyg.exe

C:\WINDOWS\system32\redate.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log.

Nie wiem, czym jest spowodowany restart. Czy na pewno zastosowałeś WWDC?

jessi


(kacprosz) #9

Zastosowałem tak jak kazałaś,czyli wszystko na zielono i Netbus na żółto.

Z restartem sobie poradziłem,ale cały czas Avast wykrywa jakieś koni trojańskie i robaki.Już nie wiem co robić i prawde mówiąc już mnie to denerwuje :twisted:

zaraz wkleje loga...

Złączono Posta : 21.10.2007 (Nie) 23:41

oto wygenerowany log w ComboFix:

ComboFix 07-10-21.1** - Kacper Patryk Damian 2007-10-22 22:33:49.4 - NTFSx86 NETWORK

(jessica) #10

No tak - infekcje dalej się rozwijają...

Wklej do Notatnika :

File::

C:\qkqmj.exe 

C:\WINDOWS\system32\ufmo.exe 

C:\WINDOWS\system32\yxkn.exe 

C:\WINDOWS\system32\dllcache\mravsc32.exe 

C:\WINDOWS\system32\m2n1.exe

C:\WINDOWS\System32\svchost.exe:exm.exe

C:\WINDOWS\system32\nlwc.exe 

C:\WINDOWS\system32\weiy.exe 

C:\WINDOWS\system32\ultdf.exe


Driver::

"Distributed Allocated Memory Unit"

FFI


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Local Security Authority Service"=-

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\FFI]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

I znów daj log.

jessi


(kacprosz) #11

nowy log:

ComboFix 07-10-21.1** - Kacper Patryk Damian 2007-10-23 18:25:50.3 - NTFSx86

(jessica) #12

Moim zdaniem dalsze usuwanie nie ma sensu, bo z logu wynika, że to, co było już usunięte, teraz znów powróciło.

Nie byłoby w tym nic nadzwyczajnego, ale u Ciebie powraca to z taką datą, w jakiej było poprzednio, a to już jest dziwne.

To tak, jakbyś przywrócił system sprzed usuwania. W ten sposób to się nigdy nie skończy.

Ja oczywiście podam usuwanie, ale...

Wklej do Notatnika :

File::

C:\WINDOWS\gyt32.exe 

C:\WINDOWS\ferg.exe 

C:\WINDOWS\rtt32.exe 

C:\WINDOWS\gnn.exe 

C:\WINDOWS\ferg.dat 

C:\WINDOWS\system32\o0oSaXelU.dll 

C:\WINDOWS\system32\xdrfmpd6.dll 

C:\WINDOWS\osmgr.exe 

C:\WINDOWS\sdd.exe 

C:\WINDOWS\system32\50Rlmu2T.dll

C:\WINDOWS\system32\oyyg.exe

C:\WINDOWS\system32\msv.exe

C:\WINDOWS\system32\redate.exe

C:\WINDOWS\system32\linkh323.exe

C:\WINDOWS\system32\oleauth32.dll 

C:\WINDOWS\system32\mstscex.dll 

C:\WINDOWS\system32\u9284a4ix.dll 

C:\WINDOWS\system32\drivers\kcp.sys 

C:\WINDOWS\system32\drmcmsne.dll 

C:\WINDOWS\system32\wshbmsxb.dll 

C:\WINDOWS\system32\iuenadva.exe 

C:\WINDOWS\msh32.exe 

C:\WINDOWS\track.exe 

C:\WINDOWS\system32\linkh323.dll

C:\ntlds.exe

C:\WINDOWS\System32\mdm.exe 

C:\WINDOWS\System32\nvsvc86.exe 

C:\WINDOWS\rundll32.exe


Folder::

C:\rms 


Registry::

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] 

"MicroSoft ssas3s1"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 

"Microsoft Office"=-

"Microsoft Windows Driver"=-

"Network Security XP"=- 

"MicroSoft ssas3s1"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Potem:

Użyj --SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Idaj, oczywiście log z ComboFixa.

jessi


(kacprosz) #13

Więc tak:

tu zamieszczam raport z SDFIX:

SDFix: Version 1.110


Run by Administrator on 2007-10-23 at 21:26


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFIX\SDFix


Safe Mode:

Checking Services: 



Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...



Normal Mode:

Checking Files: 


Trojan Files Found:


C:\168945~1 - Deleted

C:\WINDOWS\system32\i - Deleted

C:\WINDOWS\system32\o - Deleted




Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------




Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------


File Backups: - C:\SDFIX\SDFix\backups\backups.zip


Files with Hidden Attributes:


Sun 8 Jul 2007 13,364 A..H. --- "C:\WINDOWS\system32\BITF.tmp"

Mon 22 Oct 2007 76,288 A..H. --- "C:\WINDOWS\system32\twykixk.exe"


Finished!

a tu nowy log z ComboFixa:

ComboFix 07-10-21.1** - Kacper Patryk Damian 2007-10-23 21:16:36.4 - NTFSx86

(jessica) #14

Wklej do Notatnika :

File::

C:\WINDOWS\system32\linkh323.dat

C:\WINDOWS\system32\twykixk.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

I daj ten log z ComboFixa.

jessi