Komputer sie zawiesza

Dla specjalistów Bezpieczeństwo
#1

Korzystanie z komputera stało sie strasznie uciążliwe ponieważ pomijając to że często się zawiesza to wszystkie operacje wykonuje niezwykle powoli. Mam nadzieję, że będziecie w stanie mi pomoc. Czekam na odpowiedz i z góry dziękuję. Pozdro.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:20:45, on 2007-09-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Atievxx.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: adssite - {F31B3634-12AA-41ca-B021-0685C3B3E4CA} - C:\WINDOWS\system32\nsy69.dll

O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - (no file)

O3 - Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime

O4 - HKLM…\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe

O4 - HKLM…\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe”

O4 - HKCU…\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O17 - HKLM\System\CCS\Services\Tcpip…{13474193-E448-4ACC-8687-7F82BB28C5C2}: NameServer = 195.136.250.200,195.136.196.193

O17 - HKLM\System\CS1\Services\Tcpip…{13474193-E448-4ACC-8687-7F82BB28C5C2}: NameServer = 195.136.250.200,195.136.196.193

O17 - HKLM\System\CS2\Services\Tcpip…{13474193-E448-4ACC-8687-7F82BB28C5C2}: NameServer = 195.136.250.200,195.136.196.193

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

End of file - 4721 bytes

#2

Użyj --> ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

Zobaczymy, co usunie ComboFix, a co trzeba będzie usuwać inaczej.

Potem sfiksuj te w/w wpisy:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Przy wpisach “O10” powinnien być normalnie używany LSP-Fix, ale tutaj wygląda, że to są puste, bezplikowe wpisy, więc wystarczy sfiksiwać w Hijacku.

Potem daj tu, oprócz logu z ComboFixa, także log z Hijacka.

jessi

#3

Mam dla Ciebie propozycje… Jęsli używasz komputery tylko po to żeby coś ściągnąć czy przegladać pliki, sluchac muzyki, gadać na GG itd itp to ja POLECAM CI LINUXA :))

PS… Po drugie Linuks nie ma prawie wirusów, może nie całe 5… Kiedyś gdzieś czytałem taką wypowiedź ciekawą jednego użytkownika… “… windowsa wystarczy wł. kompa i wł strone internetową aby mieć juz wirusy, na Linukie żeby mieć wirusy trzeba się napracować…”

PS2. Takie tematy już były typu “komputer mi się zawiesza”… Więc zmień na cos innego…

#4

Podaje link :

http://up.wklej.org/download.php?id=c1f … d06d26ab52

oraz log :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:01:45, on 2007-09-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Atievxx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime

O4 - HKLM…\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe”

O4 - HKCU…\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip…{13474193-E448-4ACC-8687-7F82BB28C5C2}: NameServer = 195.136.250.200,195.136.196.193

O17 - HKLM\System\CS1\Services\Tcpip…{13474193-E448-4ACC-8687-7F82BB28C5C2}: NameServer = 195.136.250.200,195.136.196.193

O17 - HKLM\System\CS2\Services\Tcpip…{13474193-E448-4ACC-8687-7F82BB28C5C2}: NameServer = 195.136.250.200,195.136.196.193

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

End of file - 3072 bytes

Musze dodac jeszcze, ze podczas zakanczania skanowania ComboFixem komputer sie zrestartowal i po ponownym uruchomieniu na pulpicie nie bylo nic oprocz tapety.

Co do linuxa to powodzenia ja zostane przy windowsie, a jezeki chodzi o temat to sie nie czepiaj, bo jak mi sie komp zawiesza to pisze, ze sie zawiesza.

Pozdrowionka dla jessi :wink:

#5

Coś mi się tu nie zgadza - nie widzę, by ComboFix usuwał “nsy69.dll”, “whagent.exe” lub inny plik należący do “WebHancera”.

Nie widzę jednak także tych plików w logu ComboFixa. Wyparowały ?

Na wszelki wypadek przeszukaj dysk, czy nie ma:“nsy69.dll”, “whagent.exe”, “webhdll.dll”.

Te poniższe powstały w identycznym momencie - plik na pewno do usunięcia, nie wiem natomiast, co to za program. Znasz go?:

Jeśli nie znasz, to usuń zarówno plik, jak i folder, a jeśli znasz ten program, to usuń tylko plik. Jeśli nie będzie się dało ręcznie, to napisz.

Masz też infekcję na pendrive. Infekcja będzie powracać na dysk po każdym użyciu zarażonych penóe/dysków przenośnych.

“Na teraz” zrób tak:

jessi