Komputer spowolnił

Demonos · 9 Wrzesień 2007 18:05

Ostatnio ściągnąłem jakiś program i w nim były wirusy. Niby pozbyłem sie tych wirusów ale internet bardzo zwolnił. Proszę o sprawdzenie logów:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:02:36, on 2007-09-09

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\sstray.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Zagan Square\Zagan Square.exe

C:\Documents and Settings\User\Pulpit\tibiasoft_com_MPA Bot Final\MPA Bot Final\MPA Bot.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - Default URLSearchHook is missing

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EECB9B4-7A2C-4089-B29F-A6D7E22F5D82}: NameServer = 192.168.0.1,194.204.159.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{9C348E35-457B-4FD4-92D2-79316F1E3F32}: NameServer = 192.168.0.1,194.204.159.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{F67D3CD9-916E-4C04-8663-10F9C1DE0D27}: NameServer = 192.168.0.1,194.204.159.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{5EECB9B4-7A2C-4089-B29F-A6D7E22F5D82}: NameServer = 192.168.0.1,194.204.159.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{5EECB9B4-7A2C-4089-B29F-A6D7E22F5D82}: NameServer = 192.168.0.1,194.204.159.1

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe


--

End of file - 4323 bytes

Gutek · 9 Wrzesień 2007 18:17

a to, to co za program?

Daj log z ComboFix

Demonos · 9 Wrzesień 2007 18:28

ComboFix 07-09-09.5 - "User" 2007-09-09 20:24:22.1 - NTFSx86 

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.194 [GMT 2:00]

.


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))



-------\nm



((((((((((((((((((((((((( Files Created from 2007-08-09 to 2007-09-09 )))))))))))))))))))))))))))))))

.


2007-09-09 20:22	51,200	--a------	C:\WINDOWS\NirCmd.exe

2007-09-09 20:02

[code]D:\Zagan Square\Zagan Square.exe

Ten program to klient do gry.

jessica · 9 Wrzesień 2007 19:39

Jeśli masz takie dziwne pliki, jak “Zagan Square.exe”, to pewnie do tych powyższych też znajdziesz wytłumaczenie.

Żeby ułatwić - to są od Keyloggera.

Jeśli ich jednak nie znasz, to usuń. Oba obiekty mają atrybut: “ukryty”.

Nic tu więcej podejrzanego nie widzę.

jessi

Gutek · 9 Wrzesień 2007 21:26

Pobierz program SDFix

Demonos · 10 Wrzesień 2007 11:11

SDFix: Version 1.103


Run by User on 2007-09-10 at 13:06


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 



Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...



Normal Mode:

Checking Files: 


No Trojan Files Found





Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------




Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------



Files with Hidden Attributes:


C:\Program Files\Outlook Express\msimn.exe

C:\WINDOWS\system32\hosted.exe

C:\WINDOWS\system32\config\SAM.tmp.LOG

C:\WINDOWS\system32\config\SECURITY.tmp.LOG


Finished!

Gutek · 10 Wrzesień 2007 21:01

Jest Ok

darkbraver · 29 Wrzesień 2007 08:53

Zagan Square to nie jest zaden keylogger, tymbardziej nie jest zadnym spyware. Jezeli nie wiesz to nie bluzgaj.

http://www.speedyshare.com/575466833.html

Tu masz link, przeskanuj go sobie czymkolwiek chcesz.

jessica · 29 Wrzesień 2007 09:16

@darkbraver :

Ależ ja nie twierdziłam, że “Zagan Square” jest od Keyloggera czy od Spyware, napisałam tylko, że to dziwny plik i nadal tak uważam, bo to nie jest plik niezbędny dla WINDOWS.

Napisałam za to, że te poniższe są od Keyloggera:

A takie uwagi, jak “nie bluzgaj”, to już w ogóle nie wiem do czego mają być?

jessi

darkbraver · 30 Wrzesień 2007 22:17

Bez nerwow

Widocznie koles hijackujac procesy mial wlaczonego klienta gry…

/Sry za offtop

Radek68 · 18 Styczeń 2018 20:01