Log z Combofix-wolno chodzi net, mam chyba coś obcego


(Wodzuniu) #1

Proszę o sprawdzenie loga z ComboFixa.

Bardzo wolno chodzi net. Laguje się non-stop.

Przy tylko włączonym komputerze procesor pracuje na 50% wykorzystania a jak połączę się z netem to 90-100 %.

Mam wrażenie jakbym miał jakieś syf ale podstawowe programy typu ad-aware pokazały mi tylko jakieś śmieci, które usunąłem a on dalej muli.

Log :

http://wklejto.pl/txt5289


(Kambor4) #2

Wklej do notatnika:

File::

C:\Temp\catchme.dll

C:\WINXP\system32\qbhxaklo.sys

C:\WINXP\system32\hellodonk.exe

C:\WINXP\system32\ngjxakin.sys

C:\WINXP\system32\weblsok.exe

C:\WINXP\system32\qflxs.dll

C:\WINXP\system32\hellodon.dll

C:\WINXP\system32\weblso.dll

C:\WINXP\system32\yitalle.dll

C:\WINXP\system32\mrsingd.dll

C:\WINXP\system32\mrsingd.dll

C:\WINXP\system32\mrsingdk.exe

C:\WINXP\system32\woasick.dll

C:\WINXP\system32\pedadt.dll

C:\WINXP\system32\verptw.dll

C:\WINXP\system32\quaryfy.dll

C:\WINXP\system32\quaryfyk.exe

C:\WINXP\system32\jfdses.dll

C:\WINXP\system32\agxyaloe.exe

C:\WINXP\system32\akjsfkaq.dll

C:\WINXP\system32\aoqnabib.sys

C:\WINXP\system32\apsggjba.dll

C:\WINXP\system32\apzhdtde.dll

C:\WINXP\system32\arjrhler.dll

C:\WINXP\system32\dazfajke.exe

C:\WINXP\system32\dehxaklo.exe

C:\WINXP\system32\detxciua.dll

C:\WINXP\system32\dfqnabib.exe

C:\WINXP\system32\dtzfajke.sys

C:\WINXP\system32\erjxakin.sys

C:\WINXP\system32\erxybloe.dll

C:\WINXP\system32\fd233ds4f3.dll

C:\WINXP\system32\fdtxaiua.exe

C:\WINXP\system32\ictxaiua.sys

C:\WINXP\system32\ietzcpaq.dll

C:\WINXP\system32\igxyaloe.sys

C:\WINXP\system32\iujraler.sys

C:\WINXP\system32\mkjraler.exe

C:\WINXP\system32\mndhfdwd.dll

C:\WINXP\system32\mndshsrv.dll

C:\WINXP\system32\mnmhhsrv.dll

C:\WINXP\system32\nhmxejkl.dll

C:\WINXP\system32\nttzapaq.sys

C:\WINXP\system32\oltzapaq.exe

C:\WINXP\system32\pqzfajke.dll

C:\WINXP\system32\pusqakol.exe

C:\WINXP\system32\rijxbkin.dll

C:\WINXP\system32\sbsqakol.sys

C:\WINXP\system32\skqnebib.dll

C:\WINXP\system32\smdsbsrv.sys

C:\WINXP\system32\snfybbyt.sys

C:\WINXP\system32\stjxakin.exe

C:\WINXP\system32\tisqctyu.dll

C:\WINXP\system32\tjfyabyt.exe

C:\WINXP\system32\tpfsajbo.exe

C:\WINXP\system32\tysqbkol.dll

C:\WINXP\system32\vlhxaklo.sys

C:\WINXP\system32\xbfsbjbo.sys

C:\WINXP\system32\xscqbhlp.sys

C:\WINXP\system32\xsdjbbmp.sys

C:\WINXP\system32\ypdjhbmp.dll

C:\WINXP\system32\yxcsdhlp.dll

C:\WINXP\system32\yzztlmsn.dll

C:\WINXP\system32\zptldsys.dll

C:\WINXP\system32\zscqahlp.exe

C:\WINXP\system32\zsdjabmp.exe

C:\WINXP\system32\zxmsewin.dll

C:\WINXP\system32\zywmgime.dll


Registry::

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}"=-

"{00180018-0018-0018-0018-00180018BB15}"=-

"{5E907A48-400E-4EA8-9792-FFAE052D59E9}"=-

"{45671234-7890-ABCD-CDEF-567801237654}"=-

"{60940F85-F015-14F1-A05F-F69858AC6D06}"=-

"{30618412-C528-C784-C056-C164D1F7C503}"=-

"{4D698451-2015-6358-9871-2015987452D4}"=-

"{8C8D1401-A58D-A81C-CD24-A5915C4517C8}"=-

"{A1954FAC-1023-154F-895A-1458258AD81A}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"mstimewd"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

02f8f1e3c410a4cc.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.


(Wodzuniu) #3

Dzięki. :lol:


(Kambor4) #4

Daj log po wykonaniu :),może jeszcze coś jest.


(Wodzuniu) #5

Sorki, ale dopiero teraz zakończyłem skanowanie NOD - em 32. Okazało sie, że znalazł jakieś trojany m.in. TrojanDownloader Murlo. Chyba gdzieś mam jakiś odnośnik albo coś do niego (mimo tego, że został usunięty) bo jak łączyłem się z netem to NOD-32 dał komunikat, że zablokował połączenie poprzez tego Trojana. Przepraszam, że piszę tak jak to widziałem i odczytałem, ale jestem słaby w te klocki (trochę techniki i się gubię).

Nie wiem czy jak NOD-32 skończy się (bo to trial) to czy znowu nie będzie problemu.

A oto log z CombiFixa :

http://wklejto.pl/txt5312


(Spandau) #6

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.


(Wodzuniu) #7

Ok, zrobiłem tak jak kazałeś.

Oto log :

http://wklejto.pl/txt5338 :roll:


(huber2t) #8

Usuń ten plik ręcznie:

C:\Temp\catchme.dll

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Gutek) #9

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222


(Kambor4) #10

Sam nie wiem, co myśleć o tym pliku.

Wg tej strony to jest "unsafe" czyli "niebezpieczny":

http://www.incodesolutions.com/threats2 ... hmedll.php

Ale z drugiej strony przejrzałem w necie kilkadziesiąt logów ComboFixa i zauważyłem pewną prawidłowośc: ten plik powstaje kilkka minut po uruchomieniu ComboFixa.

Jest to więc chyba plik ComboFixa.

W takim przypadku uznajemy, że w logu nie ma już nic szkodliwego.

:slight_smile:

PZDR KJB


(Wodzuniu) #11

Zrobiłem tak jak sugerował hubert2t.

Dr. Web wykrył coś takiego : PSEXESVC.EXE.

Usunąłem to.

Czy coś jeszcze ? :cry:


(huber2t) #12

Nie już powinno być ok


(Wodzuniu) #13

Przepraszam huber2t za nazwanie go hubert2t - to z rozpędu i gapiostwa.