barbal10
(Wodzuniu)
9 Lipiec 2008 05:34
#1
Proszę o sprawdzenie loga z ComboFixa.
Bardzo wolno chodzi net. Laguje się non-stop.
Przy tylko włączonym komputerze procesor pracuje na 50% wykorzystania a jak połączę się z netem to 90-100 %.
Mam wrażenie jakbym miał jakieś syf ale podstawowe programy typu ad-aware pokazały mi tylko jakieś śmieci, które usunąłem a on dalej muli.
Log :
http://wklejto.pl/txt5289
djarta
(djarta)
9 Lipiec 2008 07:58
#2
Wklej do notatnika:
File::
C:\Temp\catchme.dll
C:\WINXP\system32\qbhxaklo.sys
C:\WINXP\system32\hellodonk.exe
C:\WINXP\system32\ngjxakin.sys
C:\WINXP\system32\weblsok.exe
C:\WINXP\system32\qflxs.dll
C:\WINXP\system32\hellodon.dll
C:\WINXP\system32\weblso.dll
C:\WINXP\system32\yitalle.dll
C:\WINXP\system32\mrsingd.dll
C:\WINXP\system32\mrsingd.dll
C:\WINXP\system32\mrsingdk.exe
C:\WINXP\system32\woasick.dll
C:\WINXP\system32\pedadt.dll
C:\WINXP\system32\verptw.dll
C:\WINXP\system32\quaryfy.dll
C:\WINXP\system32\quaryfyk.exe
C:\WINXP\system32\jfdses.dll
C:\WINXP\system32\agxyaloe.exe
C:\WINXP\system32\akjsfkaq.dll
C:\WINXP\system32\aoqnabib.sys
C:\WINXP\system32\apsggjba.dll
C:\WINXP\system32\apzhdtde.dll
C:\WINXP\system32\arjrhler.dll
C:\WINXP\system32\dazfajke.exe
C:\WINXP\system32\dehxaklo.exe
C:\WINXP\system32\detxciua.dll
C:\WINXP\system32\dfqnabib.exe
C:\WINXP\system32\dtzfajke.sys
C:\WINXP\system32\erjxakin.sys
C:\WINXP\system32\erxybloe.dll
C:\WINXP\system32\fd233ds4f3.dll
C:\WINXP\system32\fdtxaiua.exe
C:\WINXP\system32\ictxaiua.sys
C:\WINXP\system32\ietzcpaq.dll
C:\WINXP\system32\igxyaloe.sys
C:\WINXP\system32\iujraler.sys
C:\WINXP\system32\mkjraler.exe
C:\WINXP\system32\mndhfdwd.dll
C:\WINXP\system32\mndshsrv.dll
C:\WINXP\system32\mnmhhsrv.dll
C:\WINXP\system32\nhmxejkl.dll
C:\WINXP\system32\nttzapaq.sys
C:\WINXP\system32\oltzapaq.exe
C:\WINXP\system32\pqzfajke.dll
C:\WINXP\system32\pusqakol.exe
C:\WINXP\system32\rijxbkin.dll
C:\WINXP\system32\sbsqakol.sys
C:\WINXP\system32\skqnebib.dll
C:\WINXP\system32\smdsbsrv.sys
C:\WINXP\system32\snfybbyt.sys
C:\WINXP\system32\stjxakin.exe
C:\WINXP\system32\tisqctyu.dll
C:\WINXP\system32\tjfyabyt.exe
C:\WINXP\system32\tpfsajbo.exe
C:\WINXP\system32\tysqbkol.dll
C:\WINXP\system32\vlhxaklo.sys
C:\WINXP\system32\xbfsbjbo.sys
C:\WINXP\system32\xscqbhlp.sys
C:\WINXP\system32\xsdjbbmp.sys
C:\WINXP\system32\ypdjhbmp.dll
C:\WINXP\system32\yxcsdhlp.dll
C:\WINXP\system32\yzztlmsn.dll
C:\WINXP\system32\zptldsys.dll
C:\WINXP\system32\zscqahlp.exe
C:\WINXP\system32\zsdjabmp.exe
C:\WINXP\system32\zxmsewin.dll
C:\WINXP\system32\zywmgime.dll
Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}"=-
"{00180018-0018-0018-0018-00180018BB15}"=-
"{5E907A48-400E-4EA8-9792-FFAE052D59E9}"=-
"{45671234-7890-ABCD-CDEF-567801237654}"=-
"{60940F85-F015-14F1-A05F-F69858AC6D06}"=-
"{30618412-C528-C784-C056-C164D1F7C503}"=-
"{4D698451-2015-6358-9871-2015987452D4}"=-
"{8C8D1401-A58D-A81C-CD24-A5915C4517C8}"=-
"{A1954FAC-1023-154F-895A-1458258AD81A}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"mstimewd"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
djarta
(djarta)
9 Lipiec 2008 09:50
#4
Daj log po wykonaniu :),może jeszcze coś jest.
barbal10
(Wodzuniu)
9 Lipiec 2008 13:18
#5
Sorki, ale dopiero teraz zakończyłem skanowanie NOD - em 32. Okazało sie, że znalazł jakieś trojany m.in. TrojanDownloader Murlo. Chyba gdzieś mam jakiś odnośnik albo coś do niego (mimo tego, że został usunięty) bo jak łączyłem się z netem to NOD-32 dał komunikat, że zablokował połączenie poprzez tego Trojana. Przepraszam, że piszę tak jak to widziałem i odczytałem, ale jestem słaby w te klocki (trochę techniki i się gubię).
Nie wiem czy jak NOD-32 skończy się (bo to trial) to czy znowu nie będzie problemu.
A oto log z CombiFixa :
http://wklejto.pl/txt5312
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
barbal10
(Wodzuniu)
9 Lipiec 2008 20:13
#7
Ok, zrobiłem tak jak kazałeś.
Oto log :
http://wklejto.pl/txt5338 :roll:
huber2t
(huber2t)
10 Lipiec 2008 03:41
#8
Usuń ten plik ręcznie:
C:\Temp\catchme.dll
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Gutek
(Gutek)
10 Lipiec 2008 07:42
#9
Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ
Pozdrawiam Gutek2222
djarta
(djarta)
10 Lipiec 2008 09:09
#10
Sam nie wiem, co myśleć o tym pliku.
Wg tej strony to jest “unsafe” czyli “niebezpieczny”:
http://www.incodesolutions.com/threats2 … hmedll.php
Ale z drugiej strony przejrzałem w necie kilkadziesiąt logów ComboFixa i zauważyłem pewną prawidłowośc: ten plik powstaje kilkka minut po uruchomieniu ComboFixa.
Jest to więc chyba plik ComboFixa.
W takim przypadku uznajemy, że w logu nie ma już nic szkodliwego.
PZDR KJB
barbal10
(Wodzuniu)
10 Lipiec 2008 11:52
#11
Zrobiłem tak jak sugerował hubert2t.
Dr. Web wykrył coś takiego : PSEXESVC.EXE.
Usunąłem to.
Czy coś jeszcze ?
barbal10
(Wodzuniu)
10 Lipiec 2008 11:55
#13
Przepraszam huber2t za nazwanie go hubert2t - to z rozpędu i gapiostwa.