Msiemon.exe

system (system) 2007-10-05 10:51:16 UTC #1

Na forum trafilem dzieki temu oto tematowi. http://forum.dobreprogramy.pl/viewtopic ... 32d4319c3a. Prawdopodobnie problem jest blizniaczy. Te samy objawy.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:45:24, on 2007-10-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe D:\Programy\Avast4\aswUpdSv.exe D:\Programy\Avast4\ashServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe D:\Programy\Razer\Diamondback\razerhid.exe C:\Program Files\Microsoft Security Adviser\msctrl.exe C:\Program Files\Microsoft Security Adviser\msavsc.exe C:\Program Files\Microsoft Security Adviser\msscan.exe C:\Program Files\Microsoft Security Adviser\msfw.exe C:\Program Files\Microsoft Security Adviser\mssadv.exe D:\Programy\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe D:\Programy\Gadu-Gadu\gg.exe C:\WINDOWS\System32\system.exe C:\WINDOWS\system32\spoolsv.exe D:\Programy\Last.fm\LastFMHelper.exe C:\WINDOWS\System32\nvsvc32.exe D:\Programy\Razer\Diamondback\razertra.exe D:\Programy\Razer\Diamondback\razerofa.exe D:\Programy\Avast4\ashMaiSv.exe D:\Programy\Mozilla Firefox\firefox.exe D:\Programy\Avast4\setup\setup.ovr D:\Programy\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM..\Run: [nwiz] nwiz.exe /install O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM..\Run: [Dimondback] D:\Programy\Razer\Diamondback\razerhid.exe O4 - HKLM..\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM..\Run: [avast!] D:\Programy\Avast4\ashDisp.exe O4 - HKLM..\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe O4 - HKLM..\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe O4 - HKLM..\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe O4 - HKLM..\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe O4 - HKLM..\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe O4 - HKLM..\RunOnce: [My Global Search Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2 O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray O4 - HKCU..\Run: [userinit] C:\WINDOWS\System32\ntos.exe O4 - HKCU..\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe O4 - HKCU..\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe O4 - HKCU..\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe O4 - HKCU..\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe O4 - HKCU..\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe O4 - HKCU..\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe O4 - HKCU..\Run: [winserv.exe] C:\WINDOWS\System32\system.exe O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programy\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Last.fm Helper.lnk = D:\Programy\Last.fm\LastFMHelper.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip..{9AED3229-0EA5-41EB-9097-1C65F7198A8E}: NameServer = 192.168.0.1,194.204.152.34 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programy\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Programy\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programy\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programy\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 5929 bytes

Opis problemu: Avast caly czas wykrywa mi pewne procesy. Które powinny byc powyzej. Wyłacza mi lub spowalnia internet. Zacina komputer. Nagminny komunikat z avasta:

========

C;/Program Files/Microsoft Security Adviser/msiemon.exe/[uPX]

Nazwa pasozyta: Win32:Agent-HZV [Trj]

======

Prosze, pokierujcie mnie ; (

Monczkin (Monczkin) 2007-10-05 10:58:32 UTC #2

Nazwij temat konkretnie, opisz problem :!:

system (system) 2007-10-05 11:31:56 UTC #3

Tak jak w temacie (ktorego adres podalem w poscie numer 1) usunalem sciezki wyminione przez jessice.

Obecny log:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:28:41, on 2007-10-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE D:\Programy\Avast4\aswUpdSv.exe D:\Programy\Avast4\ashServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe D:\Programy\Razer\Diamondback\razerhid.exe D:\Programy\Avast4\ashDisp.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ctfmon.exe D:\Programy\Gadu-Gadu\gg.exe C:\WINDOWS\System32\system.exe C:\WINDOWS\System32\nvsvc32.exe D:\Programy\Last.fm\LastFMHelper.exe D:\Programy\Razer\Diamondback\razertra.exe D:\Programy\Razer\Diamondback\razerofa.exe D:\Programy\Avast4\ashMaiSv.exe D:\Programy\Mozilla Firefox\firefox.exe D:\Programy\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM..\Run: [nwiz] nwiz.exe /install O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM..\Run: [Dimondback] D:\Programy\Razer\Diamondback\razerhid.exe O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM..\Run: [avast!] D:\Programy\Avast4\ashDisp.exe O4 - HKLM..\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray O4 - HKCU..\Run: [userinit] C:\WINDOWS\System32\ntos.exe O4 - HKCU..\Run: [winserv.exe] C:\WINDOWS\System32\system.exe O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programy\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Last.fm Helper.lnk = D:\Programy\Last.fm\LastFMHelper.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip..{9AED3229-0EA5-41EB-9097-1C65F7198A8E}: NameServer = 192.168.0.1,194.204.152.34 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programy\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Programy\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programy\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programy\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 4555 bytes

Cos mam jeszcze zainfekowane? I czy procesow svchost musi byc az tyle?

jessica (jessica) 2007-10-05 15:06:17 UTC #4

"svchosty" zostaw w spokoju.

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Do usunięcia "ntos.exe" użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Tych chyba SDFix nie usunie, więc usuń je przy pomocy -->OTMoveIt.

Nie podaję, jak , bo masz już w tym wprawę...

Daj tu raport SDFixa

Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi

system (system) 2007-10-05 16:05:44 UTC #5

Niestety klops. Wykonałem czynnosci wg ww opisu i nastapily bledy. Rozpakowalem SDFix na D uruchomilem ponownie. Po uruchomieniu i zatwierdzeniu działania komenda y+enter konsola wyswietlila cos w stylu

Nie mozna wykonac operacji.

Przerzuciłem na C. Stamtąd odpalam, potwierdzam komenda i po 2 sekundach wyskakuje Windowsowski error. Cos tam cos tam nie jest prawidlowa operacja Windows/system32. Oczyscie wszystko wykonywane w trybie awaryjnym. What shall we do now commander?

adam9870 (adam9870) 2007-10-05 17:06:08 UTC #6

Skoro masz problemy ze skorzystaniem z SDFixa, skorzystaj z narzędzia OTMoveIt, a następnie wykonaj i wklej nowy log z ComboFix.

system (system) 2007-10-05 23:24:54 UTC #7

http://wklej.org/id/fa6c27c039 - LOG z HIJACKA.

ComboFix zawiesza mi maszyne.

Odpale jeszcze tylko jednego reseta, wszystko wydaje sie byc poprawnie.

Gutek (Gutek) 2007-10-05 23:50:00 UTC #8

usuń wpisy HJT

Pobierz program SDFix

system (system) 2007-10-06 00:45:18 UTC #9

Current LOG:

http://wklej.org/id/fe26433686

SDFixem zadzialalem. Udało się, ale z tego co widze ntos.exe nadal istnieje

jessica (jessica) 2007-10-06 09:03:00 UTC #10

Pokaż raport SDFixa - czy on w ogóle usuwał tego "ntos".

jessi

system (system) 2007-10-06 09:16:51 UTC #11

Zrobie SDFixem jeszcze raz bo cos moglo sie spieprzyc. Jak on juz skonczy to sam regobuje kompa? Bo u mnie jedyne co zrobic to zacial go na 15 minut. Musialem zresetowac to moze dlatego?

Gutek (Gutek) 2007-10-06 23:44:23 UTC #12

gdzie ten log?

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem