system
5 Październik 2007 10:51
#1
Na forum trafilem dzieki temu oto tematowi. http://forum.dobreprogramy.pl/viewtopic … 32d4319c3a . Prawdopodobnie problem jest blizniaczy. Te samy objawy.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:45:24, on 2007-10-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe D:\Programy\Avast4\aswUpdSv.exe D:\Programy\Avast4\ashServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe D:\Programy\Razer\Diamondback\razerhid.exe C:\Program Files\Microsoft Security Adviser\msctrl.exe C:\Program Files\Microsoft Security Adviser\msavsc.exe C:\Program Files\Microsoft Security Adviser\msscan.exe C:\Program Files\Microsoft Security Adviser\msfw.exe C:\Program Files\Microsoft Security Adviser\mssadv.exe D:\Programy\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe D:\Programy\Gadu-Gadu\gg.exe C:\WINDOWS\System32\system.exe C:\WINDOWS\system32\spoolsv.exe D:\Programy\Last.fm\LastFMHelper.exe C:\WINDOWS\System32\nvsvc32.exe D:\Programy\Razer\Diamondback\razertra.exe D:\Programy\Razer\Diamondback\razerofa.exe D:\Programy\Avast4\ashMaiSv.exe D:\Programy\Mozilla Firefox\firefox.exe D:\Programy\Avast4\setup\setup.ovr D:\Programy\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [Dimondback] D:\Programy\Razer\Diamondback\razerhid.exe O4 - HKLM…\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe O4 - HKLM…\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [avast!] D:\Programy\Avast4\ashDisp.exe O4 - HKLM…\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe O4 - HKLM…\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe O4 - HKLM…\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe O4 - HKLM…\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe O4 - HKLM…\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe O4 - HKLM…\RunOnce: [My Global Search Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2 O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “D:\Programy\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [userinit] C:\WINDOWS\System32\ntos.exe O4 - HKCU…\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe O4 - HKCU…\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe O4 - HKCU…\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe O4 - HKCU…\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe O4 - HKCU…\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe O4 - HKCU…\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe O4 - HKCU…\Run: [winserv.exe] C:\WINDOWS\System32\system.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programy\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Last.fm Helper.lnk = D:\Programy\Last.fm\LastFMHelper.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip…{9AED3229-0EA5-41EB-9097-1C65F7198A8E}: NameServer = 192.168.0.1,194.204.152.34 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programy\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Programy\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programy\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programy\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe – End of file - 5929 bytes
Opis problemu: Avast caly czas wykrywa mi pewne procesy. Które powinny byc powyzej. Wyłacza mi lub spowalnia internet. Zacina komputer. Nagminny komunikat z avasta:
========
C;/Program Files/Microsoft Security Adviser/msiemon.exe/[uPX]
Nazwa pasozyta: Win32:Agent-HZV [Trj]
======
Prosze, pokierujcie mnie ; (
Monczkin
5 Październik 2007 10:58
#2
Nazwij temat konkretnie, opisz problem :!:
system
5 Październik 2007 11:31
#3
Tak jak w temacie (ktorego adres podalem w poscie numer 1) usunalem sciezki wyminione przez jessice.
Obecny log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:28:41, on 2007-10-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE D:\Programy\Avast4\aswUpdSv.exe D:\Programy\Avast4\ashServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe D:\Programy\Razer\Diamondback\razerhid.exe D:\Programy\Avast4\ashDisp.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ctfmon.exe D:\Programy\Gadu-Gadu\gg.exe C:\WINDOWS\System32\system.exe C:\WINDOWS\System32\nvsvc32.exe D:\Programy\Last.fm\LastFMHelper.exe D:\Programy\Razer\Diamondback\razertra.exe D:\Programy\Razer\Diamondback\razerofa.exe D:\Programy\Avast4\ashMaiSv.exe D:\Programy\Mozilla Firefox\firefox.exe D:\Programy\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [Dimondback] D:\Programy\Razer\Diamondback\razerhid.exe O4 - HKLM…\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [avast!] D:\Programy\Avast4\ashDisp.exe O4 - HKLM…\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “D:\Programy\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [userinit] C:\WINDOWS\System32\ntos.exe O4 - HKCU…\Run: [winserv.exe] C:\WINDOWS\System32\system.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programy\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Last.fm Helper.lnk = D:\Programy\Last.fm\LastFMHelper.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip…{9AED3229-0EA5-41EB-9097-1C65F7198A8E}: NameServer = 192.168.0.1,194.204.152.34 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programy\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Programy\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programy\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programy\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe – End of file - 4555 bytes
Cos mam jeszcze zainfekowane? I czy procesow svchost musi byc az tyle?
jessica
5 Październik 2007 15:06
#4
“svchosty” zostaw w spokoju.
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O4 - HKLM…\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe O4 - HKCU…\Run: [userinit] C:\WINDOWS\System32\ntos.exe O4 - HKCU…\Run: [winserv.exe] C:\WINDOWS\System32\system.exe
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Do usunięcia “ntos.exe” użyj -->SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym
Pokaż Report.txt znajdujący się w folderze SDFix.
Instrukcja obsługi: Dwuklik na SDFix.exe, program wypakuje się na C:\SDFix (standardowo) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed startem Windowsa) Wejdź do folderu z SDFix, dwuklik na plik RunThis.bat Wciśnij Y, nastąpi proces usuwania. Kiedy usuwanie się ukończy, wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania. Kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. Pokaż Report.txt znajdujący się w folderze SDFix.
Tych chyba SDFix nie usunie, więc usuń je przy pomocy -->OTMoveIt
Nie podaję, jak , bo masz już w tym wprawę…
Daj tu raport SDFixa
Możesz dać jeszcze log z ComboFix
Log wklej na http://wklej.org/
jessi
system
5 Październik 2007 16:05
#5
Niestety klops. Wykonałem czynnosci wg ww opisu i nastapily bledy. Rozpakowalem SDFix na D uruchomilem ponownie. Po uruchomieniu i zatwierdzeniu działania komenda y+enter konsola wyswietlila cos w stylu
Nie mozna wykonac operacji.
Przerzuciłem na C. Stamtąd odpalam, potwierdzam komenda i po 2 sekundach wyskakuje Windowsowski error. Cos tam cos tam nie jest prawidlowa operacja Windows/system32. Oczyscie wszystko wykonywane w trybie awaryjnym. What shall we do now commander?
adam9870
5 Październik 2007 17:06
#6
Skoro masz problemy ze skorzystaniem z SDFixa, skorzystaj z narzędzia OTMoveIt, a następnie wykonaj i wklej nowy log z ComboFix.
system
5 Październik 2007 23:24
#7
http://wklej.org/id/fa6c27c039 - LOG z HIJACKA.
ComboFix zawiesza mi maszyne.
Odpale jeszcze tylko jednego reseta, wszystko wydaje sie byc poprawnie.
system
6 Październik 2007 00:45
#9
Current LOG:
http://wklej.org/id/fe26433686
SDFixem zadzialalem. Udało się, ale z tego co widze ntos.exe nadal istnieje
jessica
6 Październik 2007 09:03
#10
Pokaż raport SDFixa - czy on w ogóle usuwał tego “ntos”.
jessi
system
6 Październik 2007 09:16
#11
Zrobie SDFixem jeszcze raz bo cos moglo sie spieprzyc. Jak on juz skonczy to sam regobuje kompa? Bo u mnie jedyne co zrobic to zacial go na 15 minut. Musialem zresetowac to moze dlatego?
