Net i komp wolno chodzi!

Witka! Mam problem… net wolno chodzi komp tez, pojawila sie taka tarczka “Spyware Infection has detected !” kolo zegara… Dotego wiele gier i programow mi sie nie chce instalowac ;( :evil: :? Prosze fachowcow o dobra rade! Aha komp po formacie

HJT:

Logfile of HijackThis v1.99.1

Scan saved at 18:07:20, on 2007-05-28

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system\msnntlp.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ULi5287\ULi5287.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\ipmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Winamp\Winamp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

G:\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [statemdd] clilesqu.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\iawyaze.exe

O4 - HKLM\..\Run: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [ipmon] ipmon.exe

O4 - HKLM\..\Run: [msvccc66] svcchosst.exe

O4 - HKLM\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe

O4 - HKLM\..\RunServices: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [statemdd] clilesqu.exe

O4 - HKCU\..\Run: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe

O4 - HKCU\..\RunServices: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{409CCB29-9A85-4CE5-9A56-8799DA1F5E7C}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: msnntlp - Unknown owner - C:\WINDOWS\system\msnntlp.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Harmonogram zadań SchedulePlugPlay (SchedulePlugPlay) - Unknown owner - c:\hoce.exe (file missing)

Sam syf na kompie

usuń wpisy HJT

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\System32\clilesqu.exe

C:\WINDOWS\System32\NSecurity.exe

C:\WINDOWS\System32\svcchosst.exe

C:\WINDOWS\System32\rpcc.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\iawyaze.exe

C:\WINDOWS\System32\wbem\wbemstest.exe

i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

Daj log z Combofix

no zrobilem ale jak sie polacze z netem to nadal to wszystko siedzi czytalem inne posty z tymi imo bledami i im nie powracalo a ja tylko sie polacze i juz :frowning:

ComboFix:

ComboFix 07-05.27.V - Running from: "C:\Documents and Settings\Kuba\Pulpit\"



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



"C:\WINDOWS\system32\.exe"

"C:\WINDOWS\system32\max1d1641.exe"

"C:\WINDOWS\system32\scvhost.exe"

"C:\WINDOWS\system32\winlogin.exe"

"C:\WINDOWS\scvhost.exe"

"C:\WINDOWS\winlogin.exe"

"C:\WINDOWS\wpcjmd.log"



((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))



-------\LEGACY_NTIO256



((((((((((((((((((((((((((((((( Files Created from 2007-04-28 to 2007-05-28 ))))))))))))))))))))))))))))))))))



2007-05-28 19:04	40˙448	--a------	C:\WINDOWS\system32\ipmon.exe

2007-05-28 18:55	




A niech mnie kule bija ;( 



[color=darkblue][size=75][i][b]Złączono Posta[/b]: 28.05.2007 (Pon) 19:15[/i][/size][/color]

Niby sie cos usunelo ale jak sie polacze z netem to znow wszystko wraca:( czytalem inne posty z tym samym problemem i gosciom sie tak nie robi a mi tak dlaczego :> ... Log sie nie miesci dlatego zuploadowalem (sorry)

[code]http://www.sendspace.com/file/f4yaol

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Po tym nowy log z Combo i oczyścimy rejestr

nie wiem co jest ale nie moge odpalic tego the avangera wywala mi jakis blad ze infected czy cos :frowning: :shock: :? :-x

zielinq20 na PW prosiłem o coś - sygnaturka! Usuń ręcznie pliki i nowy log, albo:

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\system32\ipmon.exe

C:\WINDOWS\system32\directxclickers.exe

C:\WINDOWS\system32\oleauth32.dll

C:\WINDOWS\system32\mstscex.dll

C:\WINDOWS\system32\ge1.exe

C:\msn12.exe

C:\WINDOWS\windat32.exe

C:\WINDOWS\uninst32.exe

C:\WINDOWS\taskmrg.exe

C:\WINDOWS\system32\windat32.exe

C:\WINDOWS\system32\uninst32.exe

C:\WINDOWS\system32\taskmrg.exe

C:\WINDOWS\system32\sysvc32.exe

C:\WINDOWS\system32\sched.exe

C:\WINDOWS\system32\redegit.exe

C:\WINDOWS\system32\memory.exe

C:\WINDOWS\system32\bootchk.exe

C:\WINDOWS\system\winlogin.exe

C:\WINDOWS\system\windat32.exe

C:\WINDOWS\system\uninst32.exe

C:\WINDOWS\system\taskmrg.exe

C:\WINDOWS\system\sysvc32.exe

C:\WINDOWS\system\scvhost.exe

C:\WINDOWS\system\sched.exe

C:\WINDOWS\system\redegit.exe

C:\WINDOWS\system\memory.exe

C:\WINDOWS\system\debug.exe

C:\WINDOWS\system\comsys.exe

C:\WINDOWS\system\bootchk.exe

C:\WINDOWS\sched.exe

C:\WINDOWS\redegit.exe

C:\WINDOWS\memory.exe

C:\WINDOWS\debug.exe

C:\WINDOWS\bootchk.exe

C:\mogvnkxx.exe

C:\WINDOWS\system32\74086241.dat

C:\WINDOWS\jytrgrgre.exe

C:\uxmwyj.exe

C:\bjks.exe

C:\WINDOWS\system32\svcchosst.exe i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

Znow ■■■■

ComboFix 07-05.27.V - Running from: "C:\Documents and Settings\Kuba\Pulpit\"

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

niestety znow mi sie cos zwalilo … a odpalic sie nie chcial tylko pokazala sie strzalka na czarnym ekranie i restart… dlatego musialem format …! Aha od i od tego ostatniego formatu co jest ten problem ciagle wyskakuje mi jak cos instaluje takie bledy z nie wysylaj … drwtsn32.exe i duzo duzo innych za ktore jest odpowiedzialne dwwin.exe ;/ wywalam te pliki ale przez to nie chce mi sie odpalac wiele rzeczy tzn okno mi sie nie wyswietla na chwile klebsydra i czosnek :frowning: pomocy!

HJT:

Logfile of HijackThis v1.99.1

Scan saved at 17:43:48, on 2007-05-30

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ULi5287\ULi5287.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\wbem\wbemstest.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\algs.exe

C:\WINDOWS\system32\FrameWork.exe

C:\WINDOWS\system32\FrameWork.exe

G:\hijackthis\HijackThis.exe

C:\WINDOWS\System32\FrameWork.exe


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://208.109.236.118:16710/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [ipmon] ipmon.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\zuuzhj.exe

O4 - HKLM\..\Run: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\RunServices: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E206E52-7979-42B8-8923-486AFDA7F92D}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{0E206E52-7979-42B8-8923-486AFDA7F92D}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

Znow prawie nic na tym kompie nie mam a syfu w pi…

zna sie ktos na usuwaniu tego wkoncu bo ja mam podobne :frowning:

Pobierz Windows Worms Doors Cleaner, ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Ściągasz Pocket Killbox,

zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\wbem\wbemstest.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\algs.exe

C:\WINDOWS\System32\zuuzhj.exe

i naciskasz X czerwony. Program poprosi o reset kompa, pozwalasz dopiero po wklejeniu ostatniej ścieżki.

Usuń w HJT.

Daj log z ComboFix

z racji występowania tego Haxdoor"a przed formatem

proponuje odrazu wkleic logi z gmera http://www.gmer.net/index.php?lang=pl w takim ustawieniu

  1. Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> jak skończy KOPIUJ=> Ctrl + V do posta wklej

  2. Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => Kopiuj => Ctrl + V do posta wklej

Log z comboFix również oczywiście dajesz

Prawdopodobnie wszystko wraca.

Zastosuj dodatkowo Seconfig XP http://seconfig.sytes.net/?cat=2 wybierz opcje for home i następnie Apply nastąpi restart systemu

Jak się logi nie zmieszczą w poście daj je tu taj po kolej http://wklej.org/

Druga sprawa jedziesz bez żadnych zabezpieczeń

koniecznie załaduj SP2 (Service Pack 2) i firewall i antywirus http://forum.dobreprogramy.pl/viewtopic … highlight=