Net i komp wolno chodzi!

system · 28 Maj 2007 16:11

Witka! Mam problem… net wolno chodzi komp tez, pojawila sie taka tarczka “Spyware Infection has detected !” kolo zegara… Dotego wiele gier i programow mi sie nie chce instalowac ;( :evil: :? Prosze fachowcow o dobra rade! Aha komp po formacie

HJT:

Logfile of HijackThis v1.99.1

Scan saved at 18:07:20, on 2007-05-28

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system\msnntlp.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ULi5287\ULi5287.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\ipmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Winamp\Winamp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

G:\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [statemdd] clilesqu.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\iawyaze.exe

O4 - HKLM\..\Run: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [ipmon] ipmon.exe

O4 - HKLM\..\Run: [msvccc66] svcchosst.exe

O4 - HKLM\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe

O4 - HKLM\..\RunServices: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [statemdd] clilesqu.exe

O4 - HKCU\..\Run: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe

O4 - HKCU\..\RunServices: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{409CCB29-9A85-4CE5-9A56-8799DA1F5E7C}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: msnntlp - Unknown owner - C:\WINDOWS\system\msnntlp.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Harmonogram zadań SchedulePlugPlay (SchedulePlugPlay) - Unknown owner - c:\hoce.exe (file missing)

Gutek · 28 Maj 2007 16:25

Sam syf na kompie

O4 - HKLM…\Run: [statemdd] clilesqu.exe O4 - HKLM…\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe O4 - HKLM…\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\iawyaze.exe O4 - HKLM…\Run: [server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe O4 - HKLM…\Run: [ipmon] ipmon.exe O4 - HKLM…\Run: [msvccc66] svcchosst.exe O4 - HKLM…\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe O4 - HKLM…\RunServices: [server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe O4 - HKLM…\RunServices: [msvccc66] svcchosst.exe O4 - HKCU…\Run: [statemdd] clilesqu.exe O4 - HKCU…\Run: [server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe O4 - HKCU…\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe O4 - HKCU…\RunServices: [server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: msnntlp - Unknown owner - C:\WINDOWS\system\msnntlp.exe O23 - Service: Harmonogram zadań SchedulePlugPlay (SchedulePlugPlay) - Unknown owner - c:\hoce.exe (file missing)

usuń wpisy HJT

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\System32\clilesqu.exe

C:\WINDOWS\System32\NSecurity.exe

C:\WINDOWS\System32\svcchosst.exe

C:\WINDOWS\System32\rpcc.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\iawyaze.exe

C:\WINDOWS\System32\wbem\wbemstest.exe

i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

Daj log z Combofix

system · 28 Maj 2007 17:10

no zrobilem ale jak sie polacze z netem to nadal to wszystko siedzi czytalem inne posty z tymi imo bledami i im nie powracalo a ja tylko sie polacze i juz

ComboFix:

ComboFix 07-05.27.V - Running from: "C:\Documents and Settings\Kuba\Pulpit\"



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



"C:\WINDOWS\system32\.exe"

"C:\WINDOWS\system32\max1d1641.exe"

"C:\WINDOWS\system32\scvhost.exe"

"C:\WINDOWS\system32\winlogin.exe"

"C:\WINDOWS\scvhost.exe"

"C:\WINDOWS\winlogin.exe"

"C:\WINDOWS\wpcjmd.log"



((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))



-------\LEGACY_NTIO256



((((((((((((((((((((((((((((((( Files Created from 2007-04-28 to 2007-05-28 ))))))))))))))))))))))))))))))))))



2007-05-28 19:04	40˙448	--a------	C:\WINDOWS\system32\ipmon.exe

2007-05-28 18:55	




A niech mnie kule bija ;( 



[color=darkblue][size=75][i][b]Złączono Posta[/b]: 28.05.2007 (Pon) 19:15[/i][/size][/color]

Niby sie cos usunelo ale jak sie polacze z netem to znow wszystko wraca:( czytalem inne posty z tym samym problemem i gosciom sie tak nie robi a mi tak dlaczego :> ... Log sie nie miesci dlatego zuploadowalem (sorry)

[code]http://www.sendspace.com/file/f4yaol

Gutek · 28 Maj 2007 18:34

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

Files to delete: C:\WINDOWS\system32\ipmon.exe C:\WINDOWS\system32\directxclickers.exe C:\WINDOWS\system32\oleauth32.dll C:\WINDOWS\system32\mstscex.dll C:\WINDOWS\system32\ge1.exe C:\msn12.exe C:\WINDOWS\windat32.exe C:\WINDOWS\uninst32.exe C:\WINDOWS\taskmrg.exe C:\WINDOWS\system32\windat32.exe C:\WINDOWS\system32\uninst32.exe C:\WINDOWS\system32\taskmrg.exe C:\WINDOWS\system32\sysvc32.exe C:\WINDOWS\system32\sched.exe C:\WINDOWS\system32\redegit.exe C:\WINDOWS\system32\memory.exe C:\WINDOWS\system32\bootchk.exe C:\WINDOWS\system\winlogin.exe C:\WINDOWS\system\windat32.exe C:\WINDOWS\system\uninst32.exe C:\WINDOWS\system\taskmrg.exe C:\WINDOWS\system\sysvc32.exe C:\WINDOWS\system\scvhost.exe C:\WINDOWS\system\sched.exe C:\WINDOWS\system\redegit.exe C:\WINDOWS\system\memory.exe C:\WINDOWS\system\debug.exe C:\WINDOWS\system\comsys.exe C:\WINDOWS\system\bootchk.exe C:\WINDOWS\sched.exe C:\WINDOWS\redegit.exe C:\WINDOWS\memory.exe C:\WINDOWS\debug.exe C:\WINDOWS\bootchk.exe C:\mogvnkxx.exe C:\WINDOWS\system32\74086241.dat C:\WINDOWS\jytrgrgre.exe C:\uxmwyj.exe C:\bjks.exe C:\WINDOWS\system32\svcchosst.exe~

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Po tym nowy log z Combo i oczyścimy rejestr

system · 28 Maj 2007 18:58

nie wiem co jest ale nie moge odpalic tego the avangera wywala mi jakis blad ze infected czy cos :shock: :? :-x

Gutek · 28 Maj 2007 19:02

zielinq20 na PW prosiłem o coś - sygnaturka! Usuń ręcznie pliki i nowy log, albo:

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\system32\ipmon.exe

C:\WINDOWS\system32\directxclickers.exe

C:\WINDOWS\system32\oleauth32.dll

C:\WINDOWS\system32\mstscex.dll

C:\WINDOWS\system32\ge1.exe

C:\msn12.exe

C:\WINDOWS\windat32.exe

C:\WINDOWS\uninst32.exe

C:\WINDOWS\taskmrg.exe

C:\WINDOWS\system32\windat32.exe

C:\WINDOWS\system32\uninst32.exe

C:\WINDOWS\system32\taskmrg.exe

C:\WINDOWS\system32\sysvc32.exe

C:\WINDOWS\system32\sched.exe

C:\WINDOWS\system32\redegit.exe

C:\WINDOWS\system32\memory.exe

C:\WINDOWS\system32\bootchk.exe

C:\WINDOWS\system\winlogin.exe

C:\WINDOWS\system\windat32.exe

C:\WINDOWS\system\uninst32.exe

C:\WINDOWS\system\taskmrg.exe

C:\WINDOWS\system\sysvc32.exe

C:\WINDOWS\system\scvhost.exe

C:\WINDOWS\system\sched.exe

C:\WINDOWS\system\redegit.exe

C:\WINDOWS\system\memory.exe

C:\WINDOWS\system\debug.exe

C:\WINDOWS\system\comsys.exe

C:\WINDOWS\system\bootchk.exe

C:\WINDOWS\sched.exe

C:\WINDOWS\redegit.exe

C:\WINDOWS\memory.exe

C:\WINDOWS\debug.exe

C:\WINDOWS\bootchk.exe

C:\mogvnkxx.exe

C:\WINDOWS\system32\74086241.dat

C:\WINDOWS\jytrgrgre.exe

C:\uxmwyj.exe

C:\bjks.exe

C:\WINDOWS\system32\svcchosst.exe i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

system · 28 Maj 2007 20:43

Znow ■■■■

ComboFix 07-05.27.V - Running from: "C:\Documents and Settings\Kuba\Pulpit\"

Gutek · 28 Maj 2007 21:14

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{2E65C9EF-D5FA-4321-BB3D-04A382D04655}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{4B646AFB-9341-4330-8FD1-C32485AEE619}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{C8EC7F38-C446-43A3-9893-09D923C74EA2}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Winamp Agent”=- “system32”=- “system”=- “uninst32”=- “bootchk”=- “clsid”=- “user32”=- “reg32”=- “cmd”=- “sched”=- “taskmgr”=- “winlogon”=- “lsass”=- “setup”=- “SvcManager”=- “Server Runtime Process”=- “ipmon”=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WinMedia”=- “Server Runtime Process”=- “Restore Operation”=- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices] “Server Runtime Process”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] “{08C9E01F-BF5F-4c8b-95C3-6411A1D5A210}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{2E65C9EF-D5FA-4321-BB3D-04A382D04655}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “{D7FFD784-5276-42D1-887B-00267870A4C7}”=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnlmkl] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtuts]

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

system · 30 Maj 2007 15:44

niestety znow mi sie cos zwalilo … a odpalic sie nie chcial tylko pokazala sie strzalka na czarnym ekranie i restart… dlatego musialem format …! Aha od i od tego ostatniego formatu co jest ten problem ciagle wyskakuje mi jak cos instaluje takie bledy z nie wysylaj … drwtsn32.exe i duzo duzo innych za ktore jest odpowiedzialne dwwin.exe ;/ wywalam te pliki ale przez to nie chce mi sie odpalac wiele rzeczy tzn okno mi sie nie wyswietla na chwile klebsydra i czosnek pomocy!

HJT:

Logfile of HijackThis v1.99.1

Scan saved at 17:43:48, on 2007-05-30

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ULi5287\ULi5287.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\wbem\wbemstest.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\algs.exe

C:\WINDOWS\system32\FrameWork.exe

C:\WINDOWS\system32\FrameWork.exe

G:\hijackthis\HijackThis.exe

C:\WINDOWS\System32\FrameWork.exe


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://208.109.236.118:16710/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [ipmon] ipmon.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\zuuzhj.exe

O4 - HKLM\..\Run: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\RunServices: [Server Runtime Process] C:\WINDOWS\System32\wbem\wbemstest.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E206E52-7979-42B8-8923-486AFDA7F92D}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{0E206E52-7979-42B8-8923-486AFDA7F92D}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

Znow prawie nic na tym kompie nie mam a syfu w pi…

Hardround · 30 Maj 2007 18:50

zna sie ktos na usuwaniu tego wkoncu bo ja mam podobne

qrczak13 · 30 Maj 2007 18:55

Pobierz Windows Worms Doors Cleaner, ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Ściągasz Pocket Killbox,

zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\wbem\wbemstest.exe

C:\WINDOWS\System32\ipmon.exe

C:\WINDOWS\System32\algs.exe

C:\WINDOWS\System32\zuuzhj.exe

i naciskasz X czerwony. Program poprosi o reset kompa, pozwalasz dopiero po wklejeniu ostatniej ścieżki.

Usuń w HJT.

Daj log z ComboFix

system · 30 Maj 2007 19:16

z racji występowania tego Haxdoor"a przed formatem

proponuje odrazu wkleic logi z gmera http://www.gmer.net/index.php?lang=pl w takim ustawieniu

Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> jak skończy KOPIUJ=> Ctrl + V do posta wklej
Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => Kopiuj => Ctrl + V do posta wklej

Log z comboFix również oczywiście dajesz

Prawdopodobnie wszystko wraca.

Zastosuj dodatkowo Seconfig XP http://seconfig.sytes.net/?cat=2 wybierz opcje for home i następnie Apply nastąpi restart systemu

Jak się logi nie zmieszczą w poście daj je tu taj po kolej http://wklej.org/

Druga sprawa jedziesz bez żadnych zabezpieczeń

koniecznie załaduj SP2 (Service Pack 2) i firewall i antywirus http://forum.dobreprogramy.pl/viewtopic … highlight=