laserowy
(Wojcioo)
9 Grudzień 2008 09:34
#1
Witam,
Problem z moim złomkiem wygląda tak, że po uruchomieniu systemu pojawia mi się klepsydra przy kurosorze (praca w tle) i nie znika. Po sprawdzeniu uruchomionych procesów wyświetliło się naprawdę sporo procesów services.exe i cmd.exe. Do tego parokrotnie services.exe próbował łączyć się z Internetem.
Poniżej zamieszczam log z HijackThis - może ktoś będzie w stanie mi pomóc?
Z góry dziękuję!
laserowy
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:30:07, on 2008-12-09 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Global Graphics\Jaws PDF Creator 5\PDFClient.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\PDFCreatorMessages.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\services.exe F:\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Thunderbird\thunderbird.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Documents and Settings\Wojtek\Wojtek.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime -Delay O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O4 - HKLM…\Run: [PDFCreatorClient] “C:\Program Files\Global Graphics\Jaws PDF Creator 5\PDFClient.exe” O4 - HKLM…\Run: [services] C:\WINDOWS\services.exe O4 - HKCU…\Run: [Wojtek] C:\Documents and Settings\Wojtek\Wojtek.exe /i O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Startup: Rejestrowanie produktów Corela.lnk = E:\Corel\Graphics9\Register\Remind32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O20 - Winlogon Notify: winwsg32 - winwsg32.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd. - C:\WINDOWS\system32\PDFCreatorMessages.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe – End of file - 4949 bytes
Pobierz Combofix przeskanuj system i daj log na forum.
Po tym nowy log HijackThis
Logi wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka
laserowy
(Wojcioo)
9 Grudzień 2008 20:26
#3
Długo ComboFix szalał na tym moim złomie, ale w końcu coś urodził: http://www.wklejto.pl/18048
Usunął z tego co widziałem services.exe i jeszcze parę innych zapewne miłych rzeczy. Czy mogę prosić o komentarz do tego loga?
Dziękuję z góry.
Leon1
(Leon$)
9 Grudzień 2008 21:00
#4
start >> uruchom >> cmd
sc stop avGuard >> Enter
sc delete avGuard >> Enter
sc stop Amps2prt >> Enter
sc delete Amps2prt >> Enter
sc stop Fadpu16E >> Enter
sc delete Fadpu16E >> Enter
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
laserowy
(Wojcioo)
28 Grudzień 2008 15:42
#5
Witam po dłuższej przerwie. Wykonałem wszystko zgodnie ze wskazówkami, więc załączam raport z kaspersky’ego. Jakieś rady w tym temacie?
-------------------------------------------------------------------------------- RAPORT KASPERSKY ONLINE SCANNER 7.0 niedziela, 28 grudzień 2008 System operacyjny: Microsoft Windows XP Professional (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Sunday, December 28, 2008 11:03:36 Liczba wpisów: 1524168 -------------------------------------------------------------------------------- Ustawienia skanowania: Typ bazy danych użytej do skanowania: rozszerzona Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Obszary krytyczne: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart C:\Documents and Settings\Wojtek\Menu Start\Programy\Autostart C:\Program Files C:\WINDOWS Statystyki skanowania: Przeskanowanych plików: 29168 Nazwa zagrożenia: 5 Zainfekowanych obiektów: 8 Podejrzanych obiektów: 0 Czas skanowania: 01:24:39 Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń C:\WINDOWS\system32\crypts.dll/C:\WINDOWS\system32\crypts.dll Zainfekowany: Trojan-Downloader.Win32.Injecter.bgf 1 C:\WINDOWS\System32\drivers\ctfmon.exe/C:\WINDOWS\System32\drivers\ctfmon.exe Zainfekowany: Trojan.Win32.Agent.aztw 1 C:\Program Files\mIRC\mirc.exe Zainfekowany: not-a-virus:Client-IRC.Win32.mIRC.616 1 C:\WINDOWS\system32\drivers\ctfmon.exe Zainfekowany: Trojan.Win32.Agent.aztw 1 C:\WINDOWS\system32\crypts.dll Zainfekowany: Trojan-Downloader.Win32.Injecter.bgf 1 C:\WINDOWS\system32\wpv811230126272.cpx Zainfekowany: Trojan-PSW.Win32.Agent.ljm 1 C:\WINDOWS\system32\wpv821230126364.cpx Zainfekowany: Trojan.Win32.Pakes.mii 1 C:\WINDOWS\msauc.exe Zainfekowany: Trojan.Win32.Pakes.mii 1 Wybrany obszar został przeskanowany.
Z góry dzięki. Pozdrawiam.
MichaelP
(MichaelP)
28 Grudzień 2008 15:49
#6
Pobierz The Avenger , zaznacz poniższy tekst
Skopiuj Kliknij na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.
:!: Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Przeskanuj obszar całego systemu, a nie tylko obszar krytyczny.