qerwas
(Qerwas)
23 Marzec 2007 19:58
#1
witam.
Nie jestem fachowcem.
Zainstalowałem świeży system i po połączeniu z internetem (antywirus Avast) odrazu tragedia:
czerwona ikonka obok zegarka z wyskakującym napisem “your computer is ifected”
2.okropnie wolno wszystko działa
3.normalnie sytemu nie da sie zamknąć - tylko reset
4.Avast pisze, co chwile, ze trzeba zrestartować komp (a zrestartować sie nie da )
Windows pisze komunikat, że jakies pliki zostały podmienione i prosi o płytkę ale nic nie instaluje
6 i takie tam pomniejsze tragedyjki których nigdy wcześniej nie było
Formatowałem dysk 3 razy i instalowalem Windowsa ale zaraz po połączeniu sie z siecią jest jak wyżej.
Nie śpię od 2 dni
Logfile of HijackThis v1.99.1 Scan saved at 20:35:47, on 2007-03-23 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\Explorer.EXE E:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe E:\WINDOWS\system32\tcpipmon.exe E:\WINDOWS\system32\ctfmon.exe E:\WINDOWS\system32\tcpipmon.exe E:\Program Files\Netia\Net\netianet.exe E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe E:\Program Files\Alwil Software\Avast4\ashServ.exe E:\Program Files\Alwil Software\Avast4\ashWebSv.exe E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe E:\WINDOWS\System32\svchost.exe E:\Program Files\Internet Explorer\IEXPLORE.EXE E:\DOCUME~1\Robert\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://ssl.netia.pl/net24/aktywacja/start.do R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM…\Run: [speedTouch USB Diagnostics] “E:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [tcpipmon] tcpipmon.exe O4 - HKCU…\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [NETIANET] E:\Program Files\Netia\Net\netianet.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip…{1414209C-B0DA-4E0C-A15C-BC15D5CAA572}: NameServer = 83.238.255.76 213.241.79.37 O17 - HKLM\System\CS2\Services\Tcpip…{1414209C-B0DA-4E0C-A15C-BC15D5CAA572}: NameServer = 83.238.255.76 213.241.79.37 O17 - HKLM\System\CS3\Services\Tcpip…{1414209C-B0DA-4E0C-A15C-BC15D5CAA572}: NameServer = 83.238.255.76 213.241.79.37 O20 - Winlogon Notify: rpcc - E:\WINDOWS\system32\rpcc.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Client IP-IPX - Unknown owner - ".exe (file missing)
Skasuj plik E:\WINDOWS\system32\tcpipmon.exe i usuń wpis 04 - HKLM…\Run: [tcpipmon] tcpipmon.exe za pomocą HiJackThis. (operacje robisz w trybie awaryjnym i z wyłączonym przywracaniem systemu). [Mam nadzieję że to wszystko].
Joan
(Joan Sunshine)
23 Marzec 2007 20:30
#3
Ściągasz narzędzie KillBox , zaznaczasz Delete on Reboot, potem klikasz All Files i wklejasz do pola Full Path of File to Delete ścieżkę:
E:\WINDOWS\system32\tcpipmon.exe
Klikasz X i reset sysa.
Start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:
Znajdź na dysku plik na czerwono i go wywal, wpisy zafixuj w HJT. Nowe logi HJT + Silent
qerwas
(Qerwas)
23 Marzec 2007 21:17
#4
…nadal bardzo wolno działa i avast co chwilę pisze, iż konieczny jest reset a wyłączyć się nadal nie da - tylko “ręcznie”
Joan
(Joan Sunshine)
23 Marzec 2007 21:23
#5
Hm dziwne, widzę że wpisy usunąłeś, ale jeden siedzi, choć pliku niby nie ma… no ok.
W Killboxie tak samo jak wyżej wklejasz ścieżkę:
E:\WINDOWS\system32\rpcc.dll
Ten wpis kasujesz, nowe logi.
qerwas
(Qerwas)
23 Marzec 2007 22:11
#6
Logfile of HijackThis v1.99.1 Scan saved at 23:09:22, on 2007-03-23 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\Explorer.EXE E:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe E:\WINDOWS\system32\ctfmon.exe E:\Program Files\Netia\Net\netianet.exe E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe E:\Program Files\Alwil Software\Avast4\ashServ.exe E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe E:\Program Files\Alwil Software\Avast4\ashWebSv.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\WScript.exe E:\WINDOWS\System32\WScript.exe E:\WINDOWS\System32\WScript.exe E:\Program Files\Internet Explorer\IEXPLORE.EXE E:\WINDOWS\system32\wbem\unsecapp.exe E:\DOCUME~1\Robert\USTAWI~1\Temp\Katalog tymczasowy 4 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://ssl.netia.pl/net24/aktywacja/start.do R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM…\Run: [speedTouch USB Diagnostics] “E:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [NETIANET] E:\Program Files\Netia\Net\netianet.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip…{1414209C-B0DA-4E0C-A15C-BC15D5CAA572}: NameServer = 83.238.255.76 213.241.79.37 O17 - HKLM\System\CS2\Services\Tcpip…{1414209C-B0DA-4E0C-A15C-BC15D5CAA572}: NameServer = 83.238.255.76 213.241.79.37 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
ale ten “silent runners” to mi nie zaimponowal
“Silent Runners.vbs”, revision R50, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” FATAL ERROR! ------------ “Silent Runners” cannot use WMI to identify the operating system. This is caused by corruption of the WMI installation. WMI is complex and it is recommended that you use a Microsoft tool, “WMIDiag.vbs,” to diagnose WMI on your system. It can be downloaded here: http://go.microsoft.com/fwlink/?LinkId=62562
adam9870
(adam9870)
23 Marzec 2007 22:12
#7
Log z hijacka jest w porządku.
O problemach z silentem poczytaj TUTAJ .