Problem z kasperskym i ogolne zamulenia pracy systemu

fl4shx · 29 Lipiec 2007 21:51

Moj problem:

-przestal sie wlaczac antywir-kaspersky 6.0 (niby w menedzerze zadan jest jego proces ale w trayu nie ma ani uruchomic recznie sie go nie da)

-od tego samego czasu co pojawil sie problem z antywirem system przestal dzialac normalnie, wszystko trwa o wiele dluzej, wiekszosc gier sie nie uruchamia lub zacina przy poczatku gry, skanowalem juz skanerem on-line z kaspersky lab i defragmentowalem kompa

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:41:06, on 2007-07-29 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Program Files\AutoConnect\AutoConnect.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe D:\Miranda IM\miranda32.exe C:\Program Files\Opera\Opera.exe C:\WINDOWS\System32\taskmgr.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM…\Run: [Microsft Security Monitor Process] mssmpp.exe O4 - HKLM…\Run: [msvccc66] svcchosst.exe O4 - HKLM…\Run: [Windows File Upgrader] winupgrd.exe O4 - HKLM…\Run: [Windows Config System] config.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [ATIPTA] “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [kav] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe” O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM…\RunServices: [Microsft Security Monitor Process] mssmpp.exe O4 - HKLM…\RunServices: [msvccc66] svcchosst.exe O4 - HKLM…\RunServices: [Windows File Upgrader] winupgrd.exe O4 - HKLM…\RunServices: [Windows Config System] config.exe O4 - HKCU…\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe O4 - HKCU…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab O17 - HKLM\System\CCS\Services\Tcpip…{075AD65C-24A5-4920-AA30-23AB16B7E312}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip…{075AD65C-24A5-4920-AA30-23AB16B7E312}: NameServer = 194.204.159.1 217.98.63.164 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe – End of file - 4669 bytes

z góry dziękuje za pomoc, pozdr .fls!

inferno · 29 Lipiec 2007 23:44

Prosze wykonać skan programem antyspyware (polecam adadware, windows defender). Ja tak miałem przy wielkiej liczbie malware (co prawda przy innym antivirusie)

Log wydaje się zamalwarowany

jessica · 30 Lipiec 2007 06:31

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Na początek zastosuj Combofix, potem zobaczymy w jego logu, co usunął, a co trzeba będzie usuwać inaczej:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654. --> opis na samym dole strony z linku.

.

EDIT:

Ponieważ to są robaki, więc zamknij porty przed następnymi przy pomocy

Windows Worms Doors Cleaner.

.

fl4shx · 30 Lipiec 2007 09:56

Po zamknieciu portow wlaczyl sie wreszcie kaspersky.

Log z kasperskyego po zakonczeniu skanowania:

usunięto: Koń trojański Backdoor.Win32.EggDrop.v Plik: C:\WINDOWS\System32\wbem\scrcons32.exe usunięto: Koń trojański Backdoor.Win32.EggDrop.v Plik: C:\System Volume Information_restore{B61E33F1-8873-4273-9413-B1E6D4DF2A52}\RP12\A0009471.exe usunięto: Koń trojański Backdoor.Win32.EggDrop.v Plik: C:\WINDOWS\system32\scrcons32.exe usunięto: Koń trojański Backdoor.Win32.EggDrop.v Plik: C:\System Volume Information_restore{B61E33F1-8873-4273-9413-B1E6D4DF2A52}\RP12\A0010494.exe wykryto: adware not-a-virus:AdWare.Win32.NewDotNet URL: http://dl2.themexp.org/files/g/themexpd … xe/WiseSFX Dropper/WISE0016.BIN usunięto: adware not-a-virus:AdWare.Win32.NewDotNet Plik: C:\Program Files\themexp~GLH0004.TMP usunięto: adware not-a-virus:AdWare.Win32.Relevant.a Plik: C:\WINDOWS\System32~GLH0006.TMP usunięto: adware not-a-virus:AdWare.Win32.NewDotNet Plik: C:\Program Files\themexp~GLH0005.TMP usunięto: adware not-a-virus:AdWare.Win32.Relevant.a Plik: C:\WINDOWS\System32~GLH0007.TMP nie odnaleziono: adware not-a-virus:AdWare.Win32.SaveNow.bi Plik: C:\Program Files\VVSN\SET69.tmp nie odnaleziono: adware not-a-virus:AdWare.Win32.SaveNow.bi Plik: C:\Program Files\VVSN\SET173.tmp wykryto: riskware Hidden object Uruchomiony proces: C:\Program Files\CIB\RYL2\Client.exe usunięto: adware not-a-virus:AdWare.Win32.NewDotNet Plik: C:\System Volume Information_restore{B61E33F1-8873-4273-9413-B1E6D4DF2A52}\RP2\A0000272.exe/WiseSFX Dropper/WISE0016.BIN usunięto: adware not-a-virus:AdWare.Win32.Relevant.a Plik: C:\System Volume Information_restore{B61E33F1-8873-4273-9413-B1E6D4DF2A52}\RP2\A0000272.exe/WiseSFX Dropper/WISE0019.BIN usunięto: adware not-a-virus:AdWare.Win32.NewDotNet Plik: C:\System Volume Information_restore{B61E33F1-8873-4273-9413-B1E6D4DF2A52}\RP2\A0000278.exe/WiseSFX Dropper/WISE0016.BIN usunięto: adware not-a-virus:AdWare.Win32.Relevant.a Plik: C:\System Volume Information_restore{B61E33F1-8873-4273-9413-B1E6D4DF2A52}\RP2\A0000278.exe/WiseSFX Dropper/WISE0019.BIN

zeskanowalem potem spybotem tez znalazlo pare pozycji i na koniec combofixem:

http://wklej.org/id/168cc19b9f

zaraz sprawdze jak wszystko dziala ale mimo to prosze o przejrzenie loga z combofix gdyby znalazly sie znowu jakies niepozadane pozycje

Edit: Wszystko już śmiga wielkie dzięki za pomoc ! *:

Joan · 30 Lipiec 2007 10:03

Użyj SmitFraudFix z opcji 2 w trybie awaryjnym, daj raport

nowy log z combo

fl4shx · 30 Lipiec 2007 12:46

Wszystko juz działa poprawnie ale dodam logi o ktore prosiles :

SmitFraudFix

SmitFraudFix v2.207 Scan done at 14:36:23.51, 2007-07-30 Run from C:\Documents and Settings\fls\Pulpit\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !Attention, following keys are not inevitably infected! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “System”="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» End i potem znowu combofix: http://wklej.org/id/0f03f54573

qrczak13 · 30 Lipiec 2007 18:46

Jest ok.

Czyszczenie rejestru - jv16 PowerTools 1.3.0.195 + opis.

Optymalizacja i odchudzanie Windows XP